SeroXen RAT
సైబర్క్రిమినల్ కమ్యూనిటీ దాని శక్తివంతమైన సామర్థ్యాలు మరియు గుర్తింపును తప్పించుకునే సామర్థ్యం కారణంగా 'SeroXen' అనే స్టెల్తీ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని స్వీకరించింది.
AT&T నుండి వచ్చిన నివేదికల ప్రకారం, మాల్వేర్ Windows 11 మరియు 10 కోసం చట్టబద్ధమైన రిమోట్ యాక్సెస్ సాధనంగా మోసపూరితంగా మార్కెట్ చేయబడుతోంది. ఇది నెలవారీ చందా రుసుము $15 లేదా $60 యొక్క ఒక-పర్యాయ "జీవితకాల" లైసెన్స్ చెల్లింపు కోసం అందించబడుతుంది. చట్టబద్ధమైన సాధనంగా సమర్పించబడినప్పటికీ, సెరోక్సెన్ నిజానికి హ్యాకింగ్ ఫోరమ్లలో రిమోట్ యాక్సెస్ ట్రోజన్గా ప్రచారం చేయబడుతోంది. ఈ ప్రమోషన్ల వెనుక ఉన్న వ్యక్తుల గుర్తింపులు, వారు వాస్తవ డెవలపర్లు లేదా నిష్కపటమైన పునఃవిక్రేతదారులా అనేది అనిశ్చితంగానే ఉంది.
విషయ సూచిక
సెరోక్సెన్ RAT సైబర్ నేరస్థుల మధ్య ట్రాక్షన్ను పొందుతోంది
సెరోక్సెన్ రిమోట్ యాక్సెస్ ప్రోగ్రాం యొక్క సరసమైన ధర పాయింట్ని విస్తృత శ్రేణి ముప్పు నటులకు అందుబాటులో ఉంచింది. సెప్టెంబర్ 2022లో సెరోక్సెన్ ఆవిర్భవించినప్పటి నుండి AT&T అనేక నమూనాలను గుర్తించింది మరియు దాని చుట్టూ ఉన్న కార్యాచరణ ఇటీవల తీవ్రమైంది.
సెరోక్సెన్ యొక్క ప్రాథమిక లక్ష్యాలు గేమింగ్ కమ్యూనిటీలోని వ్యక్తులే అయినప్పటికీ, సాధనం యొక్క ప్రజాదరణ విస్తరిస్తున్న కొద్దీ, ప్రముఖ కంపెనీలు మరియు సంస్థల వంటి పెద్ద సంస్థలను లక్ష్యంగా చేసుకోవడానికి కూడా ఇది ఉపయోగించబడుతుందనే ఆందోళన పెరుగుతోంది.
సైబర్ నేరస్థులలో సెరోక్సెన్ యొక్క పెరుగుతున్న ప్రజాదరణ దాని తక్కువ గుర్తింపు రేట్లు మరియు దాని శక్తివంతమైన సామర్థ్యాలకు కారణమని చెప్పవచ్చు. చట్టబద్ధమైన రిమోట్ యాక్సెస్ సాధనంగా దాని మోసపూరిత వేషం బెదిరింపు నటులకు ఆకర్షణీయమైన ఎంపికగా మారింది. ఈ రిమోట్ యాక్సెస్ ట్రోజన్తో సంబంధం ఉన్న నష్టాలను తగ్గించడానికి, వ్యక్తులు మరియు సంస్థలు అప్రమత్తంగా ఉండటం మరియు పటిష్టమైన భద్రతా చర్యలను అమలు చేయడం అత్యవసరం.
సెరోక్సెన్ RAT వివిధ ఓపెన్-సోర్స్ ప్రాజెక్ట్ల నుండి అభివృద్ధి చేయబడింది
SeroXen Quasar RAT , r77 రూట్కిట్ మరియు NirCmd కమాండ్ లైన్ సాధనంతో సహా అనేక ఓపెన్-సోర్స్ ప్రాజెక్ట్లను ఆకర్షిస్తుంది. సెరోక్సెన్ డెవలపర్ తెలివిగా ఈ ఉచితంగా లభించే వనరుల కలయికను ఉపయోగించి, స్టాటిక్ మరియు డైనమిక్ విశ్లేషణల ద్వారా గుర్తించడం సవాలుగా ఉన్న RATని రూపొందించారు.
Quasar RAT, 2014లో దాని ప్రారంభ విడుదల నుండి దాదాపు ఒక దశాబ్దం పాటు ఉనికిలో ఉంది, ఇది సెరోక్సెన్ RATకి పునాదిగా పనిచేస్తుంది. ఇది రివర్స్ ప్రాక్సీ, రిమోట్ షెల్, రిమోట్ డెస్క్టాప్, TLS కమ్యూనికేషన్ మరియు ఫైల్ మేనేజ్మెంట్ సిస్టమ్ వంటి లక్షణాలను కలిగి ఉన్న తాజా వెర్షన్ 1.41తో తేలికపాటి రిమోట్ అడ్మినిస్ట్రేషన్ సాధనాన్ని అందిస్తుంది. ఇది GitHubలో బహిరంగంగా అందుబాటులో ఉంటుంది.
