SeroXen RAT

ਸਾਈਬਰ ਕ੍ਰਾਈਮਿਨਲ ਕਮਿਊਨਿਟੀ ਨੇ ਆਪਣੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸਮਰੱਥਾ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਯੋਗਤਾ ਦੇ ਕਾਰਨ 'ਸੇਰੋਐਕਸੇਨ' ਨਾਮਕ ਇੱਕ ਸਟੀਲਥੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਨੂੰ ਅਪਣਾਇਆ ਹੈ।

AT&T ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਦੇ ਅਨੁਸਾਰ, ਮਾਲਵੇਅਰ ਨੂੰ Windows 11 ਅਤੇ 10 ਲਈ ਇੱਕ ਜਾਇਜ਼ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਵਜੋਂ ਧੋਖੇ ਨਾਲ ਵੇਚਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਹ $15 ਦੀ ਮਾਸਿਕ ਗਾਹਕੀ ਫੀਸ ਜਾਂ $60 ਦੇ ਇੱਕ ਵਾਰ "ਲਾਈਫਟਾਈਮ" ਲਾਇਸੈਂਸ ਭੁਗਤਾਨ ਲਈ ਪੇਸ਼ਕਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਜਾਇਜ਼ ਸਾਧਨ ਵਜੋਂ ਪੇਸ਼ ਕੀਤੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, SeroXen ਨੂੰ ਅਸਲ ਵਿੱਚ ਹੈਕਿੰਗ ਫੋਰਮਾਂ 'ਤੇ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ ਦੇ ਰੂਪ ਵਿੱਚ ਅੱਗੇ ਵਧਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਹਨਾਂ ਤਰੱਕੀਆਂ ਦੇ ਪਿੱਛੇ ਵਿਅਕਤੀਆਂ ਦੀ ਪਛਾਣ, ਭਾਵੇਂ ਉਹ ਅਸਲ ਡਿਵੈਲਪਰ ਜਾਂ ਬੇਈਮਾਨ ਮੁੜ ਵਿਕਰੇਤਾ ਹਨ, ਅਨਿਸ਼ਚਿਤ ਹਨ।

ਸੇਰੋਐਕਸਨ ਆਰਏਟੀ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਵਿੱਚ ਟ੍ਰੈਕਸ਼ਨ ਹਾਸਲ ਕਰ ਰਿਹਾ ਹੈ

SeroXen ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰੋਗਰਾਮ ਦੇ ਕਿਫਾਇਤੀ ਕੀਮਤ ਬਿੰਦੂ ਨੇ ਇਸ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਲਈ ਪਹੁੰਚਯੋਗ ਬਣਾ ਦਿੱਤਾ ਹੈ। AT&T ਨੇ ਸਤੰਬਰ 2022 ਵਿੱਚ ਇਸ ਦੇ ਉਭਰਨ ਤੋਂ ਬਾਅਦ ਸੇਰੋਐਕਸੇਨ ਦੇ ਬਹੁਤ ਸਾਰੇ ਨਮੂਨਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਅਤੇ ਇਸਦੇ ਆਲੇ ਦੁਆਲੇ ਦੀ ਗਤੀਵਿਧੀ ਹਾਲ ਹੀ ਵਿੱਚ ਤੇਜ਼ ਹੋ ਗਈ ਹੈ।

ਜਦੋਂ ਕਿ ਸੇਰੋਐਕਸੇਨ ਦੇ ਪ੍ਰਾਇਮਰੀ ਟੀਚੇ ਗੇਮਿੰਗ ਕਮਿਊਨਿਟੀ ਦੇ ਅੰਦਰ ਵਿਅਕਤੀ ਰਹੇ ਹਨ, ਇੱਕ ਵਧ ਰਹੀ ਚਿੰਤਾ ਹੈ ਕਿ ਜਿਵੇਂ ਕਿ ਟੂਲ ਦੀ ਪ੍ਰਸਿੱਧੀ ਵਧਦੀ ਹੈ, ਇਸ ਨੂੰ ਵੱਡੀਆਂ ਸੰਸਥਾਵਾਂ, ਜਿਵੇਂ ਕਿ ਪ੍ਰਮੁੱਖ ਕੰਪਨੀਆਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਵੀ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਵਿੱਚ ਸੇਰੋਐਕਸਨ ਦੀ ਵੱਧ ਰਹੀ ਪ੍ਰਸਿੱਧੀ ਦਾ ਕਾਰਨ ਇਸਦੀ ਘੱਟ ਖੋਜ ਦਰਾਂ ਅਤੇ ਇਸਦੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਮੰਨਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਇੱਕ ਜਾਇਜ਼ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਦੇ ਰੂਪ ਵਿੱਚ ਇਸਦੇ ਧੋਖੇਬਾਜ਼ ਆੜ ਨੇ ਇਸਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਇੱਕ ਆਕਰਸ਼ਕ ਵਿਕਲਪ ਬਣਾ ਦਿੱਤਾ ਹੈ। ਇਸ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ ਨਾਲ ਜੁੜੇ ਖਤਰਿਆਂ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ, ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਲਈ ਚੌਕਸ ਰਹਿਣਾ ਅਤੇ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਲਾਜ਼ਮੀ ਹੈ।

