SeroXen RAT
Społeczność cyberprzestępców w coraz większym stopniu adoptowała podstępnego trojana zdalnego dostępu (RAT) o nazwie „SeroXen” ze względu na jego potężne możliwości i zdolność unikania wykrycia.
Według doniesień AT&T, złośliwe oprogramowanie jest oszukańczo reklamowane jako legalne narzędzie zdalnego dostępu dla Windows 11 i 10. Jest oferowane za miesięczną opłatę subskrypcyjną w wysokości 15 USD lub jednorazową „dożywotnią” opłatę licencyjną w wysokości 60 USD. Pomimo tego, że SeroXen jest przedstawiany jako legalne narzędzie, w rzeczywistości jest promowany jako trojan zdalnego dostępu na forach hakerskich. Tożsamość osób stojących za tymi promocjami, niezależnie od tego, czy są to prawdziwi programiści, czy pozbawieni skrupułów sprzedawcy, pozostaje niepewna.
Spis treści
SeroXen RAT zyskuje na popularności wśród cyberprzestępców
Przystępna cena programu zdalnego dostępu SeroXen sprawiła, że jest on dostępny dla szerokiego grona cyberprzestępców. AT&T zidentyfikowała liczne próbki SeroXen od czasu jego pojawienia się we wrześniu 2022 r., a aktywność wokół niego ostatnio się nasiliła.
Podczas gdy głównymi celami SeroXen były osoby ze społeczności graczy, rośnie obawa, że wraz ze wzrostem popularności narzędzia, może ono być również wykorzystywane do kierowania ataków na większe podmioty, takie jak znane firmy i organizacje.
Rosnącą popularność SeroXen wśród cyberprzestępców można przypisać niskim wskaźnikom wykrywalności i potężnym możliwościom. Jego zwodnicza postać legalnego narzędzia zdalnego dostępu sprawiła, że stał się atrakcyjnym wyborem dla cyberprzestępców. Aby ograniczyć ryzyko związane z tym trojanem zdalnego dostępu, osoby i organizacje muszą zachować czujność i wdrożyć solidne środki bezpieczeństwa.
SeroXen RAT jest rozwijany z różnych projektów Open-Source
SeroXen opiera się na kilku projektach open-source, w tym Quasar RAT , rootkicie r77 i narzędziu wiersza poleceń NirCmd. Deweloper SeroXen sprytnie wykorzystał kombinację tych swobodnie dostępnych zasobów, aby stworzyć RAT, który jest trudny do wykrycia zarówno poprzez analizę statyczną, jak i dynamiczną.
Quasar RAT, który istnieje od prawie dekady od pierwszego wydania w 2014 roku, służy jako podstawa dla SeroXen RAT. Zapewnia lekkie narzędzie do administracji zdalnej z najnowszą wersją, 1.41, zawierające funkcje, takie jak odwrotne proxy, zdalna powłoka, zdalny pulpit, komunikacja TLS i system zarządzania plikami. Jest ogólnie dostępny na GitHubie.
Aby rozszerzyć swoje możliwości, SeroXen RAT wykorzystuje rootkita r77 (Ring 3). Ten rootkit typu open source oferuje takie funkcje, jak trwałość bez plików, przechwytywanie procesów potomnych, osadzanie złośliwego oprogramowania, wstrzykiwanie procesów do pamięci i unikanie wykrywania złośliwego oprogramowania. SeroXen integruje również narzędzie NirCmd. NirCmd to bezpłatne narzędzie, które ułatwia proste zadania zarządzania systemami Windows i urządzeniami peryferyjnymi poprzez wykonywanie z wiersza poleceń.
Analiza ataków SeroXen RAT
Do dystrybucji SeroXen wykorzystywano różne wektory ataków, w tym e-maile phishingowe i kanały Discord wykorzystywane przez cyberprzestępców. Aktorzy ci rozpowszechniają archiwa ZIP zawierające mocno zaciemnione pliki wsadowe.
Po wyodrębnieniu plik wsadowy dekoduje tekst zakodowany w formacie base64 w celu wyodrębnienia dwóch plików binarnych. Te pliki binarne są następnie ładowane do pamięci przy użyciu odbicia platformy .NET. Zmodyfikowana wersja msconfig.exe, niezbędna do uruchomienia szkodliwego oprogramowania, jest jedynym plikiem, który wchodzi w interakcję z dyskiem. Jest tymczasowo przechowywany w katalogu „C:\Windows\System32V (zwróć uwagę na dodatkowe miejsce), który jest krótkotrwały i usuwany po procesie instalacji programu.
Plik wsadowy służy jako narzędzie do wdrażania ładunku „InstallStager.exe”, wariantu rootkita r77. Aby zachować niewidzialność i trwałość, rootkit jest ukrywany i przechowywany w rejestrze systemu Windows. Następnie jest aktywowany przy użyciu PowerShell przez Harmonogram zadań, wstrzykując się do procesu "winlogon.exe".
Poprzez to wstrzyknięcie rootkit r77 wprowadza SeroXen RAT do pamięci systemu, zapewniając jego ukrytą obecność i umożliwiając zdalny dostęp do zaatakowanego urządzenia. Po uruchomieniu złośliwe oprogramowanie do zdalnego dostępu nawiązuje komunikację z serwerem Command and Control, oczekując na polecenia atakujących.
Analiza wykazała, że SeroXen wykorzystuje ten sam certyfikat TLS co Quasar RAT i dziedziczy większość możliwości z oryginalnego projektu. Możliwości te obejmują obsługę strumieni sieciowych TCP, wydajną serializację sieci i kompresję QuickLZ.
Analitycy cyberbezpieczeństwa ostrzegają, że rosnąca popularność SeroXen może doprowadzić do potencjalnego przesunięcia uwagi z atakowania graczy na celowanie w większe organizacje. Aby pomóc obrońcom sieci w walce z tym zagrożeniem, organizacje powinny przedsięwziąć środki ostrożności. Istnieją cenne zasoby do identyfikowania i łagodzenia obecności SeroXen w sieciach, umożliwiające obrońcom ulepszenie środków bezpieczeństwa cybernetycznego i ochronę przed potencjalnymi atakami.
