SeroXen RAT
Den cyberkriminella gemenskapen har antagit en smygande Remote Access Trojan (RAT) som heter "SeroXen" alltmer på grund av dess kraftfulla kapacitet och förmåga att undvika upptäckt.
Enligt rapporter från AT&T marknadsförs den skadliga programvaran bedrägligt som ett legitimt fjärråtkomstverktyg för Windows 11 och 10. Det erbjuds för en månatlig prenumerationsavgift på $15 eller en engångsbetalning för en "livstidslicens" på $60. Trots att det presenteras som ett legitimt verktyg, marknadsförs SeroXen faktiskt som en fjärråtkomsttrojan på hackingforum. Identiteten för individerna bakom dessa kampanjer, oavsett om de är faktiska utvecklare eller skrupelfria återförsäljare, är fortfarande osäkra.
Innehållsförteckning
SeroXen RAT vinner dragkraft bland cyberkriminella
Det överkomliga priset för SeroXens fjärråtkomstprogram har gjort det tillgängligt för ett brett spektrum av hotaktörer. AT&T har identifierat ett flertal prover av SeroXen sedan dess uppkomst i september 2022, och aktiviteten kring den har nyligen intensifierats.
Medan de primära målen för SeroXen har varit individer inom spelgemenskapen, finns det en växande oro för att allt eftersom verktygets popularitet ökar, kan det också användas för att rikta in sig på större enheter, såsom framstående företag och organisationer.
Den ökande populariteten för SeroXen bland cyberbrottslingar kan tillskrivas dess låga upptäcktsfrekvens och dess potenta kapacitet. Dess vilseledande skepnad som ett legitimt verktyg för fjärråtkomst har gjort det till ett attraktivt val för hotaktörer. För att minska riskerna förknippade med denna fjärråtkomsttrojan är det absolut nödvändigt för individer och organisationer att vara vaksamma och implementera robusta säkerhetsåtgärder.
SeroXen RAT är utvecklad från olika Open-Source-projekt
SeroXen bygger på flera projekt med öppen källkod, inklusive Quasar RAT , r77 rootkit och kommandoradsverktyget NirCmd. SeroXen-utvecklaren har på ett skickligt sätt använt en kombination av dessa fritt tillgängliga resurser för att skapa en RAT som är utmanande att upptäcka genom både statisk och dynamisk analys.
Quasar RAT, som har funnits i nästan ett decennium sedan den första lanseringen 2014, fungerar som grunden för SeroXen RAT. Den tillhandahåller ett lättviktigt verktyg för fjärradministration med den senaste versionen, 1.41, som innehåller funktioner som omvänd proxy, fjärrskal, fjärrskrivbord, TLS-kommunikation och ett filhanteringssystem. Det är öppet tillgängligt på GitHub.
För att utöka sina möjligheter använder SeroXen RAT r77 (Ring 3) rootkit. Detta rootkit med öppen källkod erbjuder funktioner som fillös beständighet, hooking av underordnade processer, inbäddning av skadlig programvara, processinjektion i minnet och undvikande av upptäckt av anti-malware. SeroXen integrerar också NirCmd-verktyget. NirCmd är ett gratisprogram som underlättar enkla hanteringsuppgifter för Windows-system och kringutrustning genom kommandoradsexekvering.
Analys av SeroXen RAT:s attacker
Olika attackvektorer har använts för att distribuera SeroXen, inklusive nätfiske-e-post och Discord-kanaler som används av cyberbrottslingar. Dessa aktörer distribuerar ZIP-arkiv som innehåller kraftigt obfuskerade batchfiler.
Vid extrahering avkodar batchfilen en base64-kodad text för att extrahera två binärer. Dessa binärer laddas sedan in i minnet med hjälp av .NET-reflektion. Den modifierade versionen av msconfig.exe, nödvändig för att köra skadlig programvara, är den enda filen som interagerar med disken. Den lagras tillfälligt i katalogen 'C:\Windows \System32V (märk på det extra utrymmet), som är kortlivad och raderas efter programinstallationsprocessen.
Batchfilen fungerar som ett fordon för att distribuera "InstallStager.exe" nyttolasten, en variant av r77 rootkit. För att upprätthålla smygande och uthållighet är rootkit fördunklat och lagras i Windows-registret. Därefter aktiveras den med PowerShell via Task Scheduler, och injicerar sig själv i "winlogon.exe"-processen.
Genom denna injektion introducerar r77 rootkit SeroXen RAT i systemets minne, vilket säkerställer dess hemliga närvaro och möjliggör fjärråtkomst till den komprometterade enheten. När skadlig programvara för fjärråtkomst har lanserats upprättar den kommunikation med en kommando- och kontrollserver, i väntan på kommandon från angriparna.
Analys avslöjar att SeroXen använder samma TLS-certifikat som Quasar RAT, och det ärver de flesta funktionerna från det ursprungliga projektet. Dessa funktioner omfattar stöd för TCP-nätverksströmmar, effektiv nätverksserialisering och QuickLZ-komprimering.
Cybersäkerhetsforskare varnar för att den ökande populariteten för SeroXen kan leda till en potentiell förändring av fokus från att rikta in sig på spelare till att rikta in sig på större organisationer. För att hjälpa nätverksförsvarare att bekämpa detta hot bör organisationer vidta försiktighetsåtgärder mot hotet. Det finns värdefulla resurser för att identifiera och mildra närvaron av SeroXen i nätverk, vilket gör det möjligt för försvarare att förbättra sina cybersäkerhetsåtgärder och skydda mot potentiella attacker.
