Контакты
Подписка 2023
Формирование шорт-листа отечественных решений
Форум ITSEC: информационная и кибербезопасность России. 10-20 октября 2023
Жми, чтобы участвовать

Новый скрытный троян SeroXen RAT обходит антивирусы и даёт хакерам полный доступ к целевым компьютерам

02/06/23

RAT2-3

Специалисты AT&T обнаружили новый троян удалённого доступа под названием SeroXen RAT, который в последнее время стал крайне популярным среди киберпреступников за счёт своей высокой скрытности и мощных возможностей, передает Securitylab.

На легитимных площадках вредонос продаётся как абсолютно законная программа для удалённого управления компьютерами с Windows 10 и 11 на борту. Цена смешная — 15 долларов в месяц или 60 долларов за «пожизненную» лицензию.

Однако платформа киберразведки Flare Systems обнаружила, что на хакерских форумах SeroXen рекламируется как троян удаленного доступа. И абсолютно неясно, являются ли те лица, кто продвигает троян на форумах, его разработчиками или просто мошенническими «перекупами».

Низкая стоимость трояна делает его очень доступным для злоумышленников. AT&T отмечает сотни образцов с момента его создания в сентябре 2022 года, причем активность все ещё растёт.

Большинство жертв SeroXen — простые геймеры, но по мере роста популярности инструмента целевая аудитория может расшириться и включать крупные компании и организации.

SeroXen основан на различных открытых проектах, включая Quasar RAT, r77 rootkit и NirCmd. «Разработчик SeroXen выявил сильное сочетание бесплатных ресурсов для создания трудно обнаруживаемого при статическом и динамическом анализе трояна. Использование открытого трояна Quasar, который появился почти десять лет назад, даёт прочную основу, а сочетание NirCMD и r77-rootkit — логичное дополнения к смеси, так как они делают инструмент гораздо более скрытным», — комментирует AT&T в своём отчёте .

Quasar RAT — это инструмент для удалённого администрирования, впервые выпущенный в 2014 году. Его последняя версия, 1.41, имеет функции обратного прокси, удалённой оболочки, удалённого рабочего стола, TLS-связи и системы управления файлами. Инструмент находится в свободном доступе через GitHub.

r77 (Ring 3) rootkit — это открытый руткит, который предлагает безфайловое постоянство в целевой системе, перехват дочерних процессов, внедрение вредоносного кода, инъекцию процессов в памяти и обход антивирусов.

NirCmd — это бесплатная утилита, которая выполняет простые задачи по управлению системой Windows и периферийными устройствами из командной строки.

AT&T зафиксировала атаки с использованием SeroXen через фишинговые электронные письма или каналы Discord, где киберпреступники распространяют ZIP-архивы, содержащие сильно обфусцированные пакетные файлы. Из них извлекается пара двоичных файлов в кодировке base64 и загружается в память с помощью .NET Reflection.

Единственный файл, который затрагивает диск устройства — это модифицированная версия msconfig.exe, которая необходима для выполнения вредоносной программы и временно хранится в каталоге «C:\Windows \System32» Обратите внимание на дополнительный пробел после «Windows», который удаляется сразу после установки программы.

В конечном итоге, на целевом устройстве развертывается полезная нагрузка под названием «InstallStager.exe», один из вариантов r77 rootkit. Он хранится в обфусцированной форме в реестре Windows и позже активируется с помощью PowerShell через «Планировщик заданий», внедряясь в процесс «winlogon.exe».

Руткит интегрирует троян SeroXen в память системы, обеспечивая его незаметность, но предоставляя желаемый удаленный доступ к устройству. После запуска троян устанавливает связь с C2-сервером и ждёт дальнейших команд от злоумышленников.

Аналитики AT&T таже обнаружили, что SeroXen использует тот же TLS-сертификат, что и QuasarRAT, и имеет большинство возможностей оригинального проекта, включая поддержку TCP-потока, эффективную сериализацию сети и сжатие QuickLZ.

Исследователи опасается, что растущая популярность SeroXen привлечёт хакеров, заинтересованных в атаках на крупные организации, а не на игроков в компьютерные игры, поэтому компания выпустила индикаторы компрометации (IoС), чтобы специалисты по безопасности успели подготовить свои предприятия.

Темы:УгрозыGitHubWindows 10AT&TRAT-трояны
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в ключевых отраслях
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
10 октября. Новые продукты для информационной безопасности
10 октября. Новые продукты для информационной безопасности
Жми, чтобы участвовать

Еще темы...