SeroXen RAT
Die Cyberkriminelle-Gemeinschaft hat einen heimlichen Remote-Access-Trojaner (RAT) namens „SeroXen“ aufgrund seiner leistungsstarken Fähigkeiten und der Fähigkeit, sich der Entdeckung zu entziehen, zunehmend übernommen.
Berichten von AT&T zufolge wird die Malware in betrügerischer Absicht als legitimes Fernzugriffstool für Windows 11 und 10 vermarktet. Sie wird für eine monatliche Abonnementgebühr von 15 US-Dollar oder eine einmalige „lebenslange“ Lizenzzahlung von 60 US-Dollar angeboten. Obwohl SeroXen als legitimes Tool präsentiert wird, wird es in Hacking-Foren tatsächlich als RAS-Trojaner beworben. Die Identität der Personen, die hinter diesen Werbeaktionen stehen, ob es sich nun um echte Entwickler oder skrupellose Wiederverkäufer handelt, bleibt ungewiss.
Inhaltsverzeichnis
Die SeroXen RAT erfreut sich bei Cyberkriminellen immer größerer Beliebtheit
Der erschwingliche Preis des SeroXen-Fernzugriffsprogramms hat es einem breiten Spektrum von Bedrohungsakteuren zugänglich gemacht. AT&T hat seit seinem Auftauchen im September 2022 zahlreiche Proben von SeroXen identifiziert, und die Aktivitäten rund um das Virus haben sich in letzter Zeit intensiviert.
Während die Hauptziele von SeroXen Einzelpersonen innerhalb der Gaming-Community waren, wächst die Sorge, dass das Tool mit zunehmender Beliebtheit auch für größere Unternehmen wie namhafte Unternehmen und Organisationen eingesetzt werden könnte.
Die steigende Beliebtheit von SeroXen bei Cyberkriminellen ist auf seine geringen Erkennungsraten und seine leistungsstarken Fähigkeiten zurückzuführen. Seine trügerische Tarnung als legitimes Fernzugriffstool hat es zu einer attraktiven Wahl für Bedrohungsakteure gemacht. Um die mit diesem RAS-Trojaner verbundenen Risiken zu mindern, müssen Einzelpersonen und Organisationen unbedingt wachsam bleiben und strenge Sicherheitsmaßnahmen ergreifen.
Die SeroXen RAT wurde aus verschiedenen Open-Source-Projekten entwickelt
SeroXen greift auf mehrere Open-Source-Projekte zurück, darunter Quasar RAT , das r77-Rootkit und das Befehlszeilentool NirCmd. Der SeroXen-Entwickler hat eine Kombination dieser frei verfügbaren Ressourcen geschickt genutzt, um ein RAT zu erstellen, das sowohl durch statische als auch dynamische Analyse schwer zu erkennen ist.
Die Quasar RAT, die seit ihrer ersten Veröffentlichung im Jahr 2014 fast ein Jahrzehnt existiert, dient als Grundlage für die SeroXen RAT. Es bietet ein leichtes Remote-Verwaltungstool mit der neuesten Version 1.41, das Funktionen wie Reverse-Proxy, Remote-Shell, Remote-Desktop, TLS-Kommunikation und ein Dateiverwaltungssystem umfasst. Es ist auf GitHub frei zugänglich.
Um seine Fähigkeiten zu erweitern, verwendet der SeroXen RAT das Rootkit r77 (Ring 3). Dieses Open-Source-Rootkit bietet Funktionen wie dateilose Persistenz, Einbindung untergeordneter Prozesse, Einbettung von Malware, In-Memory-Prozessinjektion und Umgehung der Anti-Malware-Erkennung. SeroXen integriert auch das NirCmd-Dienstprogramm. NirCmd ist ein Freeware-Tool, das einfache Verwaltungsaufgaben für Windows-Systeme und Peripheriegeräte durch Befehlszeilenausführung erleichtert.
Analyse der Angriffe von SeroXen RAT
Zur Verbreitung von SeroXen wurden verschiedene Angriffsvektoren eingesetzt, darunter Phishing-E-Mails und Discord-Kanäle, die von Cyberkriminellen genutzt werden. Diese Akteure verteilen ZIP-Archive, die stark verschleierte Batchdateien enthalten.
Bei der Extraktion dekodiert die Batchdatei einen Base64-kodierten Text, um zwei Binärdateien zu extrahieren. Diese Binärdateien werden dann mithilfe von .NET Reflection in den Speicher geladen. Die modifizierte Version von msconfig.exe, die zum Ausführen der Malware erforderlich ist, ist die einzige Datei, die mit der Festplatte interagiert. Es wird vorübergehend im Verzeichnis „C:\Windows\System32V“ gespeichert (beachten Sie den zusätzlichen Speicherplatz), der nur von kurzer Dauer ist und nach der Programminstallation gelöscht wird.
Die Batchdatei dient als Vehikel zur Bereitstellung der Nutzlast „InstallStager.exe“, einer Variante des r77-Rootkits. Um Tarnung und Beständigkeit zu gewährleisten, wird das Rootkit verschleiert und in der Windows-Registrierung gespeichert. Anschließend wird es mit PowerShell über den Taskplaner aktiviert und fügt sich in den Prozess „winlogon.exe“ ein.
Durch diese Injektion schleust das r77-Rootkit den SeroXen RAT in den Systemspeicher ein, stellt dessen verdeckte Präsenz sicher und ermöglicht den Fernzugriff auf das kompromittierte Gerät. Sobald die Remote-Access-Malware gestartet ist, stellt sie eine Kommunikation mit einem Command-and-Control-Server her und wartet auf Befehle der Angreifer.
Die Analyse zeigt, dass SeroXen dasselbe TLS-Zertifikat wie der Quasar RAT verwendet und die meisten Funktionen vom ursprünglichen Projekt übernimmt. Zu diesen Funktionen gehören die Unterstützung von TCP-Netzwerkströmen, effiziente Netzwerkserialisierung und QuickLZ-Komprimierung.
Cybersicherheitsforscher warnen, dass die zunehmende Beliebtheit von SeroXen zu einer möglichen Verlagerung des Fokus von der Ausrichtung auf Gamer hin zur Ausrichtung auf größere Organisationen führen könnte. Um Netzwerkverteidiger bei der Bekämpfung dieser Bedrohung zu unterstützen, sollten Organisationen Vorkehrungen gegen die Bedrohung treffen. Es gibt wertvolle Ressourcen zur Identifizierung und Eindämmung der Präsenz von SeroXen in Netzwerken, sodass Verteidiger ihre Cybersicherheitsmaßnahmen verbessern und sich vor potenziellen Angriffen schützen können.