SeroXen RAT ਵੱਖ-ਵੱਖ ਓਪਨ-ਸਰੋਤ ਪ੍ਰੋਜੈਕਟਾਂ ਤੋਂ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ

SeroXen ਕਈ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਖਿੱਚਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ Quasar RAT , r77 ਰੂਟਕਿਟ, ਅਤੇ NirCmd ਕਮਾਂਡ ਲਾਈਨ ਟੂਲ ਸ਼ਾਮਲ ਹਨ। ਸੇਰੋਐਕਸੇਨ ਡਿਵੈਲਪਰ ਨੇ ਚਲਾਕੀ ਨਾਲ ਇੱਕ RAT ਬਣਾਉਣ ਲਈ ਇਹਨਾਂ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਸਰੋਤਾਂ ਦੇ ਸੁਮੇਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ ਜੋ ਸਥਿਰ ਅਤੇ ਗਤੀਸ਼ੀਲ ਵਿਸ਼ਲੇਸ਼ਣ ਦੋਵਾਂ ਦੁਆਰਾ ਖੋਜਣਾ ਚੁਣੌਤੀਪੂਰਨ ਹੈ।

Quasar RAT, ਜੋ ਕਿ 2014 ਵਿੱਚ ਆਪਣੀ ਸ਼ੁਰੂਆਤੀ ਰਿਲੀਜ਼ ਤੋਂ ਬਾਅਦ ਲਗਭਗ ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਹੋਂਦ ਵਿੱਚ ਹੈ, SeroXen RAT ਦੀ ਨੀਂਹ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ, ਰਿਮੋਟ ਸ਼ੈੱਲ, ਰਿਮੋਟ ਡੈਸਕਟਾਪ, ਟੀਐਲਐਸ ਸੰਚਾਰ, ਅਤੇ ਇੱਕ ਫਾਈਲ ਪ੍ਰਬੰਧਨ ਸਿਸਟਮ ਵਰਗੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹੋਏ ਨਵੀਨਤਮ ਸੰਸਕਰਣ, 1.41 ਦੇ ਨਾਲ ਇੱਕ ਹਲਕਾ ਰਿਮੋਟ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ ਟੂਲ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ GitHub 'ਤੇ ਖੁੱਲ੍ਹੇ ਤੌਰ 'ਤੇ ਪਹੁੰਚਯੋਗ ਹੈ।

ਇਸਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਨ ਲਈ, SeroXen RAT r77 (ਰਿੰਗ 3) ਰੂਟਕਿਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਓਪਨ-ਸੋਰਸ ਰੂਟਕਿਟ ਕਾਰਜਸ਼ੀਲਤਾ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਫਾਈਲ-ਘੱਟ ਸਥਿਰਤਾ, ਚਾਈਲਡ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਹੂਕਿੰਗ, ਮਾਲਵੇਅਰ ਏਮਬੈਡਿੰਗ, ਇਨ-ਮੈਮੋਰੀ ਪ੍ਰਕਿਰਿਆ ਇੰਜੈਕਸ਼ਨ, ਅਤੇ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਖੋਜ ਦੀ ਚੋਰੀ। SeroXen NirCmd ਉਪਯੋਗਤਾ ਨੂੰ ਵੀ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। NirCmd ਇੱਕ ਫ੍ਰੀਵੇਅਰ ਟੂਲ ਹੈ ਜੋ ਕਮਾਂਡ-ਲਾਈਨ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੁਆਰਾ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਅਤੇ ਪੈਰੀਫਿਰਲਾਂ ਲਈ ਸਧਾਰਨ ਪ੍ਰਬੰਧਨ ਕਾਰਜਾਂ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।

