SeroXen RAT

సైబర్‌క్రిమినల్ కమ్యూనిటీ దాని శక్తివంతమైన సామర్థ్యాలు మరియు గుర్తింపును తప్పించుకునే సామర్థ్యం కారణంగా 'SeroXen' అనే స్టెల్తీ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని స్వీకరించింది.

AT&T నుండి వచ్చిన నివేదికల ప్రకారం, మాల్వేర్ Windows 11 మరియు 10 కోసం చట్టబద్ధమైన రిమోట్ యాక్సెస్ సాధనంగా మోసపూరితంగా మార్కెట్ చేయబడుతోంది. ఇది నెలవారీ చందా రుసుము $15 లేదా $60 యొక్క ఒక-పర్యాయ "జీవితకాల" లైసెన్స్ చెల్లింపు కోసం అందించబడుతుంది. చట్టబద్ధమైన సాధనంగా సమర్పించబడినప్పటికీ, సెరోక్సెన్ నిజానికి హ్యాకింగ్ ఫోరమ్‌లలో రిమోట్ యాక్సెస్ ట్రోజన్‌గా ప్రచారం చేయబడుతోంది. ఈ ప్రమోషన్‌ల వెనుక ఉన్న వ్యక్తుల గుర్తింపులు, వారు వాస్తవ డెవలపర్‌లు లేదా నిష్కపటమైన పునఃవిక్రేతదారులా అనేది అనిశ్చితంగానే ఉంది.

సెరోక్సెన్ RAT సైబర్ నేరస్థుల మధ్య ట్రాక్షన్‌ను పొందుతోంది

సెరోక్సెన్ రిమోట్ యాక్సెస్ ప్రోగ్రాం యొక్క సరసమైన ధర పాయింట్‌ని విస్తృత శ్రేణి ముప్పు నటులకు అందుబాటులో ఉంచింది. సెప్టెంబర్ 2022లో సెరోక్సెన్ ఆవిర్భవించినప్పటి నుండి AT&T అనేక నమూనాలను గుర్తించింది మరియు దాని చుట్టూ ఉన్న కార్యాచరణ ఇటీవల తీవ్రమైంది.

సెరోక్సెన్ యొక్క ప్రాథమిక లక్ష్యాలు గేమింగ్ కమ్యూనిటీలోని వ్యక్తులే అయినప్పటికీ, సాధనం యొక్క ప్రజాదరణ విస్తరిస్తున్న కొద్దీ, ప్రముఖ కంపెనీలు మరియు సంస్థల వంటి పెద్ద సంస్థలను లక్ష్యంగా చేసుకోవడానికి కూడా ఇది ఉపయోగించబడుతుందనే ఆందోళన పెరుగుతోంది.

సైబర్ నేరస్థులలో సెరోక్సెన్ యొక్క పెరుగుతున్న ప్రజాదరణ దాని తక్కువ గుర్తింపు రేట్లు మరియు దాని శక్తివంతమైన సామర్థ్యాలకు కారణమని చెప్పవచ్చు. చట్టబద్ధమైన రిమోట్ యాక్సెస్ సాధనంగా దాని మోసపూరిత వేషం బెదిరింపు నటులకు ఆకర్షణీయమైన ఎంపికగా మారింది. ఈ రిమోట్ యాక్సెస్ ట్రోజన్‌తో సంబంధం ఉన్న నష్టాలను తగ్గించడానికి, వ్యక్తులు మరియు సంస్థలు అప్రమత్తంగా ఉండటం మరియు పటిష్టమైన భద్రతా చర్యలను అమలు చేయడం అత్యవసరం.

సెరోక్సెన్ RAT వివిధ ఓపెన్-సోర్స్ ప్రాజెక్ట్‌ల నుండి అభివృద్ధి చేయబడింది

SeroXen Quasar RAT , r77 రూట్‌కిట్ మరియు NirCmd కమాండ్ లైన్ సాధనంతో సహా అనేక ఓపెన్-సోర్స్ ప్రాజెక్ట్‌లను ఆకర్షిస్తుంది. సెరోక్సెన్ డెవలపర్ తెలివిగా ఈ ఉచితంగా లభించే వనరుల కలయికను ఉపయోగించి, స్టాటిక్ మరియు డైనమిక్ విశ్లేషణల ద్వారా గుర్తించడం సవాలుగా ఉన్న RATని రూపొందించారు.

Quasar RAT, 2014లో దాని ప్రారంభ విడుదల నుండి దాదాపు ఒక దశాబ్దం పాటు ఉనికిలో ఉంది, ఇది సెరోక్సెన్ RATకి పునాదిగా పనిచేస్తుంది. ఇది రివర్స్ ప్రాక్సీ, రిమోట్ షెల్, రిమోట్ డెస్క్‌టాప్, TLS కమ్యూనికేషన్ మరియు ఫైల్ మేనేజ్‌మెంట్ సిస్టమ్ వంటి లక్షణాలను కలిగి ఉన్న తాజా వెర్షన్ 1.41తో తేలికపాటి రిమోట్ అడ్మినిస్ట్రేషన్ సాధనాన్ని అందిస్తుంది. ఇది GitHubలో బహిరంగంగా అందుబాటులో ఉంటుంది.

