SeroXen RAT
Komunita kyberzločincov si čoraz viac osvojuje tajný trójsky kôň so vzdialeným prístupom (RAT) s názvom „SeroXen“ vďaka jeho výkonným schopnostiam a schopnosti vyhnúť sa detekcii.
Podľa správ od AT&T sa malvér klamlivo predáva ako legitímny nástroj vzdialeného prístupu pre Windows 11 a 10. Ponúka sa za mesačný poplatok za predplatné vo výške 15 USD alebo za jednorazovú „doživotnú“ licenčnú platbu vo výške 60 USD. Napriek tomu, že je prezentovaný ako legitímny nástroj, SeroXen je v skutočnosti propagovaný ako trójsky kôň pre vzdialený prístup na hackerských fórach. Identita jednotlivcov stojacich za týmito propagáciami, či už ide o skutočných vývojárov alebo bezohľadných predajcov, zostáva neistá.
Obsah
SeroXen RAT získava priazeň medzi kyberzločincami
Cenovo dostupný program vzdialeného prístupu SeroXen ho sprístupnil širokému spektru aktérov hrozieb. Spoločnosť AT&T identifikovala množstvo vzoriek SeroXenu od jeho vzniku v septembri 2022 a aktivita okolo neho sa nedávno zintenzívnila.
Zatiaľ čo hlavnými cieľmi SeroXenu boli jednotlivci v rámci hernej komunity, rastie obava, že s rastúcou popularitou tohto nástroja sa môže použiť aj na zacielenie na väčšie subjekty, ako sú významné spoločnosti a organizácie.
Rastúcu popularitu SeroXenu medzi kyberzločincami možno pripísať jeho nízkej miere detekcie a jeho silným schopnostiam. Jeho klamlivý vzhľad ako legitímneho nástroja vzdialeného prístupu z neho urobil atraktívnu voľbu pre aktérov hrozieb. Na zmiernenie rizík spojených s týmto trójskym koňom so vzdialeným prístupom je nevyhnutné, aby jednotlivci a organizácie zostali ostražití a implementovali robustné bezpečnostné opatrenia.
SeroXen RAT je vyvinutý z rôznych Open-Source projektov
SeroXen čerpá z niekoľkých open source projektov, vrátane Quasar RAT , rootkitu r77 a nástroja príkazového riadka NirCmd. Vývojár SeroXen šikovne využil kombináciu týchto voľne dostupných zdrojov na vytvorenie RAT, ktorý je náročné zistiť statickou aj dynamickou analýzou.
Quasar RAT, ktorý existuje už takmer desať rokov od jeho prvého vydania v roku 2014, slúži ako základ pre SeroXen RAT. Poskytuje ľahký nástroj vzdialenej správy s najnovšou verziou 1.41, ktorý obsahuje funkcie ako reverzný proxy, vzdialený shell, vzdialenú plochu, komunikáciu TLS a systém správy súborov. Je otvorene prístupný na GitHub.
Na rozšírenie svojich možností využíva SeroXen RAT rootkit r77 (Ring 3). Tento open source rootkit ponúka funkcie, ako je vytrvalosť bez súborov, pripájanie podriadených procesov, vkladanie škodlivého softvéru, vkladanie procesov do pamäte a vyhýbanie sa detekcii antimalvéru. SeroXen tiež integruje nástroj NirCmd. NirCmd je bezplatný nástroj, ktorý uľahčuje jednoduché úlohy správy pre systémy Windows a periférne zariadenia prostredníctvom vykonávania príkazového riadka.
Analýza útokov SeroXen RAT
Na distribúciu SeroXenu boli použité rôzne typy útokov, vrátane phishingových e-mailov a kanálov Discord využívaných kyberzločincami. Títo aktéri distribuujú archívy ZIP obsahujúce značne zahmlené dávkové súbory.
Po extrakcii dávkový súbor dekóduje text zakódovaný v base64 na extrahovanie dvoch binárnych súborov. Tieto binárne súbory sa potom načítajú do pamäte pomocou odrazu .NET. Upravená verzia msconfig.exe, ktorá je potrebná na spustenie malvéru, je jediným súborom, ktorý interaguje s diskom. Dočasne je uložený v adresári 'C:\Windows \System32V (všimnite si priestor navyše), ktorý je krátkodobý a po procese inštalácie programu sa vymaže.
Dávkový súbor slúži ako prostriedok na nasadenie užitočného obsahu 'InstallStager.exe', variantu rootkitu r77. Aby sa zachovala utajenosť a vytrvalosť, rootkit je zahmlený a uložený v registri Windows. Následne sa aktivuje pomocou PowerShell cez Plánovač úloh, čím sa sám vloží do procesu „winlogon.exe“.
Prostredníctvom tejto injekcie rootkit r77 vloží SeroXen RAT do pamäte systému, čím zabezpečí jeho skrytú prítomnosť a umožní vzdialený prístup k napadnutému zariadeniu. Po spustení malvéru pre vzdialený prístup nadviaže komunikáciu s príkazovým a riadiacim serverom a čaká na príkazy od útočníkov.
Analýza ukazuje, že SeroXen využíva rovnaký certifikát TLS ako Quasar RAT a dedí väčšinu schopností z pôvodného projektu. Tieto možnosti zahŕňajú podporu pre sieťové toky TCP, efektívnu serializáciu siete a kompresiu QuickLZ.
Výskumníci v oblasti kybernetickej bezpečnosti varujú, že rastúca popularita SeroXenu by mohla viesť k potenciálnemu posunu zamerania od zacielenia na hráčov k zacieleniu na väčšie organizácie. Na pomoc obrancom siete v boji proti tejto hrozbe by organizácie mali prijať preventívne opatrenia proti tejto hrozbe. Existujú cenné zdroje na identifikáciu a zmiernenie prítomnosti SeroXenu v sieťach, čo obrancom umožňuje zlepšiť svoje opatrenia kybernetickej bezpečnosti a chrániť sa pred potenciálnymi útokmi.
