SeroXen RAT - une nouvelle menace sans fichier
Les analystes de la sécurité surveillent actuellement un nouveau cheval de Troie d'accès à distance sans fichier (RAT) appelé SeroXen, conçu pour déjouer de nombreux systèmes EDR. SeroXen est en fait une version modifiée d'un outil d'administration à distance légitime connu sous le nom de Quasar, qui est utilisé depuis plusieurs années mais qui a également été utilisé à mauvais escient par certains groupes APT dans le passé. Il circule depuis quelques mois et est disponible à l'achat sur diverses plateformes, y compris les médias sociaux et les forums de piratage, moyennant des frais mensuels de 30 $.
Les experts d'AT&T Alien Labs ont étudié et évalué avec diligence le SeroXen RAT, découvrant qu'il parvient actuellement à échapper à la détection par tous les logiciels antimalware sur Virus Total. Cela est principalement dû à sa capacité à rester indétectable lorsqu'il est analysé statiquement. Le RAT est dissimulé dans un fichier de commandes PowerShell obscurci, dont la taille varie généralement entre 12 et 14 mégaoctets. La taille importante des fichiers dissuade souvent certains programmes antivirus de procéder à une analyse approfondie, contournant ainsi les mécanismes de détection.
Bien que l'échantillon spécifique mentionné n'ait déclenché aucune détection sur Virus Total, certaines règles Sigma externalisées ont identifié ses activités comme suspectes. SeroXen pose un plus grand défi aux solutions antivirus car il s'agit d'un logiciel malveillant sans fichier qui fonctionne uniquement en mémoire, utilisant plusieurs routines de décryptage et de décompression. De plus, son rootkit charge une nouvelle copie de ntdll.dll, ce qui rend encore plus difficile pour les systèmes Endpoint Detection & Response (EDR), qui s'appuient sur l'accrochage à cette bibliothèque pour détecter les injections de processus, d'identifier la présence du RAT.
Méthodes et capacités de distribution de SeroXen
En règle générale, les attaquants distribuent le SeroXen RAT via des e-mails de phishing ou des canaux Discord. Le logiciel malveillant lance le téléchargement d'un fichier ZIP apparemment inoffensif, ainsi qu'un fichier batch caché qui s'exécute automatiquement. Après une série d'étapes intermédiaires, la charge utile finale se compose de deux tableaux .NET, dont l'un fonctionne comme un rootkit et possède diverses capacités, telles que la persistance sans fichier, l'injection de processus en mémoire, l'évasion EDR et l'accrochage de fonctions.
Étant donné que SeroXen est basé sur QuasarRAT, le serveur de commande et de contrôle (C&C) utilisé par les acteurs de la menace utilise le même nom commun dans leur certificat TLS. Les fonctionnalités offertes par le serveur C&C ressemblent étroitement à celles trouvées dans le référentiel Quasar Github, y compris la prise en charge des flux réseau TCP (à la fois IPv4 et IPv6), la sérialisation efficace du réseau, la compression utilisant QuickLZ et la communication sécurisée via le cryptage TLS, comme indiqué par les chercheurs. .