SeroXen RAT
Komuniteti i kriminelëve kibernetikë ka adoptuar një Trojan të fshehtë me qasje në distancë (RAT) të quajtur 'SeroXen' gjithnjë e më shumë për shkak të aftësive të tij të fuqishme dhe aftësisë për të shmangur zbulimin.
Sipas raporteve nga AT&T, malware po tregtohet në mënyrë mashtruese si një mjet legjitim i qasjes në distancë për Windows 11 dhe 10. Ofrohet për një tarifë abonimi mujor prej 15 dollarësh ose një pagesë të njëhershme të licencës "të përjetshme" prej 60 dollarësh. Pavarësisht se është paraqitur si një mjet legjitim, SeroXen në fakt po promovohet si një Trojan i Qasjes në Distanca në forumet e hakerëve. Identiteti i individëve që qëndrojnë pas këtyre promovimeve, nëse ata janë zhvillues aktualë apo rishitës të paskrupullt, mbeten të pasigurt.
Tabela e Përmbajtjes
SeroXen RAT po fiton tërheqje mes kriminelëve kibernetikë
Çmimi i përballueshëm i programit të aksesit në distancë SeroXen e ka bërë atë të aksesueshëm për një gamë të gjerë aktorësh kërcënimi. AT&T ka identifikuar mostra të shumta të SeroXen që nga shfaqja e tij në shtator 2022, dhe aktiviteti rreth tij është intensifikuar kohët e fundit.
Ndërsa objektivat kryesore të SeroXen kanë qenë individët brenda komunitetit të lojrave, ekziston një shqetësim në rritje se ndërsa popullariteti i mjetit zgjerohet, ai gjithashtu mund të përdoret për të synuar entitete më të mëdha, si kompani dhe organizata të shquara.
Popullariteti në rritje i SeroXen midis kriminelëve kibernetikë mund t'i atribuohet shkallës së ulët të zbulimit dhe aftësive të tij të fuqishme. Masa e tij mashtruese si një mjet legjitim i qasjes në distancë e ka bërë atë një zgjedhje tërheqëse për aktorët e kërcënimit. Për të zbutur rreziqet që lidhen me këtë Trojan të Qasjes në Remote, është e domosdoshme që individët dhe organizatat të qëndrojnë vigjilentë dhe të zbatojnë masa të forta sigurie.
SeroXen RAT është zhvilluar nga projekte të ndryshme me burim të hapur
SeroXen mbështetet në disa projekte me burim të hapur, duke përfshirë Quasar RAT , rootkit r77 dhe mjetin e linjës së komandës NirCmd. Zhvilluesi i SeroXen ka përdorur me zgjuarsi një kombinim të këtyre burimeve të disponueshme falas për të krijuar një RAT që është sfidues për t'u zbuluar përmes analizës statike dhe dinamike.
Quasar RAT, i cili ka ekzistuar për gati një dekadë që nga lëshimi i tij fillestar në 2014, shërben si themeli për SeroXen RAT. Ai siguron një mjet të lehtë të administrimit në distancë me versionin më të fundit, 1.41, duke përfshirë veçori të tilla si përfaqësuesi i kundërt, guaska në distancë, desktopi në distancë, komunikimi TLS dhe një sistem menaxhimi i skedarëve. Është e hapur hapur në GitHub.
Për të zgjeruar aftësitë e tij, SeroXen RAT përdor rootkit r77 (Unaza 3). Ky rootkit me burim të hapur ofron funksione të tilla si qëndrueshmëria pa skedarë, fiksimi i proceseve të fëmijëve, futja e malware, injektimi i procesit në kujtesë dhe evazioni i zbulimit të anti-malware. SeroXen gjithashtu integron mjetin NirCmd. NirCmd është një mjet pa pagesë që lehtëson detyrat e thjeshta të menaxhimit për sistemet Windows dhe pajisjet periferike përmes ekzekutimit të linjës së komandës.
Analiza e Sulmeve të SeroXen RAT
Vektorë të ndryshëm sulmi janë përdorur për të shpërndarë SeroXen, duke përfshirë emailet e phishing dhe kanalet Discord të përdorura nga kriminelët kibernetikë. Këta aktorë shpërndajnë arkivat ZIP që përmbajnë skedarë të grumbulluar shumë të turbullt.
Pas nxjerrjes, skedari i grupit deshifron një tekst të koduar bazë64 për të nxjerrë dy binare. Këto binare pastaj ngarkohen në memorie duke përdorur reflektimin .NET. Versioni i modifikuar i msconfig.exe, i nevojshëm për ekzekutimin e malware, është skedari i vetëm që ndërvepron me diskun. Ai ruhet përkohësisht në direktorinë 'C:\Windows\System32V (vëreni hapësirën shtesë), e cila është jetëshkurtër dhe fshihet pas procesit të instalimit të programit.
Skedari i grupit shërben si mjet për vendosjen e ngarkesës 'InstallStager.exe', një variant i rootkit r77. Për të ruajtur fshehtësinë dhe qëndrueshmërinë, rootkit errësohet dhe ruhet në regjistrin e Windows. Më pas, ai aktivizohet duke përdorur PowerShell përmes Task Scheduler, duke e injektuar veten në procesin "winlogon.exe".
Nëpërmjet këtij injeksioni, rootkit r77 prezanton SeroXen RAT në kujtesën e sistemit, duke siguruar praninë e tij të fshehtë dhe duke mundësuar akses në distancë në pajisjen e komprometuar. Pasi lansohet malware i aksesit në distancë, ai vendos komunikimin me një server Command and Control, në pritje të komandave nga sulmuesit.
Analiza zbulon se SeroXen përdor të njëjtën certifikatë TLS si Quasar RAT dhe trashëgon shumicën e aftësive nga projekti origjinal. Këto aftësi përfshijnë mbështetjen për rrjedhat e rrjetit TCP, serializimin efikas të rrjetit dhe kompresimin QuickLZ.
Studiuesit e sigurisë kibernetike paralajmërojnë se popullariteti në rritje i SeroXen mund të çojë në një zhvendosje të mundshme në fokus nga synimi i lojtarëve në shënjestrimin e organizatave më të mëdha. Për të ndihmuar mbrojtësit e rrjetit në luftimin e këtij kërcënimi, organizatat duhet të marrin masa paraprake kundër kërcënimit. Ekzistojnë burime të vlefshme për identifikimin dhe zbutjen e pranisë së SeroXen brenda rrjeteve, duke u mundësuar mbrojtësve të rrisin masat e tyre të sigurisë kibernetike dhe të mbrojnë kundër sulmeve të mundshme.
