‘SeroXen’ adlı gizli bir uzaktan erişim truva atı (RAT), siber suçluların düşük tespit oranları ve güçlü yetenekleri nedeniyle onu kullanmaya başlamasıyla son zamanlarda popülerlik kazandı.
AT&T, kötü amaçlı yazılımın Windows 11 ve 10 için yasal bir uzaktan erişim aracı kisvesi altında ayda 15 ABD Doları veya 60 ABD Doları tutarında tek bir “ömür boyu” lisans ödemesi karşılığında satıldığını bildirdi.
Meşru bir program olarak pazarlanmasına rağmen, Flare Systems siber istihbarat platformu, SeroXen’in bilgisayar korsanlığı forumlarında uzaktan erişim truva atı olarak tanıtıldığını göstermiştir. Forumlarda onu tanıtanların geliştiriciler mi yoksa gölgeli satıcılar mı olduğu belli değil.
Bununla birlikte, uzaktan erişim programının düşük maliyeti, onu tehdit aktörleri için çok erişilebilir kılıyor; AT&T, Eylül 2022’de oluşturulmasından bu yana yüzlerce örneği gözlemliyor ve etkinlik son zamanlarda artıyor.
SeroXen kurbanlarının çoğu oyun topluluğundandır, ancak aracın popülaritesi arttıkça, hedefleme kapsamı büyük şirketleri ve kuruluşları içerecek şekilde genişleyebilir.
Açık kaynaklı yapı taşları
SeroXen, Quasar RAT, r77 rootkit ve NirCmd komut satırı aracı dahil olmak üzere çeşitli açık kaynaklı projelere dayanmaktadır.
AT&T raporda, “SeroXen geliştiricisi, statik ve dinamik analizde tespit edilmesi zor bir RAT geliştirmek için ücretsiz kaynakların müthiş bir kombinasyonunu buldu.”
“İlk ortaya çıkışından bu yana neredeyse on yıl geçmiş olan Quasar gibi ayrıntılı bir açık kaynaklı RAT’ın kullanılması, RAT için avantajlı bir temel oluşturuyor. […] NirCMD ve r77-rootkit kombinasyonu, aracı daha zor ve tespit edilmesini zorlaştırdıklarından karışıma mantıklı eklemeler yapıyor.”
SeroXen’in temeli olarak kullandığı Quasar RAT, ilk olarak 2014’te piyasaya sürülen hafif bir uzaktan yönetim aracıdır. En son sürümü olan 1.41, ters proxy, uzak kabuk, uzak masaüstü, TLS iletişimi ve bir dosya yönetim sistemi içerir ve ücretsiz olarak kullanılabilir GitHub aracılığıyla.
r77 (Ring 3) rootkit, dosyasız kalıcılık, alt süreç çengelleme, kötü amaçlı yazılım yerleştirme, bellek içi süreç enjeksiyonu ve antivirüs kaçırma sunan açık kaynaklı bir rootkit’tir.
NirCmd, komut satırından basit Windows sistemi ve çevresel yönetim görevlerini gerçekleştiren ücretsiz bir yardımcı programdır.
SeroXen saldırıları
AT&T, SeroXen’i kimlik avı e-postaları veya siber suçluların büyük ölçüde gizlenmiş toplu iş dosyaları içeren ZIP arşivlerini dağıttığı Discord kanalları aracılığıyla zorlayan saldırılar gördü.
Toplu iş dosyası, base64 kodlu metinden iki ikili dosyayı çıkarır ve bunları .NET yansımasını kullanarak belleğe yükler.
Diske dokunan tek dosya, kötü amaçlı yazılımın yürütülmesi için gerekli olan ve geçici olarak kısa ömürlü “C:\ program yüklendikten sonra silinir.
Bu toplu iş dosyası, nihayetinde, r77 rootkit’in bir çeşidi olan “InstallStager.exe” adlı bir yükü dağıtır.
Rootkit, Windows kayıt defterinde gizlenmiş bir biçimde saklanır ve daha sonra Görev Zamanlayıcı aracılığıyla PowerShell kullanılarak etkinleştirilir ve “winlogon.exe” içine enjekte edilir.
r77 rootkit, SeroXen RAT’ı sistemin belleğine enjekte ederek tespit edilmemesini sağlar ve artık cihaza uzaktan erişim sağlar.
Uzaktan erişim kötü amaçlı yazılımı başlatıldıktan sonra, komuta ve kontrol sunucusuyla iletişim kurar ve saldırganlar tarafından verilen komutları bekler.
Analistler, SeroXen’in QuasarRAT ile aynı TLS sertifikasını kullandığını ve TCP ağ akış desteği, verimli ağ serileştirme ve QuickLZ sıkıştırma dahil olmak üzere orijinal projenin yeteneklerinin çoğunu içerdiğini buldu.
AT&T, SeroXen’in artan popülaritesinin, oyunculara odaklanmak yerine büyük kuruluşları hedeflemekle ilgilenen bilgisayar korsanlarını çekeceğinden korkuyor ve ağ savunucuları tarafından kullanılmak üzere uzlaşma göstergeleri yayınladı.