SeroXen RAT
Сообщество киберпреступников приняло на вооружение скрытый троян удаленного доступа (RAT) под названием SeroXen, все чаще из-за его мощных возможностей и способности уклоняться от обнаружения.
Согласно сообщениям AT&T, вредоносное ПО обманчиво позиционируется как законный инструмент удаленного доступа для Windows 11 и 10. Оно предлагается за ежемесячную абонентскую плату в размере 15 долларов США или за единовременную «пожизненную» лицензионную плату в размере 60 долларов США. Несмотря на то, что SeroXen представлен как легитимный инструмент, на хакерских форумах он фактически рекламируется как троян удаленного доступа. Личности лиц, стоящих за этими акциями, будь то настоящие разработчики или недобросовестные реселлеры, остаются неизвестными.
Оглавление
SeroXen RAT набирает популярность среди киберпреступников
Доступная цена программы удаленного доступа SeroXen сделала ее доступной для широкого круга злоумышленников. AT&T выявила многочисленные образцы SeroXen с момента его появления в сентябре 2022 года, и в последнее время активность вокруг него усилилась.
Хотя основными целями SeroXen были отдельные лица в игровом сообществе, растет обеспокоенность тем, что по мере роста популярности этого инструмента его также могут использовать для нацеливания на более крупные организации, такие как известные компании и организации.
Растущая популярность SeroXen среди киберпреступников может быть связана с его низким уровнем обнаружения и мощными возможностями. Обманчивая внешность законного средства удаленного доступа сделала его привлекательным выбором для злоумышленников. Чтобы снизить риски, связанные с этим трояном удаленного доступа, отдельным лицам и организациям необходимо сохранять бдительность и применять надежные меры безопасности.
SeroXen RAT разработан на основе различных проектов с открытым исходным кодом.
SeroXen опирается на несколько проектов с открытым исходным кодом, включая Quasar RAT , руткит r77 и инструмент командной строки NirCmd. Разработчик SeroXen умело использовал комбинацию этих свободно доступных ресурсов для создания RAT, которую сложно обнаружить с помощью как статического, так и динамического анализа.
Quasar RAT, который существует уже почти десять лет с момента его первого выпуска в 2014 году, служит основой для SeroXen RAT. Он предоставляет легкий инструмент удаленного администрирования с последней версией 1.41, включающий такие функции, как обратный прокси-сервер, удаленная оболочка, удаленный рабочий стол, связь TLS и система управления файлами. Он находится в открытом доступе на GitHub.
Для расширения своих возможностей SeroXen RAT использует руткит r77 (Ring 3). Этот руткит с открытым исходным кодом предлагает такие функции, как сохранение без файлов, перехват дочерних процессов, внедрение вредоносных программ, внедрение процессов в память и уклонение от обнаружения вредоносных программ. SeroXen также интегрирует утилиту NirCmd. NirCmd — это бесплатный инструмент, который упрощает выполнение простых задач управления системами Windows и периферийными устройствами посредством выполнения из командной строки.
Анализ атак SeroXen RAT
Для распространения SeroXen использовались различные векторы атак, включая фишинговые электронные письма и каналы Discord, используемые киберпреступниками. Эти субъекты распространяют ZIP-архивы, содержащие сильно запутанные пакетные файлы.
После извлечения пакетный файл декодирует текст в кодировке base64 для извлечения двух двоичных файлов. Затем эти двоичные файлы загружаются в память с помощью отражения .NET. Модифицированная версия msconfig.exe, необходимая для запуска зловреда, является единственным файлом, взаимодействующим с диском. Он временно хранится в каталоге «C:\Windows\System32V» (обратите внимание на лишнее пространство), который недолговечен и удаляется после процесса установки программы.
Пакетный файл служит средством для развертывания полезной нагрузки «InstallStager.exe», варианта руткита r77. Чтобы сохранить скрытность и постоянство, руткит замаскирован и хранится в реестре Windows. Впоследствии он активируется с помощью PowerShell через планировщик заданий, внедряясь в процесс «winlogon.exe».
С помощью этой инъекции руткит r77 внедряет SeroXen RAT в системную память, обеспечивая ее скрытое присутствие и обеспечивая удаленный доступ к скомпрометированному устройству. После запуска вредоносное ПО для удаленного доступа устанавливает связь с сервером управления и контроля, ожидая команд от злоумышленников.
Анализ показывает, что SeroXen использует тот же сертификат TLS, что и Quasar RAT, и наследует большую часть возможностей исходного проекта. Эти возможности включают поддержку сетевых потоков TCP, эффективную сериализацию сети и сжатие QuickLZ.
Исследователи кибербезопасности предупреждают, что растущая популярность SeroXen может привести к потенциальному смещению акцента с геймеров на более крупные организации. Чтобы помочь сетевым защитникам в борьбе с этой угрозой, организациям следует принять меры предосторожности против этой угрозы. Существуют ценные ресурсы для выявления и уменьшения присутствия SeroXen в сетях, что позволяет защитникам усилить свои меры кибербезопасности и защититься от потенциальных атак.
