一种名为"SeroXen"的隐秘远程访问木马 (RAT) 最近开始流行,网络犯罪分子开始使用它,是因为它的检测到率低,功能强大。
AT&T 报告说,该恶意软件以 Windows 11 和 10 的合法远程访问工具的名义出售,价格为每月 15 美元或一次性"终身"许可证支付 60 美元。
SeroXen 网站 (BleepingComputer)上列出的功能
尽管以合法程序的名义销售,但 Flare Systems 网络安全平台显示,SeroXen 在黑客论坛上被宣传为远程访问木马。不清楚在论坛上宣传它的是否是开发人员,还是可疑的分销商。
然而,远程访问程序的低成本使得它对威胁 actor 非常具有吸引力,自 2022 年 9 月以来,AT&T 已经观察到数百个样本,并且活动最近有所增加。
SeroXen 的受害者主要集中在游戏社区,但随着该工具的流行程度增加,其目标范围可能会扩展到包括大型企业和组织机构。
SeroXen 促销活动时间表 (AT&T)
开源构建块
SeroXen 基于各种开源项目,包括 Quasar RAT、r77 rootkit 和 NirCmd 命令行工具。
“SeroXen 开发人员发现了一种强大的免费资源组合,可以开发一种难以在静态和动态分析中检测到的 RAT,” AT&T 在报告中评论道。
“使用像 Quasar 这样经过精心设计的开源 RAT,自首次出现以来已有近十年的历史,为 RAT [...]使该工具更难以捉摸,更难被发现。”
SeroXen 基于 Quasar RAT,这是一款最初于 2014 年发布的轻量级远程管理系统。其最新版本 1.41 提供了反向代理、远程 shell、远程桌面、TLS 通信和文件管理系统,并通过 GitHub 免费发布。
r77(Ring 3) rootkit 是一款开源 rootkit,提供文件 less persistence、子进程钩子、恶意嵌入、内存进程注入和防杀毒软件绕过等功能。
NirCmd 是一款免费的工具,可以从命令行执行简单的 Windows 系统和外设管理任务。
SeroXen 攻击
AT&T 已经看到攻击通过网络钓鱼电子邮件或 Discord 渠道推动 SeroXen,网络犯罪分子在这些渠道中分发包含高度混淆的批处理文件的 ZIP 存档。
混淆的批处理文件 (AT&T)
批处理文件从 base64 编码的文本中提取两个二进制文件,并使用 .NET 反射将它们加载到内存中。
接触磁盘的唯一文件是 msconfig.exe 的修改版本,恶意软件执行需要它,并临时存储在短暂的“C:\Windows\System32\”(注意额外空间)目录中安装程序后将被删除。
这个批处理文件最终部署了一个名为“InstallStager.exe”的有效负载,这是 r77 rootkit 的一个变体。
Rootkit 以混淆的形式存储在 Windows 注册表中,随后通过任务计划程序使用 PowerShell 激活,并将其注入“winlogon.exe”。
将有效负载注入内存 (AT&T)
r77 rootkit 将 SeroXen RAT 注入系统内存,确保它不被检测到,现在提供对设备的远程访问。
一旦启动远程访问恶意软件,它就会与命令和控制服务器建立通信并等待攻击者发出的命令。
SeroXen的执行流程 (AT&T)
分析师发现,SeroXen 使用与 QuasarRAT 相同的 TLS 证书,并具有原始项目的大部分功能,包括 TCP 网络流支持、高效的网络序列化和 QuickLZ 压缩。
AT&T 担心 SeroXen 的日益流行会吸引黑客对大型组织感兴趣,而不是专注于游戏玩家,因此已经发布了供网络防御者使用的妥协指标。
参考及来源:https://www.bleepingcomputer.com/news/security/stealthy-seroxen-rat-malware-increasingly-used-to-target-gamers/