SeroXen RAT
Заједница сајбер криминалаца све више усваја прикривени тројанац за даљински приступ (РАТ) под називом 'СероКсен' због његових моћних могућности и способности да избегне откривање.
Према извештајима АТ&Т-а, злонамерни софтвер се на варан начин рекламира као легитиман алат за даљински приступ за Виндовс 11 и 10. Нуди се за месечну претплату од 15 долара или једнократну „доживотну” лиценцу од 60 долара. Упркос томе што је представљен као легитиман алат, СероКсен се заправо промовише као тројанац за даљински приступ на хакерским форумима. Идентитети појединаца који стоје иза ових промоција, било да су стварни програмери или бескрупулозни продавци, остају неизвесни.
Преглед садржаја
СероКсен РАТ постаје све популарнији међу сајбер криминалцима
Приступачна цена програма за даљински приступ СероКсен учинила га је доступним широком спектру претњи. АТ&Т је идентификовао бројне узорке СероКсена од његовог појављивања у септембру 2022. године, а активности око њега су се недавно интензивирале.
Иако су примарне мете СероКсен-а били појединци унутар заједнице игара, расте забринутост да како се популарност алата шири, он се такође може користити за циљање већих ентитета, као што су истакнуте компаније и организације.
Растућа популарност СероКсена међу сајбер криминалцима може се приписати ниској стопи откривања и моћним могућностима. Његова обмањујућа маска као легитимног алата за даљински приступ учинила га је атрактивним избором за актере претњи. Да би се умањили ризици повезани са овим тројанским програмом за даљински приступ, императив је да појединци и организације остану на опрезу и примењују робусне мере безбедности.
СероКсен РАТ је развијен из различитих пројеката отвореног кода
СероКсен се ослања на неколико пројеката отвореног кода, укључујући Куасар РАТ , р77 рооткит и алатку командне линије НирЦмд. СероКсен програмер је паметно искористио комбинацију ових слободно доступних ресурса за креирање РАТ-а који је изазовно открити кроз статичку и динамичку анализу.
Куасар РАТ, који постоји скоро деценију од његовог првобитног издања 2014. године, служи као основа за СероКсен РАТ. Пружа лагани алат за даљинску администрацију са најновијом верзијом, 1.41, који укључује функције као што су обрнути прокси, удаљена шкољка, удаљена радна површина, ТЛС комуникација и систем за управљање датотекама. Отворено је доступан на ГитХуб-у.
Да би проширио своје могућности, СероКсен РАТ користи р77 (Ринг 3) рооткит. Овај руткит отвореног кода нуди функционалност као што је постојаност без датотека, спајање подређених процеса, уграђивање злонамерног софтвера, убацивање процеса у меморију и избегавање откривања малвера. СероКсен такође интегрише услужни програм НирЦмд. НирЦмд је бесплатна алатка која олакшава једноставне задатке управљања за Виндовс системе и периферне уређаје кроз извршавање командне линије.
Анализа СероКсен РАТ напада
За дистрибуцију СероКсен-а коришћени су различити вектори напада, укључујући пхисхинг мејлове и Дисцорд канале које користе сајбер криминалци. Ови актери дистрибуирају ЗИП архиве које садрже јако замагљене батцх датотеке.
Након екстракције, батцх фајл декодира басе64 кодирани текст да би издвојио две бинарне датотеке. Ове бинарне датотеке се затим учитавају у меморију помоћу .НЕТ рефлексије. Модификована верзија мсцонфиг.еке, неопходна за извршавање малвера, је једина датотека која комуницира са диском. Привремено се чува у директоријуму 'Ц:\Виндовс\Систем32В (обратите пажњу на додатни простор), који је кратког века и брише се након процеса инсталације програма.
Батцх датотека служи као средство за примену 'ИнсталлСтагер.еке' корисног оптерећења, варијанте р77 рооткита. Да би се одржао скривеност и упорност, рооткит је замагљен и ускладиштен у Виндовс регистру. Након тога се активира помоћу ПоверСхелл-а преко Таск Сцхедулер-а, убризгавајући се у процес „винлогон.еке“.
Кроз ову ињекцију, р77 рооткит уводи СероКсен РАТ у меморију система, осигуравајући његово тајно присуство и омогућавајући даљински приступ компромитованом уређају. Када се малвер за даљински приступ покрене, он успоставља комуникацију са сервером за команду и контролу, чекајући команде од нападача.
Анализа открива да СероКсен користи исти ТЛС сертификат као Куасар РАТ, и да наслеђује већину могућности из оригиналног пројекта. Ове могућности обухватају подршку за ТЦП мрежне токове, ефикасну серијализацију мреже и КуицкЛЗ компресију.
Истраживачи сајбер безбедности упозоравају да би све већа популарност СероКсена могла довести до потенцијалног померања фокуса са циљања на играче на циљање већих организација. Да би помогле заштитницима мреже у борби против ове претње, организације треба да предузму мере предострожности против претње. Постоје вредни ресурси за идентификацију и ублажавање присуства СероКсен-а унутар мрежа, омогућавајући браниоцима да побољшају своје мере сајбер безбедности и заштите од потенцијалних напада.
