{"id":4947,"date":"2023-06-13T16:42:35","date_gmt":"2023-06-13T14:42:35","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4947"},"modified":"2023-06-13T16:42:35","modified_gmt":"2023-06-13T14:42:35","slug":"seroxen-rat-na-prodaju","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/13\/seroxen-rat-na-prodaju\/","title":{"rendered":"SeroXen RAT na prodaju"},"content":{"rendered":"

SeroXen<\/em> je novi trojanac<\/a> za daljinski pristup (eng. Remote Access Trojan \u2013 RAT<\/em>) koji se pojavio krajem 2022. godine i postaje sve popularniji u 2023. godini. Reklamira se kao legitiman alat koji omogu\u0107ava neprime\u0107en pristup korisni\u010dkim ure\u0111ajima, a prodaje se za samo 30 dolara na period od mjesec dana ili 60 dolara za do\u017eivotni paket, \u010dine\u0107i ga veoma dostupnim.<\/span><\/p>\n

\"\"

Image<\/a><\/u><\/span> by <\/em>rawpixel.com<\/em><\/a><\/u><\/span><\/p><\/div>\n

Porijeklo<\/strong><\/span><\/h2>\n

Sve po\u010dinje sa Quasar RAT,<\/em> legitimnim alatom za udaljenu administraciju otvorenog k\u00f4da. On se nudi se na github<\/em> stranici za pru\u017eanje korisni\u010dke podr\u0161ke ili prac\u0301enje zaposlenih. Istorijski je bio povezan sa zlonamjernom aktivnostima koje koriste APT<\/em> grupe<\/a> ili u dr\u017eavno sponzorisanim napadima.<\/span><\/p>\n

Quasar<\/em> je objavljen u julu 2014. godine, a trenutno je zadnji put a\u017euriran u martu 2023. godine. Kao softver otvorenog k\u00f4da sa stalnom podr\u0161kom od devet godina unazad, uop\u0161te nije iznena\u0111enje da se koristi samostalno ili u kombinaciji sa drugim zlonamjernim softverima<\/a> od strane zlonamjernih napada\u010da.<\/span><\/p>\n

Najnovija zlonamjerna verzija uo\u010dena<\/a> od sigurnosnih istra\u017eiva\u010da iz kompanije Alien<\/em> Labs<\/em> je nazvana SeroXen<\/em>. SeroXen RAT<\/em> se prvo pojavio na Twitter<\/em> nalog u septembru 2022. godine, a nakon toga je objavljena YouTube<\/em> recenzija. U decembru 2022. godine dolazi do registracije domena seroxen[.]com<\/em> gdje po\u010dinje prodaja za 30 dolara na period od mjesec dana ili 60 dolara za do\u017eivotni paket. U tom trenutku servis VirusTotal<\/em> nije mogao detektovati ovaj zlonamjerni softver.<\/span><\/p>\n

Reklamiranje se nastavlja na platformama kao \u0161to su TikTok<\/em>, Twitter<\/em>, YouTube<\/em> i na nekoliko foruma sa piratskim softverom, a dolazi i do promjene domene na seroxen[.]net<\/em> koja se koristi samo za reklamne svrhe i nije namijenjena za komandno kontrolne komunikacije.<\/span><\/p>\n

 <\/p>\n

Funkcionalnost<\/strong><\/span><\/h3>\n

Jedna od najva\u017enijih funkcionalnosti ovog zlonamjernog softvera je da se ne mo\u017ee otkriti i to se odnosi na stati\u010dku analizu po\u0161to je RAT<\/em> zapakovan u zamagljenu PowerShell<\/em> komandnu datoteku. Veli\u010dina datoteke je izme\u0111u 12-14 MB<\/em> i ba\u0161 zbog ove veli\u010dine, odre\u0111ena antivirusna rje\u0161enja<\/a> mogu presko\u010diti analizu ove datoteke i omogu\u0107iti izbjegavanje detekcije.<\/span><\/p>\n

Pored toga, zlonamjerni softver je bez datoteke i izvr\u0161ava se u memoriji nakon \u0161to pro\u0111e kroz nekoliko rutina de\u0161ifrovanja i dekompresije, pa ga je antivirusnim softverima te\u017ee otkriti. Uz to, njegov r77<\/em>–rootkit<\/em> u\u010ditava sve\u017eu kopiju ntdll.dll<\/em> datoteke, \u0161to ote\u017eava otkrivanje pomo\u0107u softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response \u2013 EDR<\/em>) kada se ubacuje u druge procese.<\/span><\/p>\n

Kada je rije\u010d o dinami\u010dkoj analizi, postoji mogu\u0107nost da neke od izolovanih okru\u017eenja (eng. sandbox<\/em>) nisu u mogu\u0107nosti da detektuju SeroXen RAT<\/em> zbog njegove upotrebe nekoliko tehnika za izbjegavanje virtuelizacije, detekcije izolovanih okru\u017eenja i \u0161ifrovanja<\/a> nizova naknadnih aktivnih dijelova virusa.<\/span><\/p>\n

Tokom izvr\u0161avanja, SeroXen RAT<\/em> pokazuje niske stope otkrivanja za svoje podre\u0111ene procese i\u00a0 datoteke. Kada se aktivni dio virusa<\/a> isporu\u010di \u017ertvi, \u010desto kori\u0161tenjem phishing<\/em> napada<\/a> preko elektronske po\u0161te ili Discord<\/em> kanala, \u017ertva dobija ZIP<\/em> datoteku koja sadr\u017ei bezopasnu datoteku. Nasuprot tome, jako zamagljena komandna datoteka ostaje skrivena i automatski se izvr\u0161ava po pokretanju.<\/span><\/p>\n

