隐秘的 SeroXen RAT 恶意软件越来越多地用于针对游戏玩家
2023-6-12 12:1:56 Author: 嘶吼专业版(查看原文) 阅读量:12 收藏

一种名为"SeroXen"的隐秘远程访问木马 (RAT) 最近开始流行,网络犯罪分子开始使用它,是因为它的检测到率低,功能强大。

AT&T 报告说,该恶意软件以 Windows 11 和 10 的合法远程访问工具的名义出售,价格为每月 15 美元或一次性"终身"许可证支付 60 美元。

SeroXen 网站 (BleepingComputer)上列出的功能

尽管以合法程序的名义销售,但 Flare Systems 网络安全平台显示,SeroXen 在黑客论坛上被宣传为远程访问木马。不清楚在论坛上宣传它的是否是开发人员,还是可疑的分销商。

然而,远程访问程序的低成本使得它对威胁 actor 非常具有吸引力,自 2022 年 9 月以来,AT&T 已经观察到数百个样本,并且活动最近有所增加。

SeroXen 的受害者主要集中在游戏社区,但随着该工具的流行程度增加,其目标范围可能会扩展到包括大型企业和组织机构。

SeroXen 促销活动时间表 (AT&T)

       开源构建块

SeroXen 基于各种开源项目,包括 Quasar RAT、r77 rootkit 和 NirCmd 命令行工具。

“SeroXen 开发人员发现了一种强大的免费资源组合,可以开发一种难以在静态和动态分析中检测到的 RAT,” AT&T 在报告中评论道。

“使用像 Quasar 这样经过精心设计的开源 RAT,自首次出现以来已有近十年的历史,为 RAT [...]使该工具更难以捉摸,更难被发现。”

SeroXen 基于 Quasar RAT,这是一款最初于 2014 年发布的轻量级远程管理系统。其最新版本 1.41 提供了反向代理、远程 shell、远程桌面、TLS 通信和文件管理系统,并通过 GitHub 免费发布。

r77(Ring 3) rootkit 是一款开源 rootkit,提供文件 less persistence、子进程钩子、恶意嵌入、内存进程注入和防杀毒软件绕过等功能。

NirCmd 是一款免费的工具,可以从命令行执行简单的 Windows 系统和外设管理任务。

       SeroXen 攻击

AT&T 已经看到攻击通过网络钓鱼电子邮件或 Discord 渠道推动 SeroXen,网络犯罪分子在这些渠道中分发包含高度混淆的批处理文件的 ZIP 存档。

混淆的批处理文件 (AT&T)

批处理文件从 base64 编码的文本中提取两个二进制文件,并使用 .NET 反射将它们加载到内存中。

接触磁盘的唯一文件是 msconfig.exe 的修改版本,恶意软件执行需要它,并临时存储在短暂的“C:\Windows\System32\”(注意额外空间)目录中安装程序后将被删除。

这个批处理文件最终部署了一个名为“InstallStager.exe”的有效负载,这是 r77 rootkit 的一个变体。

Rootkit 以混淆的形式存储在 Windows 注册表中,随后通过任务计划程序使用 PowerShell 激活,并将其注入“winlogon.exe”。

将有效负载注入内存 (AT&T)

r77 rootkit 将 SeroXen RAT 注入系统内存,确保它不被检测到,现在提供对设备的远程访问。

一旦启动远程访问恶意软件,它就会与命令和控制服务器建立通信并等待攻击者发出的命令。

SeroXen的执行流程 (AT&T)

分析师发现,SeroXen 使用与 QuasarRAT 相同的 TLS 证书,并具有原始项目的大部分功能,包括 TCP 网络流支持、高效的网络序列化和 QuickLZ 压缩。

AT&T 担心 SeroXen 的日益流行会吸引黑客对大型组织感兴趣,而不是专注于游戏玩家,因此已经发布了供网络防御者使用的妥协指标。

参考及来源:https://www.bleepingcomputer.com/news/security/stealthy-seroxen-rat-malware-increasingly-used-to-target-gamers/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247562497&idx=2&sn=0a87c68ffed7812905ac44df4790f166&chksm=e914253bde63ac2db450a3864e3eb0ac5ef0f4da647ef00822c887372cdca8f48e846b8bab0b#rd
如有侵权请联系:admin#unsafe.sh