దాని సామర్థ్యాలను విస్తరించేందుకు, SeroXen RAT r77 (రింగ్ 3) రూట్కిట్ను ఉపయోగిస్తుంది. ఈ ఓపెన్-సోర్స్ రూట్కిట్ ఫైల్-లెస్ పెర్సిస్టెన్స్, చైల్డ్ ప్రాసెస్ల హుకింగ్, మాల్వేర్ ఎంబెడ్డింగ్, ఇన్-మెమరీ ప్రాసెస్ ఇంజెక్షన్ మరియు యాంటీ-మాల్వేర్ డిటెక్షన్ నుండి ఎగవేత వంటి కార్యాచరణను అందిస్తుంది. SeroXen NirCmd యుటిలిటీని కూడా అనుసంధానిస్తుంది. NirCmd అనేది కమాండ్-లైన్ ఎగ్జిక్యూషన్ ద్వారా విండోస్ సిస్టమ్లు మరియు పెరిఫెరల్స్ కోసం సాధారణ నిర్వహణ పనులను సులభతరం చేసే ఫ్రీవేర్ సాధనం.
సెరోక్సెన్ RAT యొక్క దాడుల విశ్లేషణ
సైబర్ నేరగాళ్లు ఉపయోగించే ఫిషింగ్ ఇమెయిల్లు మరియు డిస్కార్డ్ ఛానెల్లతో సహా సెరోక్సెన్ను పంపిణీ చేయడానికి వివిధ దాడి వెక్టర్లు ఉపయోగించబడ్డాయి. ఈ నటులు భారీగా అస్పష్టమైన బ్యాచ్ ఫైల్లను కలిగి ఉన్న జిప్ ఆర్కైవ్లను పంపిణీ చేస్తారు.
వెలికితీసిన తర్వాత, బ్యాచ్ ఫైల్ రెండు బైనరీలను సంగ్రహించడానికి బేస్64 ఎన్కోడ్ చేసిన వచనాన్ని డీకోడ్ చేస్తుంది. ఈ బైనరీలు .NET ప్రతిబింబం ఉపయోగించి మెమరీలోకి లోడ్ చేయబడతాయి. మాల్వేర్ను అమలు చేయడానికి అవసరమైన msconfig.exe యొక్క సవరించిన సంస్కరణ, డిస్క్తో పరస్పర చర్య చేసే ఏకైక ఫైల్. ఇది తాత్కాలికంగా 'C:\Windows \System32V డైరెక్టరీలో నిల్వ చేయబడుతుంది (అదనపు స్థలాన్ని గమనించండి), ఇది ప్రోగ్రామ్ ఇన్స్టాలేషన్ ప్రక్రియ తర్వాత స్వల్పకాలికం మరియు తొలగించబడుతుంది.
బ్యాచ్ ఫైల్ r77 రూట్కిట్ యొక్క వేరియంట్ అయిన 'InstallStager.exe' పేలోడ్ని అమలు చేయడానికి వాహనంగా పనిచేస్తుంది. స్టెల్త్ మరియు నిలకడను నిర్వహించడానికి, రూట్కిట్ అస్పష్టంగా ఉంది మరియు Windows రిజిస్ట్రీలో నిల్వ చేయబడుతుంది. తదనంతరం, ఇది టాస్క్ షెడ్యూలర్ ద్వారా పవర్షెల్ని ఉపయోగించి సక్రియం చేయబడుతుంది, "winlogon.exe" ప్రక్రియలోకి ఇంజెక్ట్ అవుతుంది.
ఈ ఇంజెక్షన్ ద్వారా, r77 రూట్కిట్ SeroXen RATని సిస్టమ్ మెమరీలోకి ప్రవేశపెడుతుంది, దాని రహస్య ఉనికిని నిర్ధారిస్తుంది మరియు రాజీపడిన పరికరానికి రిమోట్ యాక్సెస్ను అనుమతిస్తుంది. రిమోట్ యాక్సెస్ మాల్వేర్ ప్రారంభించబడిన తర్వాత, ఇది కమాండ్ మరియు కంట్రోల్ సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది, దాడి చేసేవారి నుండి ఆదేశాల కోసం వేచి ఉంది.
సెరోక్సెన్ క్వాసర్ RAT వలె అదే TLS ప్రమాణపత్రాన్ని ఉపయోగిస్తుందని విశ్లేషణ వెల్లడిస్తుంది మరియు ఇది అసలు ప్రాజెక్ట్ నుండి చాలా సామర్థ్యాలను వారసత్వంగా పొందుతుంది. ఈ సామర్థ్యాలు TCP నెట్వర్క్ స్ట్రీమ్లు, సమర్థవంతమైన నెట్వర్క్ సీరియలైజేషన్ మరియు QuickLZ కంప్రెషన్కు మద్దతును కలిగి ఉంటాయి.
సెరోక్సెన్ యొక్క పెరుగుతున్న ప్రజాదరణ గేమర్లను లక్ష్యంగా చేసుకోవడం నుండి పెద్ద సంస్థలను లక్ష్యంగా చేసుకోవడం వరకు దృష్టిని మార్చడానికి దారితీస్తుందని సైబర్ సెక్యూరిటీ పరిశోధకులు హెచ్చరిస్తున్నారు. ఈ ముప్పును ఎదుర్కోవడంలో నెట్వర్క్ డిఫెండర్లకు సహాయం చేయడానికి, సంస్థలు ముప్పుకు వ్యతిరేకంగా జాగ్రత్తలు తీసుకోవాలి. నెట్వర్క్లలో సెరోక్సెన్ ఉనికిని గుర్తించడానికి మరియు తగ్గించడానికి విలువైన వనరులు ఉన్నాయి, డిఫెండర్లు వారి సైబర్ సెక్యూరిటీ చర్యలను మెరుగుపరచడానికి మరియు సంభావ్య దాడుల నుండి రక్షించడానికి వీలు కల్పిస్తుంది.