దాని సామర్థ్యాలను విస్తరించేందుకు, SeroXen RAT r77 (రింగ్ 3) రూట్‌కిట్‌ను ఉపయోగిస్తుంది. ఈ ఓపెన్-సోర్స్ రూట్‌కిట్ ఫైల్-లెస్ పెర్సిస్టెన్స్, చైల్డ్ ప్రాసెస్‌ల హుకింగ్, మాల్వేర్ ఎంబెడ్డింగ్, ఇన్-మెమరీ ప్రాసెస్ ఇంజెక్షన్ మరియు యాంటీ-మాల్వేర్ డిటెక్షన్ నుండి ఎగవేత వంటి కార్యాచరణను అందిస్తుంది. SeroXen NirCmd యుటిలిటీని కూడా అనుసంధానిస్తుంది. NirCmd అనేది కమాండ్-లైన్ ఎగ్జిక్యూషన్ ద్వారా విండోస్ సిస్టమ్‌లు మరియు పెరిఫెరల్స్ కోసం సాధారణ నిర్వహణ పనులను సులభతరం చేసే ఫ్రీవేర్ సాధనం.

సెరోక్సెన్ RAT యొక్క దాడుల విశ్లేషణ

సైబర్ నేరగాళ్లు ఉపయోగించే ఫిషింగ్ ఇమెయిల్‌లు మరియు డిస్కార్డ్ ఛానెల్‌లతో సహా సెరోక్సెన్‌ను పంపిణీ చేయడానికి వివిధ దాడి వెక్టర్‌లు ఉపయోగించబడ్డాయి. ఈ నటులు భారీగా అస్పష్టమైన బ్యాచ్ ఫైల్‌లను కలిగి ఉన్న జిప్ ఆర్కైవ్‌లను పంపిణీ చేస్తారు.

వెలికితీసిన తర్వాత, బ్యాచ్ ఫైల్ రెండు బైనరీలను సంగ్రహించడానికి బేస్64 ఎన్‌కోడ్ చేసిన వచనాన్ని డీకోడ్ చేస్తుంది. ఈ బైనరీలు .NET ప్రతిబింబం ఉపయోగించి మెమరీలోకి లోడ్ చేయబడతాయి. మాల్వేర్‌ను అమలు చేయడానికి అవసరమైన msconfig.exe యొక్క సవరించిన సంస్కరణ, డిస్క్‌తో పరస్పర చర్య చేసే ఏకైక ఫైల్. ఇది తాత్కాలికంగా 'C:\Windows \System32V డైరెక్టరీలో నిల్వ చేయబడుతుంది (అదనపు స్థలాన్ని గమనించండి), ఇది ప్రోగ్రామ్ ఇన్‌స్టాలేషన్ ప్రక్రియ తర్వాత స్వల్పకాలికం మరియు తొలగించబడుతుంది.

బ్యాచ్ ఫైల్ r77 రూట్‌కిట్ యొక్క వేరియంట్ అయిన 'InstallStager.exe' పేలోడ్‌ని అమలు చేయడానికి వాహనంగా పనిచేస్తుంది. స్టెల్త్ మరియు నిలకడను నిర్వహించడానికి, రూట్‌కిట్ అస్పష్టంగా ఉంది మరియు Windows రిజిస్ట్రీలో నిల్వ చేయబడుతుంది. తదనంతరం, ఇది టాస్క్ షెడ్యూలర్ ద్వారా పవర్‌షెల్‌ని ఉపయోగించి సక్రియం చేయబడుతుంది, "winlogon.exe" ప్రక్రియలోకి ఇంజెక్ట్ అవుతుంది.

ఈ ఇంజెక్షన్ ద్వారా, r77 రూట్‌కిట్ SeroXen RATని సిస్టమ్ మెమరీలోకి ప్రవేశపెడుతుంది, దాని రహస్య ఉనికిని నిర్ధారిస్తుంది మరియు రాజీపడిన పరికరానికి రిమోట్ యాక్సెస్‌ను అనుమతిస్తుంది. రిమోట్ యాక్సెస్ మాల్వేర్ ప్రారంభించబడిన తర్వాత, ఇది కమాండ్ మరియు కంట్రోల్ సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది, దాడి చేసేవారి నుండి ఆదేశాల కోసం వేచి ఉంది.

సెరోక్సెన్ క్వాసర్ RAT వలె అదే TLS ప్రమాణపత్రాన్ని ఉపయోగిస్తుందని విశ్లేషణ వెల్లడిస్తుంది మరియు ఇది అసలు ప్రాజెక్ట్ నుండి చాలా సామర్థ్యాలను వారసత్వంగా పొందుతుంది. ఈ సామర్థ్యాలు TCP నెట్‌వర్క్ స్ట్రీమ్‌లు, సమర్థవంతమైన నెట్‌వర్క్ సీరియలైజేషన్ మరియు QuickLZ కంప్రెషన్‌కు మద్దతును కలిగి ఉంటాయి.

సెరోక్సెన్ యొక్క పెరుగుతున్న ప్రజాదరణ గేమర్‌లను లక్ష్యంగా చేసుకోవడం నుండి పెద్ద సంస్థలను లక్ష్యంగా చేసుకోవడం వరకు దృష్టిని మార్చడానికి దారితీస్తుందని సైబర్‌ సెక్యూరిటీ పరిశోధకులు హెచ్చరిస్తున్నారు. ఈ ముప్పును ఎదుర్కోవడంలో నెట్‌వర్క్ డిఫెండర్‌లకు సహాయం చేయడానికి, సంస్థలు ముప్పుకు వ్యతిరేకంగా జాగ్రత్తలు తీసుకోవాలి. నెట్‌వర్క్‌లలో సెరోక్సెన్ ఉనికిని గుర్తించడానికి మరియు తగ్గించడానికి విలువైన వనరులు ఉన్నాయి, డిఫెండర్‌లు వారి సైబర్‌ సెక్యూరిటీ చర్యలను మెరుగుపరచడానికి మరియు సంభావ్య దాడుల నుండి రక్షించడానికి వీలు కల్పిస్తుంది.