 <\/p>\n

Infekcija<\/strong><\/span><\/h4>\n

Kada se pokrene skrivena datoteka, dolazi do nekoliko rutina de\u0161ifrovanja i dekompresije, kao i upotrebe nekoliko tehnika za izbjegavanje virtuelizacije, detekcije izolovanih okru\u017eenja i \u0161ifrovanja nizova naknadnih aktivnih dijelova virusa.<\/span><\/p>\n

Pored toga, rootkit<\/em><\/a> u\u010ditava sve\u017eu kopiju ntdll.dll<\/em> datoteke \u0161to omogu\u0107ava da se bez datoteke izvr\u0161ava u memoriji, kao i spajanje podre\u0111enih procesa i ubacivanje procesa u memoriju, izme\u0111u ostalih funkcija. Tako\u0111e ima mogu\u0107nost da ugradi dodatni zlonamjerni softver, kao \u0161to su NirCmd<\/em> ili Quasar<\/em>, koji se de\u0161ifruju i ubrizgavaju u druge procese.<\/span><\/p>\n

Rootkit<\/em> ima za cilj da obezbijedi prikriveno izvr\u0161avanje SeroXen RAT <\/em>zlonamjernog softvera unutar sistema. Koristi ubrizgavanje procesa, izvr\u0161ava komande primljene od drugih procesa i koristi razli\u010dite tehnike da bi se izbjegao otkrivanje, kao \u0161to su AMSI<\/em> zaobila\u017eenje i DLL<\/em> odvajanje.<\/span><\/p>\n

Komunikacija izme\u0111u zlonamjernog softvera i servera za komandu i kontrolu (C&C<\/em>) se odvija preko TLS<\/em> enkripcije sa certifikatom koji nosi isto zajedni\u010dko ime kao Quasar<\/em> RAT<\/em>.<\/span><\/p>\n

Funkcionalnosti komandnog servera su veoma sli\u010dne onima koje se nalaze u Quasar<\/em> GitHub<\/em> repozitorijumu, uklju\u010duju\u0107i podr\u0161ku za TCP<\/em> mre\u017ene tokove, mre\u017enu serijalizaciju, QuickLZ<\/em> kompresiju i bezbjednu komunikaciju putem TLS<\/em> enkripcije.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Posmatraju\u0107i razvoj alata i usluga kao \u0161to je SeroXen<\/em> RAT<\/em>, korisnici mogu usvojiti slijede\u0107e mjere za\u0161tite:<\/span><\/p>\n

 <\/p>\n

    \n
  • Koristiti provjereno antivirusno rje\u0161enje i voditi ra\u010duna da je uvijek a\u017eurirano.<\/span><\/li>\n
  • Aplikacije i operativni sistem na ure\u0111aju, kao i upravlja\u010dki softver ure\u0111aja bi uvijek trebalo da su a\u017eurirani.<\/span><\/li>\n
  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske po\u0161te, posje\u0107uju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.<\/span><\/li>\n
  • Za korisnike je va\u017eno odr\u017eavanje najboljih praksi\u00a0 za o\u010duvanje bezbjednosti uz stalno pra\u0107enje novih informacija vezanim za ove vrste zlonamjernih softvera kako bi bili ispred prijetnji koje se razvijaju.<\/span><\/li>\n<\/ul>\n

     <\/p>\n

    Zaklju\u010dak<\/strong><\/span><\/h5>\n

    Autor zlonamjernog softvera SeroXen<\/em> RAT<\/em> iskoristio zna\u010dajne besplatne resurse za razvoj RAT<\/em> alat koji te\u0161ko otkriva u stati\u010dkoj i dinami\u010dkoj analizi. Kori\u0161tenje razra\u0111enog RAT<\/em> alata otvorenog k\u00f4da kao \u0161to je Quasar<\/em>, sa skoro decenijom razvoja, je definitivno povoljan temelj za RAT<\/em>. Dok je NirCMD<\/em> i r77<\/em>–rootkit<\/em> kombinacija logi\u010dan dodatak ovoj mje\u0161avini, jer oni \u010dine alat neuhvatljivim i te\u017eim za otkrivanje.<\/span><\/p>\n

    Ovaj zlonamjerni softver se za sada upotrebljava za napad na zajednicu igra\u010da video igara, me\u0111utim zbog svojih mogu\u0107nosti i pristupa\u010dne cijene samo je pitanje vremena kada \u0107e se po\u010deti koristiti za napad na poslovne organizacije umjesto pojedina\u010dnih korisnika.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

    SeroXen je novi trojanac za daljinski pristup (eng. Remote Access Trojan \u2013 RAT) koji se pojavio krajem 2022. godine i postaje sve popularniji u 2023. godini. Reklamira se kao legitiman alat koji omogu\u0107ava neprime\u0107en...<\/p>","protected":false},"author":1,"featured_media":4950,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[235,413,145,282,102,414,96],"class_list":["post-4947","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-edr","tag-quasar-rat","tag-rat","tag-remote-access-trojan","tag-rootkit","tag-seroxen-rat","tag-trojan"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4947","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4947"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4947\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4950"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4947"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4947"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4947"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}