SeroXen RAT
Siber suçlu topluluğu, güçlü yetenekleri ve tespitten kaçabilme yeteneği nedeniyle 'SeroXen' adlı gizli bir Uzaktan Erişim Truva Atı'nı (RAT) giderek daha fazla benimsiyor.
AT&T'nin raporlarına göre, kötü amaçlı yazılım aldatıcı bir şekilde Windows 11 ve 10 için meşru bir uzaktan erişim aracı olarak pazarlanıyor. Aylık 15 ABD Doları abonelik ücreti veya bir kereye mahsus 60 ABD Doları "ömür boyu" lisans ödemesi karşılığında sunuluyor. Meşru bir araç olarak sunulmasına rağmen, SeroXen aslında bilgisayar korsanlığı forumlarında Uzaktan Erişim Truva Atı olarak tanıtılıyor. İster gerçek geliştiriciler, ister vicdansız satıcılar olsun, bu promosyonların arkasındaki kişilerin kimlikleri belirsizliğini koruyor.
İçindekiler
SeroXen RAT, Siber Suçlular Arasında İlgi Kazanıyor
SeroXen uzaktan erişim programının uygun fiyat noktası, onu çok çeşitli tehdit aktörleri için erişilebilir hale getirdi. AT&T, Eylül 2022'de ortaya çıkışından bu yana çok sayıda SeroXen örneği belirledi ve onu çevreleyen aktivite son zamanlarda yoğunlaştı.
SeroXen'in birincil hedefleri oyun topluluğu içindeki bireyler olsa da, aracın popülaritesi arttıkça, önde gelen şirketler ve kuruluşlar gibi daha büyük varlıkları hedeflemek için de kullanılabileceğine dair artan bir endişe var.
SeroXen'in siber suçlular arasında artan popülaritesi, düşük tespit oranlarına ve güçlü yeteneklerine bağlanabilir. Meşru bir Uzaktan Erişim Aracı olarak aldatıcı görünümü, onu tehdit aktörleri için çekici bir seçim haline getirdi. Bu Uzaktan Erişim Truva Atı ile ilişkili riskleri azaltmak için bireylerin ve kuruluşların tetikte olması ve sağlam güvenlik önlemleri uygulaması zorunludur.
SeroXen RAT, Çeşitli Açık Kaynak Projelerinden Geliştirilmiştir
SeroXen, Quasar RAT , r77 rootkit ve NirCmd komut satırı aracı dahil olmak üzere birçok açık kaynaklı projeden yararlanır. SeroXen geliştiricisi, hem statik hem de dinamik analiz yoluyla tespit edilmesi zor bir RAT oluşturmak için bu serbestçe kullanılabilen kaynakların bir kombinasyonunu akıllıca kullandı.
2014'teki ilk çıkışından bu yana yaklaşık on yıldır varlığını sürdüren Quasar RAT, SeroXen RAT'ın temelini oluşturuyor. Ters proxy, uzak kabuk, uzak masaüstü, TLS iletişimi ve bir dosya yönetim sistemi gibi özellikleri içeren en son sürüm 1.41 ile hafif bir Uzaktan Yönetim Aracı sağlar. GitHub'da açık olarak erişilebilir.
Yeteneklerini genişletmek için SeroXen RAT, r77 (Ring 3) kök setini kullanır. Bu açık kaynaklı rootkit, dosyasız kalıcılık, alt süreçlerin kancalanması, kötü amaçlı yazılım yerleştirme, bellek içi işlem enjeksiyonu ve kötü amaçlı yazılımdan koruma tespitinden kaçınma gibi işlevler sunar. SeroXen ayrıca NirCmd yardımcı programını da entegre eder. NirCmd, komut satırı yürütme yoluyla Windows sistemleri ve çevre birimleri için basit yönetim görevlerini kolaylaştıran ücretsiz bir araçtır.
SeroXen RAT Saldırılarının Analizi
SeroXen'i dağıtmak için kimlik avı e-postaları ve siber suçlular tarafından kullanılan Discord kanalları dahil olmak üzere çeşitli saldırı vektörleri kullanılmıştır. Bu aktörler, yoğun şekilde gizlenmiş toplu iş dosyaları içeren ZIP arşivlerini dağıtır.
Ayıklamanın ardından toplu iş dosyası, iki ikili dosyayı ayıklamak için base64 kodlu bir metnin kodunu çözer. Bu ikili dosyalar daha sonra .NET yansıması kullanılarak belleğe yüklenir. Kötü amaçlı yazılımı yürütmek için gerekli olan değiştirilmiş msconfig.exe sürümü, diskle etkileşime giren tek dosyadır. Kısa ömürlü olan ve program yükleme işleminden sonra silinen 'C:\Windows \System32V dizininde (fazladan boşluğa dikkat edin) geçici olarak depolanır.
Toplu iş dosyası, r77 rootkit'in bir çeşidi olan 'InstallStager.exe' yükünü dağıtmak için bir araç görevi görür. Gizliliği ve kalıcılığı sürdürmek için rootkit gizlenir ve Windows kayıt defterinde depolanır. Ardından, Görev Zamanlayıcı aracılığıyla PowerShell kullanılarak etkinleştirilir ve kendisini "winlogon.exe" işlemine enjekte eder.
Bu enjeksiyon yoluyla, r77 rootkit, SeroXen RAT'ı sistemin belleğine sokarak gizli varlığını garanti eder ve güvenliği ihlal edilmiş cihaza uzaktan erişim sağlar. Uzaktan erişim kötü amaçlı yazılımı başlatıldıktan sonra, saldırganlardan gelecek komutları bekleyerek bir Komuta ve Kontrol sunucusuyla iletişim kurar.
Analiz, SeroXen'in Quasar RAT ile aynı TLS sertifikasını kullandığını ve yeteneklerin çoğunu orijinal projeden devraldığını ortaya koyuyor. Bu yetenekler, TCP ağ akışları, verimli ağ serileştirme ve QuickLZ sıkıştırma desteğini kapsar.
Siber güvenlik araştırmacıları, SeroXen'in artan popülaritesinin, oyuncuları hedeflemekten daha büyük kuruluşları hedeflemeye odaklanma potansiyeline yol açabileceği konusunda uyarıyor. Ağ savunucularına bu tehditle mücadelede yardımcı olmak için kuruluşlar tehdide karşı önlem almalıdır. Ağlarda SeroXen'in varlığını belirleyip hafifletmek, savunucuların siber güvenlik önlemlerini geliştirmelerini ve olası saldırılara karşı koruma sağlamalarını sağlayan değerli kaynaklar vardır.
