SeroXen RAT - μια νέα απειλή χωρίς αρχεία
Οι αναλυτές ασφαλείας παρακολουθούν επί του παρόντος έναν αναδυόμενο trojan απομακρυσμένης πρόσβασης χωρίς αρχεία (RAT) που ονομάζεται SeroXen, που έχει σχεδιαστεί για να ξεπερνά πολλά συστήματα EDR. Το SeroXen είναι στην πραγματικότητα μια τροποποιημένη έκδοση ενός νόμιμου εργαλείου απομακρυσμένης διαχείρισης γνωστού ως Quasar, το οποίο χρησιμοποιείται εδώ και αρκετά χρόνια, αλλά έχει επίσης χρησιμοποιηθεί κατάχρηση από ορισμένες ομάδες APT στο παρελθόν. Κυκλοφορεί εδώ και μερικούς μήνες και είναι διαθέσιμο για αγορά σε διάφορες πλατφόρμες, συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης και φόρουμ hacking, με μηνιαία χρέωση 30 $.
Οι ειδικοί από την AT&T Alien Labs μελετούν και αξιολογούν επιμελώς το SeroXen RAT, ανακαλύπτοντας ότι αυτή τη στιγμή καταφέρνει να αποφύγει τον εντοπισμό από όλο το λογισμικό προστασίας από κακόβουλο λογισμικό στο Virus Total. Αυτό οφείλεται κυρίως στην ικανότητά του να παραμένει μη ανιχνεύσιμο όταν αναλύεται στατικά. Το RAT είναι κρυμμένο μέσα σε ένα συγκεχυμένο αρχείο δέσμης PowerShell, που συνήθως κυμαίνεται σε μέγεθος από 12-14 megabyte. Το μεγάλο μέγεθος αρχείου συχνά αποτρέπει ορισμένα προγράμματα προστασίας από ιούς από τη διεξαγωγή ενδελεχούς ανάλυσης, παρακάμπτοντας κατά συνέπεια μηχανισμούς ανίχνευσης.
Παρόλο που το συγκεκριμένο δείγμα που αναφέρεται δεν έχει προκαλέσει ανιχνεύσεις στο Virus Total, ορισμένοι Κανόνες Sigma που έχουν προστεθεί στο κοινό έχουν προσδιορίσει τις δραστηριότητές του ως ύποπτες. Το SeroXen αποτελεί μεγαλύτερη πρόκληση για τις λύσεις προστασίας από ιούς, καθώς είναι ένα κακόβουλο λογισμικό χωρίς αρχεία που λειτουργεί αποκλειστικά στη μνήμη, χρησιμοποιώντας πολλαπλές ρουτίνες αποκρυπτογράφησης και αποσυμπίεσης. Επιπλέον, το rootkit του φορτώνει ένα νέο αντίγραφο του ntdll.dll, καθιστώντας το ακόμη πιο δύσκολο για τα συστήματα Endpoint Detection & Response (EDR), τα οποία βασίζονται στην αγκίστρωση αυτής της βιβλιοθήκης για την ανίχνευση εγχύσεων διεργασίας, για τον εντοπισμό της παρουσίας του RAT.
Μέθοδοι και δυνατότητες διανομής SeroXen
Συνήθως, οι εισβολείς διανέμουν το SeroXen RAT μέσω email ηλεκτρονικού ψαρέματος ή καναλιών Discord. Το κακόβουλο λογισμικό ξεκινά τη λήψη ενός φαινομενικά αβλαβούς αρχείου ZIP, μαζί με ένα κρυφό αρχείο δέσμης που εκτελείται αυτόματα. Μετά από μια σειρά ενδιάμεσων βημάτων, το τελικό ωφέλιμο φορτίο αποτελείται από δύο συστοιχίες .NET, η μία από τις οποίες λειτουργεί ως rootkit και διαθέτει διάφορες δυνατότητες, όπως επιμονή χωρίς αρχείο, ένεση διεργασίας στη μνήμη, διαφυγή EDR και αγκίστρωση λειτουργιών.
Δεδομένου ότι το SeroXen βασίζεται στο QuasarRAT, ο διακομιστής εντολών και ελέγχου (C&C) που χρησιμοποιείται από φορείς απειλών χρησιμοποιεί το ίδιο κοινό όνομα στο πιστοποιητικό TLS τους. Οι λειτουργίες που προσφέρει ο διακομιστής C&C μοιάζουν πολύ με εκείνες που βρίσκονται στο αποθετήριο Quasar Github, συμπεριλαμβανομένης της υποστήριξης για ροές δικτύου TCP (τόσο IPv4 όσο και IPv6), αποτελεσματική σειριοποίηση δικτύου, συμπίεση με χρήση QuickLZ και ασφαλή επικοινωνία μέσω κρυπτογράφησης TLS, όπως αναφέρουν οι ερευνητές .
