SeroXen RAT — новая безфайловая угроза

В настоящее время аналитики безопасности отслеживают появление трояна удаленного доступа без файлов (RAT) под названием SeroXen, предназначенного для того, чтобы перехитрить многочисленные системы EDR. SeroXen на самом деле является модифицированной версией законного инструмента удаленного администрирования, известного как Quasar, который использовался в течение нескольких лет, но в прошлом также злоупотреблялся некоторыми группами APT. Он циркулирует в течение нескольких месяцев и доступен для покупки на различных платформах, включая социальные сети и хакерские форумы, за ежемесячную плату в размере 30 долларов США.

Эксперты из AT&T Alien Labs усердно изучали и оценивали SeroXen RAT и обнаружили, что в настоящее время ему удается избежать обнаружения всеми антивирусными программами на Virus Total. В первую очередь это связано с его способностью оставаться необнаружимым при статическом анализе. RAT скрыт в запутанном пакетном файле PowerShell, обычно размером от 12 до 14 мегабайт. Большой размер файла часто удерживает некоторые антивирусные программы от проведения тщательного анализа и, следовательно, обхода механизмов обнаружения.

Хотя конкретный упомянутый образец не вызвал каких-либо обнаружений в Virus Total, некоторые краудсорсинговые правила Sigma определили его действия как подозрительные. SeroXen представляет большую проблему для антивирусных решений, поскольку это безфайловая вредоносная программа, которая работает исключительно в памяти, используя несколько процедур дешифрования и распаковки. Более того, его руткит загружает свежую копию ntdll.dll, что еще больше усложняет обнаружение RAT системами Endpoint Detection & Response (EDR), которые полагаются на подключение к этой библиотеке для обнаружения инъекций процессов.

Методы распространения и возможности SeroXen

Как правило, злоумышленники распространяют SeroXen RAT через фишинговые электронные письма или каналы Discord. Вредоносная программа инициирует загрузку, казалось бы, безобидного ZIP-файла вместе со скрытым пакетным файлом, который запускается автоматически. После ряда промежуточных шагов окончательная полезная нагрузка состоит из двух массивов .NET, один из которых функционирует как руткит и обладает различными возможностями, такими как сохранение без файлов, внедрение процессов в память, уклонение от EDR и перехват функций.

Поскольку SeroXen основан на QuasarRAT, сервер управления и контроля (C&C), используемый злоумышленниками, использует одно и то же общее имя в своем сертификате TLS. Функции, предлагаемые C&C-сервером, очень похожи на те, которые можно найти в репозитории Quasar Github, включая поддержку сетевых потоков TCP (как IPv4, так и IPv6), эффективную сериализацию сети, сжатие с использованием QuickLZ и безопасную связь с помощью шифрования TLS, как заявили исследователи. .