SeroXen RAT
Skupnost kibernetskih kriminalcev je vse pogosteje sprejela prikritega trojanca za oddaljeni dostop (RAT), imenovanega 'SeroXen', zaradi njegovih močnih zmogljivosti in zmožnosti izogibanja odkrivanju.
Glede na poročila AT&T se zlonamerna programska oprema zavajajoče trži kot legitimno orodje za oddaljeni dostop za Windows 11 in 10. Na voljo je za mesečno naročnino v višini 15 USD ali enkratno "doživljenjsko" plačilo licence v višini 60 USD. Kljub temu, da je SeroXen predstavljen kot legitimno orodje, se na hekerskih forumih dejansko promovira kot trojanec za oddaljeni dostop. Identitete posameznikov, ki stojijo za temi promocijami, ne glede na to, ali so dejanski razvijalci ali brezvestni preprodajalci, ostajajo negotova.
Kazalo
SeroXen RAT postaja vse bolj priljubljen med kibernetskimi kriminalci
Zaradi dostopne cene programa za oddaljeni dostop SeroXen je postal dostopen širokemu krogu akterjev groženj. AT&T je identificiral številne vzorce SeroXena od njegovega pojava septembra 2022, dejavnost v zvezi s tem pa se je nedavno okrepila.
Medtem ko so bile primarne tarče SeroXena posamezniki v igralniški skupnosti, obstaja vse večja zaskrbljenost, da se lahko z naraščajočo priljubljenostjo orodja uporabi tudi za ciljanje na večje subjekte, kot so ugledna podjetja in organizacije.
Vse večjo priljubljenost SeroXena med kibernetskimi kriminalci lahko pripišemo nizkim stopnjam odkrivanja in močnim zmogljivostim. Njegova zavajajoča preobleka legitimnega orodja za oddaljeni dostop je postala privlačna izbira za akterje groženj. Da bi ublažili tveganja, povezana s tem trojancem za oddaljeni dostop, morajo posamezniki in organizacije nujno ostati pozorni in izvajati stroge varnostne ukrepe.
SeroXen RAT je razvit iz različnih odprtokodnih projektov
SeroXen temelji na več odprtokodnih projektih, vključno s Quasar RAT , rootkitom r77 in orodjem ukazne vrstice NirCmd. Razvijalec SeroXen je pametno uporabil kombinacijo teh prosto dostopnih virov, da je ustvaril RAT, ki ga je težko zaznati s statično in dinamično analizo.
Quasar RAT, ki obstaja že skoraj desetletje od svoje prve izdaje leta 2014, služi kot osnova za SeroXen RAT. Zagotavlja lahko orodje za oddaljeno skrbništvo z najnovejšo različico, 1.41, ki vključuje funkcije, kot so povratni proxy, oddaljena lupina, oddaljeno namizje, komunikacija TLS in sistem za upravljanje datotek. Odprto je dostopen na GitHubu.
Za razširitev svojih zmogljivosti SeroXen RAT uporablja rootkit r77 (Ring 3). Ta odprtokodni rootkit ponuja funkcionalnost, kot je obstojnost brez datotek, povezovanje podrejenih procesov, vdelava zlonamerne programske opreme, vstavljanje procesov v pomnilnik in izogibanje zaznavanju zlonamerne programske opreme. SeroXen vključuje tudi pripomoček NirCmd. NirCmd je brezplačno orodje, ki omogoča preprosta opravila upravljanja za sisteme Windows in zunanje naprave z izvajanjem v ukazni vrstici.
Analiza napadov SeroXen RAT
Za distribucijo SeroXen so bili uporabljeni različni vektorji napadov, vključno z lažno lažno e-pošto in kanali Discord, ki jih uporabljajo kibernetski kriminalci. Ti akterji distribuirajo arhive ZIP, ki vsebujejo močno zakrite paketne datoteke.
Po ekstrakciji paketna datoteka dekodira besedilo, kodirano base64, da izvleče dve dvojiški datoteki. Te binarne datoteke se nato naložijo v pomnilnik z odsevom .NET. Spremenjena različica msconfig.exe, potrebna za izvajanje zlonamerne programske opreme, je edina datoteka, ki komunicira z diskom. Začasno je shranjen v imeniku 'C:\Windows \System32V (upoštevajte dodaten prostor), ki je kratkotrajen in se izbriše po namestitvi programa.
Paketna datoteka služi kot sredstvo za namestitev uporabniškega tovora 'InstallStager.exe', različice rootkita r77. Za ohranitev prikritosti in obstojnosti je rootkit zakrit in shranjen v registru Windows. Nato se aktivira z lupino PowerShell prek razporejevalnika opravil in se vstavi v proces "winlogon.exe".
S to injekcijo rootkit r77 uvede SeroXen RAT v pomnilnik sistema, s čimer zagotovi njegovo prikrito prisotnost in omogoči oddaljeni dostop do ogrožene naprave. Ko se zlonamerna programska oprema za oddaljeni dostop zažene, vzpostavi komunikacijo s strežnikom za ukaze in nadzor ter čaka na ukaze napadalcev.
Analiza razkriva, da SeroXen uporablja isti certifikat TLS kot Quasar RAT in podeduje večino zmogljivosti prvotnega projekta. Te zmogljivosti vključujejo podporo za omrežne tokove TCP, učinkovito serializacijo omrežja in stiskanje QuickLZ.
Raziskovalci kibernetske varnosti opozarjajo, da bi naraščajoča priljubljenost SeroXena lahko povzročila morebitni premik fokusa s ciljanja na igralce iger na ciljanje na večje organizacije. Za pomoč zagovornikom omrežja v boju proti tej grožnji bi morale organizacije sprejeti previdnostne ukrepe proti grožnji. Obstajajo dragoceni viri za prepoznavanje in ublažitev prisotnosti SeroXen v omrežjih, ki zagovornikom omogočajo izboljšanje svojih ukrepov kibernetske varnosti in zaščito pred morebitnimi napadi.
