SeroXen RAT
Ang komunidad ng cybercriminal ay nagpatibay ng isang patagong Remote Access Trojan (RAT) na pinangalanang 'SeroXen' dahil sa napakalakas nitong kakayahan at kakayahang makaiwas sa pagtuklas.
Ayon sa mga ulat mula sa AT&T, ang malware ay mapanlinlang na ibinebenta bilang isang lehitimong remote access tool para sa Windows 11 at 10. Inaalok ito para sa buwanang bayad sa subscription na $15 o isang beses na "lifetime" na pagbabayad ng lisensya na $60. Sa kabila ng ipinakita bilang isang lehitimong tool, ang SeroXen ay aktwal na na-promote bilang isang Remote Access Trojan sa mga forum ng pag-hack. Ang mga pagkakakilanlan ng mga indibidwal sa likod ng mga pag-promote na ito, kung sila ay mga aktwal na developer o walang prinsipyong reseller, ay nananatiling hindi sigurado.
Talaan ng mga Nilalaman
Ang SeroXen RAT ay Nagkakaroon ng Traction sa mga Cybercriminals
Ang abot-kayang presyo ng SeroXen remote access program ay ginawa itong naa-access sa isang malawak na hanay ng mga aktor ng pagbabanta. Natukoy ng AT&T ang maraming sample ng SeroXen mula nang lumitaw ito noong Setyembre 2022, at ang aktibidad sa paligid nito ay tumindi kamakailan.
Bagama't ang mga pangunahing target ng SeroXen ay mga indibidwal sa loob ng komunidad ng paglalaro, may lumalaking alalahanin na habang lumalawak ang kasikatan ng tool, maaari rin itong gamitin upang i-target ang mas malalaking entity, gaya ng mga kilalang kumpanya at organisasyon.
Ang tumataas na katanyagan ng SeroXen sa mga cybercriminal ay maaaring maiugnay sa mababang rate ng pagtuklas nito at makapangyarihang mga kakayahan nito. Ang mapanlinlang na pagkukunwari nito bilang isang lehitimong Remote Access Tool ay ginawa itong isang kaakit-akit na pagpipilian para sa mga aktor ng pagbabanta. Upang mabawasan ang mga panganib na nauugnay sa Remote Access Trojan na ito, kinakailangan para sa mga indibidwal at organisasyon na manatiling mapagbantay at magpatupad ng matatag na mga hakbang sa seguridad.
Ang SeroXen RAT ay Binuo mula sa Iba’t ibang Open-Source Projects
Gumagamit ang SeroXen sa ilang open-source na proyekto, kabilang ang Quasar RAT , ang r77 rootkit, at ang NirCmd command line tool. Ang SeroXen developer ay matalinong gumamit ng kumbinasyon ng mga malayang magagamit na mapagkukunang ito upang lumikha ng isang RAT na mahirap tuklasin sa pamamagitan ng parehong static at dynamic na pagsusuri.
Ang Quasar RAT, na umiral nang halos isang dekada mula noong unang paglabas nito noong 2014, ay nagsisilbing pundasyon para sa SeroXen RAT. Nagbibigay ito ng magaan na Remote Administration Tool na may pinakabagong bersyon, 1.41, na may kasamang mga feature tulad ng reverse proxy, remote shell, remote desktop, TLS communication, at isang file management system. Ito ay bukas na naa-access sa GitHub.
Upang palawakin ang mga kakayahan nito, ginagamit ng SeroXen RAT ang r77 (Ring 3) rootkit. Ang open-source na rootkit na ito ay nag-aalok ng functionality tulad ng file-less persistence, hooking ng mga proseso ng bata, malware embedding, in-memory process injection, at pag-iwas sa anti-malware detection. Pinagsasama rin ng SeroXen ang NirCmd utility. Ang NirCmd ay isang freeware tool na nagpapadali sa mga simpleng gawain sa pamamahala para sa mga Windows system at peripheral sa pamamagitan ng command-line execution.
Pagsusuri sa mga Pag-atake ng SeroXen RAT
Iba't ibang attack vector ang ginamit upang ipamahagi ang SeroXen, kabilang ang mga phishing na email at Discord channel na ginagamit ng mga cybercriminal. Ang mga aktor na ito ay namamahagi ng mga ZIP archive na naglalaman ng mga batch file na napakaraming na-obfuscate.
Sa pagkuha, ang batch file ay nagde-decode ng base64 na naka-encode na text para mag-extract ng dalawang binary. Ang mga binary na ito ay na-load sa memorya gamit ang .NET reflection. Ang binagong bersyon ng msconfig.exe, na kinakailangan para sa pagpapatupad ng malware, ay ang tanging file na nakikipag-ugnayan sa disk. Ito ay pansamantalang naka-imbak sa 'C:\Windows \System32V na direktoryo (pansinin ang dagdag na espasyo), na panandalian at tinanggal pagkatapos ng proseso ng pag-install ng programa.
Ang batch file ay nagsisilbing sasakyan para i-deploy ang 'InstallStager.exe' payload, isang variant ng r77 rootkit. Upang mapanatili ang stealth at pagtitiyaga, ang rootkit ay na-obfuscate at naka-imbak sa Windows registry. Kasunod nito, ito ay isinaaktibo gamit ang PowerShell sa pamamagitan ng Task Scheduler, na ini-inject ang sarili nito sa proseso ng "winlogon.exe".
Sa pamamagitan ng iniksyon na ito, ipinakilala ng r77 rootkit ang SeroXen RAT sa memorya ng system, tinitiyak ang lihim na presensya nito at nagbibigay-daan sa malayuang pag-access sa nakompromisong device. Sa sandaling nailunsad ang malayuang pag-access ng malware, nagtatatag ito ng komunikasyon sa isang Command and Control server, naghihintay ng mga utos mula sa mga umaatake.
Ang pagsusuri ay nagpapakita na ang SeroXen ay gumagamit ng parehong sertipiko ng TLS bilang ang Quasar RAT, at minana nito ang karamihan sa mga kakayahan mula sa orihinal na proyekto. Ang mga kakayahang ito ay sumasaklaw sa suporta para sa mga stream ng TCP network, mahusay na serialization ng network, at QuickLZ compression.
Nagbabala ang mga mananaliksik sa cybersecurity na ang pagtaas ng katanyagan ng SeroXen ay maaaring humantong sa isang potensyal na pagbabago sa focus mula sa pag-target sa mga gamer patungo sa pag-target sa mas malalaking organisasyon. Upang matulungan ang mga tagapagtanggol ng network sa paglaban sa banta na ito, dapat mag-ingat ang mga organisasyon laban sa banta. Mayroong mahalagang mga mapagkukunan para sa pagtukoy at pagpapagaan sa pagkakaroon ng SeroXen sa loob ng mga network, na nagbibigay-daan sa mga tagapagtanggol na pahusayin ang kanilang mga hakbang sa cybersecurity at protektahan laban sa mga potensyal na pag-atake.
