SeroXen RAT: una nuova minaccia senza file
Gli analisti della sicurezza stanno attualmente monitorando un trojan di accesso remoto senza file (RAT) emergente chiamato SeroXen, progettato per superare in astuzia numerosi sistemi EDR. SeroXen è in realtà una versione modificata di un legittimo strumento di amministrazione remota noto come Quasar, che è stato utilizzato per diversi anni ma è stato anche utilizzato in modo improprio da alcuni gruppi APT in passato. È in circolazione da alcuni mesi ed è disponibile per l'acquisto su varie piattaforme, inclusi social media e forum di hacking, per un canone mensile di $ 30.
Gli esperti di AT&T Alien Labs hanno studiato e valutato diligentemente SeroXen RAT, scoprendo che attualmente riesce a eludere il rilevamento da parte di tutti i software antimalware su Virus Total. Ciò è dovuto principalmente alla sua capacità di non essere rilevabile se analizzato staticamente. Il RAT è nascosto all'interno di un file batch di PowerShell offuscato, in genere di dimensioni comprese tra 12 e 14 megabyte. Le grandi dimensioni del file spesso scoraggiano alcuni programmi antivirus dal condurre un'analisi approfondita, aggirando di conseguenza i meccanismi di rilevamento.
Sebbene il campione specifico menzionato non abbia attivato alcun rilevamento su Virus Total, alcune regole Sigma crowdsourcing hanno identificato le sue attività come sospette. SeroXen rappresenta una sfida maggiore per le soluzioni antivirus in quanto è un malware senza file che opera esclusivamente in memoria, impiegando più routine di decrittazione e decompressione. Inoltre, il suo rootkit carica una nuova copia di ntdll.dll, rendendo ancora più difficile per i sistemi Endpoint Detection & Response (EDR), che si basano sull'aggancio a questa libreria per rilevare le iniezioni di processo, per identificare la presenza del RAT.
Metodi e capacità di distribuzione di SeroXen
In genere, gli aggressori distribuiscono SeroXen RAT tramite e-mail di phishing o canali Discord. Il malware avvia il download di un file ZIP apparentemente innocuo, insieme a un file batch nascosto che viene eseguito automaticamente. Dopo una serie di passaggi intermedi, il payload finale è costituito da due array .NET, uno dei quali funziona come rootkit e possiede varie funzionalità, come la persistenza senza file, l'iniezione di processi in memoria, l'evasione EDR e l'aggancio di funzioni.
Poiché SeroXen è basato su QuasarRAT, il server di comando e controllo (C&C) utilizzato dagli attori delle minacce utilizza lo stesso nome comune nel loro certificato TLS. Le funzionalità offerte dal server C&C sono molto simili a quelle trovate nel repository Quasar Github, incluso il supporto per i flussi di rete TCP (sia IPv4 che IPv6), un'efficiente serializzazione della rete, la compressione che utilizza QuickLZ e la comunicazione sicura attraverso la crittografia TLS, come affermato dai ricercatori .
