SeroXen RAT
Comunitatea criminalilor cibernetici a adoptat un troian ascuns de acces la distanță (RAT) numit „SeroXen” din ce în ce mai mult datorită capacităților sale puternice și capacității sale de a evita detectarea.
Potrivit rapoartelor de la AT&T, malware-ul este comercializat în mod înșelător ca un instrument legitim de acces la distanță pentru Windows 11 și 10. Este oferit pentru o taxă lunară de abonament de 15 USD sau o plată unică a licenței „pe viață” de 60 USD. În ciuda faptului că este prezentat ca un instrument legitim, SeroXen este de fapt promovat ca troian cu acces la distanță pe forumurile de hacking. Identitățile persoanelor din spatele acestor promoții, fie că sunt dezvoltatori reali sau revânzători fără scrupule, rămân incerte.
Cuprins
SeroXen RAT câștigă acțiune printre criminalii cibernetici
Prețul accesibil al programului de acces la distanță SeroXen l-a făcut accesibil unei game largi de actori amenințări. AT&T a identificat numeroase mostre de SeroXen de la apariția sa în septembrie 2022, iar activitatea din jurul acestuia s-a intensificat recent.
Deși obiectivele principale ale SeroXen au fost indivizii din comunitatea de jocuri, există o preocupare tot mai mare că, pe măsură ce popularitatea instrumentului se extinde, acesta poate fi folosit și pentru a viza entități mai mari, cum ar fi companii și organizații importante.
Popularitatea în creștere a SeroXen în rândul infractorilor cibernetici poate fi atribuită ratelor sale scăzute de detectare și capabilităților sale puternice. Faza sa înșelătoare de instrument legitim de acces la distanță a făcut din acesta o alegere atractivă pentru actorii amenințărilor. Pentru a atenua riscurile asociate cu acest troian cu acces la distanță, este imperativ ca indivizii și organizațiile să rămână vigilenți și să implementeze măsuri de securitate robuste.
SeroXen RAT este dezvoltat din diverse proiecte open-source
SeroXen se bazează pe mai multe proiecte open-source, inclusiv Quasar RAT , rootkit-ul r77 și instrumentul de linie de comandă NirCmd. Dezvoltatorul SeroXen a folosit inteligent o combinație a acestor resurse disponibile gratuit pentru a crea un RAT care este dificil de detectat atât prin analize statice cât și dinamice.
Quasar RAT, care există de aproape un deceniu de la lansarea sa inițială în 2014, servește drept fundație pentru SeroXen RAT. Oferă un instrument ușor de administrare la distanță cu cea mai recentă versiune, 1.41, care încorporează caracteristici precum proxy invers, shell la distanță, desktop la distanță, comunicare TLS și un sistem de gestionare a fișierelor. Este accesibil în mod deschis pe GitHub.
Pentru a-și extinde capacitățile, SeroXen RAT folosește rootkit-ul r77 (Ring 3). Acest rootkit open-source oferă funcționalități precum persistența fără fișiere, conectarea proceselor secundare, încorporarea de malware, injectarea proceselor în memorie și evaziunea detectării anti-malware. SeroXen integrează, de asemenea, utilitarul NirCmd. NirCmd este un instrument gratuit care facilitează sarcini simple de gestionare pentru sistemele și periferice Windows prin execuția în linia de comandă.
Analiza atacurilor SeroXen RAT
Au fost folosiți diferiți vectori de atac pentru a distribui SeroXen, inclusiv e-mailuri de phishing și canale Discord utilizate de infractorii cibernetici. Acești actori distribuie arhive ZIP care conțin fișiere batch foarte ascunse.
După extragere, fișierul batch decodifică un text codificat în bază64 pentru a extrage două binare. Aceste binare sunt apoi încărcate în memorie folosind reflectarea .NET. Versiunea modificată a msconfig.exe, necesară pentru executarea malware-ului, este singurul fișier care interacționează cu discul. Este stocat temporar în directorul „C:\Windows\System32V (observați spațiul suplimentar), care este de scurtă durată și este șters după procesul de instalare a programului.
Fișierul batch servește ca vehicul pentru implementarea sarcinii utile „InstallStager.exe”, o variantă a rootkit-ului r77. Pentru a menține ascunsarea și persistența, rootkit-ul este ascuns și stocat în registrul Windows. Ulterior, acesta este activat folosind PowerShell prin Task Scheduler, injectându-se în procesul „winlogon.exe”.
Prin această injecție, rootkit-ul r77 introduce SeroXen RAT în memoria sistemului, asigurând prezența sa ascunsă și permițând accesul de la distanță la dispozitivul compromis. Odată ce malware-ul de acces la distanță este lansat, acesta stabilește comunicarea cu un server de comandă și control, așteptând comenzile atacatorilor.
Analiza arată că SeroXen folosește același certificat TLS ca Quasar RAT și moștenește majoritatea capabilităților din proiectul original. Aceste capabilități includ suport pentru fluxurile de rețea TCP, serializarea eficientă a rețelei și compresia QuickLZ.
Cercetătorii în domeniul securității cibernetice avertizează că popularitatea în creștere a SeroXen ar putea duce la o potențială schimbare a focalizării de la vizarea jucătorilor la organizațiile mai mari. Pentru a ajuta apărătorii rețelei în combaterea acestei amenințări, organizațiile ar trebui să ia măsuri de precauție împotriva amenințării. Există resurse valoroase pentru identificarea și atenuarea prezenței SeroXen în rețele, permițând apărătorilor să-și îmbunătățească măsurile de securitate cibernetică și să se protejeze împotriva potențialelor atacuri.
