一種名為"SeroXen"的隱秘遠程訪問木馬 (RAT) 最近開始流行,網絡犯罪分子開始使用它,是因為它的檢測到率低,功能強大。
AT&T 報告說,該惡意軟件以 Windows 11 和 10 的合法遠程訪問工具的名義出售,價格為每月 15 美元或一次性"終身"許可證支付 60 美元。
SeroXen 網站 (BleepingComputer)上列出的功能
盡管以合法程序的名義銷售,但 Flare Systems 網絡安全平臺顯示,SeroXen 在黑客論壇上被宣傳為遠程訪問木馬。不清楚在論壇上宣傳它的是否是開發人員,還是可疑的分銷商。
然而,遠程訪問程序的低成本使得它對威脅 actor 非常具有吸引力,自 2022 年 9 月以來,AT&T 已經觀察到數百個樣本,并且活動最近有所增加。
SeroXen 的受害者主要集中在游戲社區,但隨著該工具的流行程度增加,其目標范圍可能會擴展到包括大型企業和組織機構。
SeroXen 促銷活動時間表 (AT&T)
開源構建塊
SeroXen 基于各種開源項目,包括 Quasar RAT、r77 rootkit 和 NirCmd 命令行工具。
“SeroXen 開發人員發現了一種強大的免費資源組合,可以開發一種難以在靜態和動態分析中檢測到的 RAT,” AT&T 在報告中評論道。
“使用像 Quasar 這樣經過精心設計的開源 RAT,自首次出現以來已有近十年的歷史,為 RAT [...]使該工具更難以捉摸,更難被發現。”
SeroXen 基于 Quasar RAT,這是一款最初于 2014 年發布的輕量級遠程管理系統。其最新版本 1.41 提供了反向代理、遠程 shell、遠程桌面、TLS 通信和文件管理系統,并通過 GitHub 免費發布。
r77(Ring 3) rootkit 是一款開源 rootkit,提供文件 less persistence、子進程鉤子、惡意嵌入、內存進程注入和防殺毒軟件繞過等功能。
NirCmd 是一款免費的工具,可以從命令行執行簡單的 Windows 系統和外設管理任務。
SeroXen 攻擊
AT&T 已經看到攻擊通過網絡釣魚電子郵件或 Discord 渠道推動 SeroXen,網絡犯罪分子在這些渠道中分發包含高度混淆的批處理文件的 ZIP 存檔。
混淆的批處理文件 (AT&T)
批處理文件從 base64 編碼的文本中提取兩個二進制文件,并使用 .NET 反射將它們加載到內存中。
接觸磁盤的唯一文件是 msconfig.exe 的修改版本,惡意軟件執行需要它,并臨時存儲在短暫的“C:\Windows\System32\”(注意額外空間)目錄中安裝程序后將被刪除。
這個批處理文件最終部署了一個名為“InstallStager.exe”的有效負載,這是 r77 rootkit 的一個變體。
Rootkit 以混淆的形式存儲在 Windows 注冊表中,隨后通過任務計劃程序使用 PowerShell 激活,并將其注入“winlogon.exe”。
將有效負載注入內存 (AT&T)
r77 rootkit 將 SeroXen RAT 注入系統內存,確保它不被檢測到,現在提供對設備的遠程訪問。
一旦啟動遠程訪問惡意軟件,它就會與命令和控制服務器建立通信并等待攻擊者發出的命令。
SeroXen的執行流程 (AT&T)
分析師發現,SeroXen 使用與 QuasarRAT 相同的 TLS 證書,并具有原始項目的大部分功能,包括 TCP 網絡流支持、高效的網絡序列化和 QuickLZ 壓縮。
AT&T 擔心 SeroXen 的日益流行會吸引黑客對大型組織感興趣,而不是專注于游戲玩家,因此已經發布了供網絡防御者使用的妥協指標。
商密君
D1Net
嘶吼專業版
GoUpSec
D1Net
FreeBuf
安全圈
GoUpSec
數說安全
中國信息安全
安全圈
安全牛
