SeroXen RAT
Спільнота кіберзлочинців все частіше використовує прихований троян віддаленого доступу (RAT) під назвою «SeroXen» завдяки його потужним можливостям і здатності уникати виявлення.
Згідно зі звітами AT&T, зловмисне програмне забезпечення обманним шляхом рекламується як законний інструмент віддаленого доступу для Windows 11 і 10. Воно пропонується за щомісячну передплату в розмірі 15 доларів США або одноразову оплату «довічної» ліцензії в розмірі 60 доларів США. Незважаючи на те, що SeroXen представлено як законний інструмент, на хакерських форумах насправді рекламується як троян віддаленого доступу. Особи осіб, які стоять за цими рекламними акціями, чи є вони фактичними розробниками, чи недобросовісними посередниками, залишаються невідомими.
Зміст
SeroXen RAT набирає популярності серед кіберзлочинців
Доступна ціна програми віддаленого доступу SeroXen зробила її доступною для широкого кола загроз. AT&T ідентифікувала численні зразки SeroXen з моменту його появи у вересні 2022 року, і активність навколо нього нещодавно посилилася.
Хоча основними цілями SeroXen були люди в ігровій спільноті, зростає занепокоєння, що в міру зростання популярності інструменту він також може використовуватися для націлювання на більші організації, такі як відомі компанії та організації.
Зростання популярності SeroXen серед кіберзлочинців можна пояснити його низьким рівнем виявлення та потужними можливостями. Його оманливий вигляд законного інструменту віддаленого доступу зробив його привабливим вибором для загроз. Щоб зменшити ризики, пов’язані з цим трояном віддаленого доступу, окремим особам і організаціям вкрай необхідно залишатися пильними та вживати надійних заходів безпеки.
SeroXen RAT розроблено на основі різних проектів з відкритим кодом
SeroXen базується на кількох проектах з відкритим вихідним кодом, включаючи Quasar RAT , руткіт r77 і інструмент командного рядка NirCmd. Розробник SeroXen вміло використав комбінацію цих вільно доступних ресурсів, щоб створити RAT, який складно виявити за допомогою статичного та динамічного аналізу.
Quasar RAT, який існує вже майже десять років з моменту його першого випуску в 2014 році, служить основою для SeroXen RAT. Він надає легкий інструмент віддаленого адміністрування з останньою версією 1.41, що включає такі функції, як зворотний проксі, віддалена оболонка, віддалений робочий стіл, зв’язок TLS і система керування файлами. Він відкрито доступний на GitHub.
Щоб розширити свої можливості, SeroXen RAT використовує руткіт r77 (Ring 3). Цей руткіт із відкритим вихідним кодом пропонує такі функції, як збереження без файлів, підключення дочірніх процесів, вбудовування зловмисного програмного забезпечення, ін’єкція процесів у пам’яті та ухилення від виявлення зловмисного програмного забезпечення. SeroXen також інтегрує утиліту NirCmd. NirCmd — це безкоштовний інструмент, який полегшує виконання простих завдань керування системами Windows і периферійними пристроями за допомогою командного рядка.
Аналіз атак SeroXen RAT
Для розповсюдження SeroXen використовувалися різні вектори атак, включаючи фішингові електронні листи та канали Discord, якими користуються кіберзлочинці. Ці учасники розповсюджують ZIP-архіви, що містять сильно заплутані пакетні файли.
Після видобування пакетний файл декодує текст у кодуванні base64 для вилучення двох двійкових файлів. Потім ці двійкові файли завантажуються в пам'ять за допомогою відображення .NET. Модифікована версія msconfig.exe, необхідна для запуску шкідливої програми, є єдиним файлом, який взаємодіє з диском. Він тимчасово зберігається в каталозі 'C:\Windows\System32V (зверніть увагу на додатковий простір), який недовговічний і видаляється після процесу встановлення програми.
Пакетний файл служить засобом для розгортання корисного навантаження «InstallStager.exe», варіанту руткіта r77. Щоб зберегти прихованість і наполегливість, руткіт обфускується та зберігається в реєстрі Windows. Згодом він активується за допомогою PowerShell через Планувальник завдань, вставляючись у процес "winlogon.exe".
За допомогою цієї ін’єкції руткіт r77 вводить SeroXen RAT у пам’ять системи, забезпечуючи його приховану присутність і забезпечуючи віддалений доступ до скомпрометованого пристрою. Після запуску зловмисного програмного забезпечення віддаленого доступу воно встановлює зв’язок із сервером командування та керування, очікуючи команд від зловмисників.
Аналіз показує, що SeroXen використовує той самий сертифікат TLS, що й Quasar RAT, і він успадковує більшість можливостей оригінального проекту. Ці можливості охоплюють підтримку мережевих потоків TCP, ефективну серіалізацію мережі та стиснення QuickLZ.
Дослідники з кібербезпеки попереджають, що зростання популярності SeroXen може призвести до потенційного зміщення фокусу з націлювання на геймерів на націлювання на більші організації. Щоб допомогти мережевим захисникам у боротьбі з цією загрозою, організації повинні вжити заходів проти загрози. Існують цінні ресурси для виявлення та пом’якшення присутності SeroXen у мережах, що дозволяє захисникам покращити свої заходи кібербезпеки та захистити від потенційних атак.
