SeroXen RAT
De cybercriminele gemeenschap heeft steeds vaker een onopvallende Remote Access Trojan (RAT) met de naam 'SeroXen' gebruikt vanwege de krachtige mogelijkheden en het vermogen om detectie te omzeilen.
Volgens rapporten van AT&T wordt de malware op bedrieglijke wijze op de markt gebracht als een legitiem hulpmiddel voor externe toegang tot Windows 11 en 10. Het wordt aangeboden voor een maandelijks abonnement van $ 15 of een eenmalige "levenslange" licentiebetaling van $ 60. Ondanks dat het wordt gepresenteerd als een legitieme tool, wordt SeroXen eigenlijk gepromoot als een Trojaans paard voor externe toegang op hackforums. De identiteit van de personen achter deze promoties, of het nu echte ontwikkelaars of gewetenloze wederverkopers zijn, blijft onzeker.
Inhoudsopgave
De SeroXen RAT wint aan populariteit onder cybercriminelen
De betaalbare prijs van het SeroXen-programma voor externe toegang heeft het toegankelijk gemaakt voor een breed scala aan bedreigingsactoren. AT&T heeft talloze monsters van SeroXen geïdentificeerd sinds de opkomst in september 2022, en de activiteit eromheen is onlangs geïntensiveerd.
Hoewel de primaire doelwitten van SeroXen individuen binnen de gaminggemeenschap waren, is er een groeiende bezorgdheid dat naarmate de populariteit van de tool toeneemt, deze ook kan worden gebruikt om grotere entiteiten aan te vallen, zoals prominente bedrijven en organisaties.
De stijgende populariteit van SeroXen onder cybercriminelen kan worden toegeschreven aan de lage detectiepercentages en de krachtige mogelijkheden. Zijn bedrieglijke gedaante als een legitiem hulpmiddel voor externe toegang heeft het tot een aantrekkelijke keuze gemaakt voor bedreigingsactoren. Om de risico's verbonden aan deze Remote Access Trojan te beperken, is het absoluut noodzakelijk dat personen en organisaties waakzaam blijven en robuuste beveiligingsmaatregelen nemen.
De SeroXen RAT is ontwikkeld op basis van verschillende open-sourceprojecten
SeroXen maakt gebruik van verschillende open-sourceprojecten, waaronder de Quasar RAT , de r77-rootkit en de NirCmd-opdrachtregeltool. De SeroXen-ontwikkelaar heeft slim gebruik gemaakt van een combinatie van deze vrij beschikbare bronnen om een RAT te creëren die moeilijk te detecteren is door middel van zowel statische als dynamische analyse.
De Quasar RAT, die al bijna tien jaar bestaat sinds de eerste release in 2014, dient als basis voor de SeroXen RAT. Het biedt een lichtgewicht Remote Administration Tool met de nieuwste versie, 1.41, met functies zoals reverse proxy, remote shell, remote desktop, TLS-communicatie en een bestandsbeheersysteem. Het is openlijk toegankelijk op GitHub.
Om zijn mogelijkheden uit te breiden, maakt de SeroXen RAT gebruik van de r77 (Ring 3) rootkit. Deze open-source rootkit biedt functionaliteit zoals bestandsloze persistentie, hooking van onderliggende processen, inbedding van malware, in-memory procesinjectie en omzeiling van anti-malwaredetectie. SeroXen integreert ook het hulpprogramma NirCmd. NirCmd is een freeware-tool die eenvoudige beheertaken voor Windows-systemen en randapparatuur mogelijk maakt door middel van opdrachtregeluitvoering.
Analyse van de aanvallen van SeroXen RAT
Er zijn verschillende aanvalsvectoren gebruikt om SeroXen te verspreiden, waaronder phishing-e-mails en Discord-kanalen die door cybercriminelen worden gebruikt. Deze actoren verspreiden ZIP-archieven met zwaar versluierde batchbestanden.
Bij extractie decodeert het batchbestand een base64-gecodeerde tekst om twee binaire bestanden te extraheren. Deze binaire bestanden worden vervolgens in het geheugen geladen met behulp van .NET-reflectie. De aangepaste versie van msconfig.exe, die nodig is om de malware uit te voeren, is het enige bestand dat interactie heeft met de schijf. Het wordt tijdelijk opgeslagen in de map 'C:\Windows\System32V (let op de extra ruimte), die van korte duur is en wordt verwijderd na het installatieproces van het programma.
Het batchbestand dient als voertuig om de 'InstallStager.exe'-payload, een variant van de r77-rootkit, te implementeren. Om stealth en persistentie te behouden, wordt de rootkit verborgen en opgeslagen in het Windows-register. Vervolgens wordt het geactiveerd met behulp van PowerShell via de Taakplanner, waarbij het zichzelf in het "winlogon.exe"-proces injecteert.
Door deze injectie introduceert de r77-rootkit de SeroXen RAT in het geheugen van het systeem, waardoor zijn geheime aanwezigheid wordt gegarandeerd en externe toegang tot het gecompromitteerde apparaat mogelijk wordt. Zodra de malware voor externe toegang is gelanceerd, brengt deze communicatie tot stand met een Command and Control-server, in afwachting van opdrachten van de aanvallers.
Uit analyse blijkt dat SeroXen hetzelfde TLS-certificaat gebruikt als de Quasar RAT en dat het de meeste mogelijkheden van het oorspronkelijke project overneemt. Deze mogelijkheden omvatten ondersteuning voor TCP-netwerkstreams, efficiënte netwerkserialisatie en QuickLZ-compressie.
Onderzoekers op het gebied van cyberbeveiliging waarschuwen dat de toenemende populariteit van SeroXen kan leiden tot een mogelijke verschuiving van de focus van gamers naar grotere organisaties. Om netwerkverdedigers te helpen bij het bestrijden van deze dreiging, moeten organisaties voorzorgsmaatregelen nemen tegen de dreiging. Er zijn waardevolle bronnen voor het identificeren en verminderen van de aanwezigheid van SeroXen in netwerken, waardoor verdedigers hun cyberbeveiligingsmaatregelen kunnen verbeteren en zich kunnen beschermen tegen mogelijke aanvallen.