SeroXen RAT ਦੇ ਹਮਲਿਆਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ

ਕਈ ਅਟੈਕ ਵੈਕਟਰਾਂ ਨੂੰ ਸੇਰੋਐਕਸਨ ਨੂੰ ਵੰਡਣ ਲਈ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਂਦੇ ਡਿਸਕਾਰਡ ਚੈਨਲ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਅਦਾਕਾਰ ਜ਼ਿੱਪ ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਵੰਡਦੇ ਹਨ ਜਿਸ ਵਿੱਚ ਭਾਰੀ ਗੁੰਝਲਦਾਰ ਬੈਚ ਫਾਈਲਾਂ ਹੁੰਦੀਆਂ ਹਨ।

ਐਕਸਟਰੈਕਟ ਕਰਨ 'ਤੇ, ਬੈਚ ਫਾਈਲ ਦੋ ਬਾਈਨਰੀਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਬੇਸ 64 ਏਨਕੋਡਡ ਟੈਕਸਟ ਨੂੰ ਡੀਕੋਡ ਕਰਦੀ ਹੈ। ਇਹ ਬਾਈਨਰੀਆਂ ਫਿਰ .NET ਰਿਫਲੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। msconfig.exe ਦਾ ਸੰਸ਼ੋਧਿਤ ਸੰਸਕਰਣ, ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜ਼ਰੂਰੀ, ਇੱਕੋ ਇੱਕ ਫਾਈਲ ਹੈ ਜੋ ਡਿਸਕ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੀ ਹੈ। ਇਹ ਅਸਥਾਈ ਤੌਰ 'ਤੇ 'C:\Windows \System32V ਡਾਇਰੈਕਟਰੀ (ਵਾਧੂ ਸਪੇਸ ਵੱਲ ਧਿਆਨ ਦਿਓ) ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਹੁੰਦਾ ਹੈ ਅਤੇ ਪ੍ਰੋਗਰਾਮ ਇੰਸਟਾਲੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਤੋਂ ਬਾਅਦ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਬੈਚ ਫਾਈਲ 'InstallStager.exe' ਪੇਲੋਡ, r77 ਰੂਟਕਿਟ ਦਾ ਇੱਕ ਰੂਪ, ਤੈਨਾਤ ਕਰਨ ਲਈ ਇੱਕ ਵਾਹਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਸਟੀਲਥ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ, ਰੂਟਕਿਟ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਵਿੱਚ ਗੁੰਝਲਦਾਰ ਅਤੇ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ "winlogon.exe" ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ, ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਦੁਆਰਾ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਸ ਇੰਜੈਕਸ਼ਨ ਰਾਹੀਂ, r77 ਰੂਟਕਿਟ ਸਿਸਟਮ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ SeroXen RAT ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਗੁਪਤ ਮੌਜੂਦਗੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਤੱਕ ਰਿਮੋਟ ਪਹੁੰਚ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਰਿਮੋਟ ਐਕਸੈਸ ਮਾਲਵੇਅਰ ਲਾਂਚ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਹਮਲਾਵਰਾਂ ਤੋਂ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹੋਏ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ SeroXen Quasar RAT ਦੇ ਸਮਾਨ TLS ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਹ ਅਸਲ ਪ੍ਰੋਜੈਕਟ ਤੋਂ ਜ਼ਿਆਦਾਤਰ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਿਰਾਸਤ ਵਿੱਚ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ TCP ਨੈੱਟਵਰਕ ਸਟ੍ਰੀਮ, ਕੁਸ਼ਲ ਨੈੱਟਵਰਕ ਸੀਰੀਅਲਾਈਜ਼ੇਸ਼ਨ, ਅਤੇ QuickLZ ਕੰਪਰੈਸ਼ਨ ਲਈ ਸਮਰਥਨ ਸ਼ਾਮਲ ਹੈ।

ਸਾਈਬਰਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਹੈ ਕਿ ਸੇਰੋਐਕਸਨ ਦੀ ਵਧਦੀ ਪ੍ਰਸਿੱਧੀ ਗੇਮਰਜ਼ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਤੋਂ ਵੱਡੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਫੋਕਸ ਵਿੱਚ ਇੱਕ ਸੰਭਾਵੀ ਤਬਦੀਲੀ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ। ਇਸ ਖਤਰੇ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਵਿੱਚ ਨੈੱਟਵਰਕ ਡਿਫੈਂਡਰਾਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ, ਸੰਗਠਨਾਂ ਨੂੰ ਖਤਰੇ ਦੇ ਵਿਰੁੱਧ ਸਾਵਧਾਨੀ ਵਰਤਣੀ ਚਾਹੀਦੀ ਹੈ। ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਸੇਰੋਐਕਸਨ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਇਸ ਨੂੰ ਘਟਾਉਣ ਲਈ ਕੀਮਤੀ ਸਰੋਤ ਹਨ, ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਸੰਭਾਵੀ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।