SeroXen RAT - ett fillöst nytt hot

Säkerhetsanalytiker övervakar för närvarande en framväxande fillös fjärråtkomsttrojan (RAT) kallad SeroXen, designad för att överlista många EDR-system. SeroXen är faktiskt en modifierad version av ett legitimt fjärradministrationsverktyg känt som Quasar, som har använts i flera år men som också har missbrukats av vissa APT-grupper tidigare. Den har cirkulerat i några månader och finns att köpa på olika plattformar, inklusive sociala medier och hackingforum, för en månadsavgift på $30.

Experter från AT&T Alien Labs har flitigt studerat och utvärderat SeroXen RAT och upptäckt att den för närvarande lyckas undvika upptäckt av all antimalware-programvara på Virus Total. Detta beror främst på dess förmåga att förbli oupptäckbar när den analyseras statiskt. RAT är dold i en obfuskerad PowerShell-batchfil, vanligtvis i storlek från 12-14 megabyte. Den stora filstorleken avskräcker ofta vissa antivirusprogram från att göra en noggrann analys, och följaktligen kringgå detekteringsmekanismer.

Även om det specifika provet som nämnts inte har utlöst några upptäckter på Virus Total, har vissa Crowdsources Sigma-regler identifierat dess aktiviteter som misstänkta. SeroXen utgör en större utmaning för antiviruslösningar eftersom det är en fillös skadlig programvara som enbart fungerar i minnet och använder flera dekrypterings- och dekompressionsrutiner. Dessutom laddar dess rootkit en ny kopia av ntdll.dll, vilket gör det ännu svårare för Endpoint Detection & Response (EDR)-system, som är beroende av att ansluta till detta bibliotek för att upptäcka processinjektioner, för att identifiera närvaron av RAT.

SeroXen distributionsmetoder och möjligheter

Vanligtvis distribuerar angripare SeroXen RAT genom nätfiske-e-post eller Discord-kanaler. Skadlig programvara initierar nedladdningen av en till synes ofarlig ZIP-fil, tillsammans med en dold batchfil som körs automatiskt. Efter en serie mellansteg består den slutliga nyttolasten av två .NET-arrayer, varav den ena fungerar som ett rootkit och har olika funktioner, såsom fillös beständighet, processinjektion i minnet, EDR-undandragande och funktionshooking.

Eftersom SeroXen är baserat på QuasarRAT, använder kommando- och kontrollservern (C&C) som används av hotaktörer samma Common Name i deras TLS-certifikat. Funktionerna som erbjuds av C&C-servern påminner mycket om dem som finns i Quasar Github-förvaret, inklusive stöd för TCP-nätverksströmmar (både IPv4 och IPv6), effektiv nätverksserialisering, komprimering med QuickLZ och säker kommunikation genom TLS-kryptering, enligt forskarna. .