SeroXen RAT
សហគមន៍ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទទួលយក Trojan ពីចម្ងាយលួចលាក់ (RAT) ដែលមានឈ្មោះថា 'SeroXen' កាន់តែខ្លាំងឡើង ដោយសារតែសមត្ថភាព និងសមត្ថភាពដ៏មានឥទ្ធិពលរបស់វាក្នុងការគេចពីការរកឃើញ។
យោងតាមរបាយការណ៍ពី AT&T មេរោគនេះកំពុងត្រូវបានទីផ្សារបោកបញ្ឆោតជាឧបករណ៍ចូលប្រើពីចម្ងាយស្របច្បាប់សម្រាប់ Windows 11 និង 10។ វាត្រូវបានផ្តល់ជូនសម្រាប់ថ្លៃជាវប្រចាំខែចំនួន 15 ដុល្លារ ឬការទូទាត់អាជ្ញាប័ណ្ណមួយដង 60 ដុល្លារ។ ទោះបីជាត្រូវបានបង្ហាញជាឧបករណ៍ស្របច្បាប់ក៏ដោយ SeroXen ពិតជាត្រូវបានផ្សព្វផ្សាយជា Trojan ពីចម្ងាយនៅលើវេទិកាការលួចស្តាប់។ អត្តសញ្ញាណរបស់បុគ្គលដែលនៅពីក្រោយការផ្សព្វផ្សាយទាំងនេះ ថាតើពួកគេជាអ្នកអភិវឌ្ឍន៍ពិតប្រាកដ ឬអ្នកលក់បន្តដែលមិនសមហេតុផល នៅតែមិនប្រាកដប្រជា។
តារាងមាតិកា
SeroXen RAT កំពុងទទួលបានការចាប់អារម្មណ៍ក្នុងចំណោមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
ចំណុចតម្លៃសមរម្យនៃកម្មវិធីការចូលប្រើពីចម្ងាយ SeroXen បានធ្វើឱ្យវាអាចចូលដំណើរការបានចំពោះអ្នកគំរាមកំហែងជាច្រើនប្រភេទ។ ក្រុមហ៊ុន AT&T បានកំណត់អត្តសញ្ញាណគំរូជាច្រើននៃ SeroXen ចាប់តាំងពីការលេចឡើងរបស់វានៅក្នុងខែកញ្ញា ឆ្នាំ 2022 ហើយសកម្មភាពជុំវិញវាបានកាន់តែខ្លាំងនាពេលថ្មីៗនេះ។
ខណៈពេលដែលគោលដៅចម្បងរបស់ SeroXen គឺជាបុគ្គលនៅក្នុងសហគមន៍ហ្គេម វាមានការព្រួយបារម្ភកាន់តែខ្លាំងឡើងថា នៅពេលដែលប្រជាប្រិយភាពរបស់ឧបករណ៍នេះកើនឡើង វាក៏អាចត្រូវបានគេប្រើប្រាស់ដើម្បីកំណត់គោលដៅអង្គភាពធំៗ ដូចជាក្រុមហ៊ុន និងអង្គការល្បីៗផងដែរ។
ការកើនឡើងនៃប្រជាប្រិយភាពរបស់ SeroXen ក្នុងចំណោមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចត្រូវបានគេសន្មតថាមានអត្រាការរកឃើញទាប និងសមត្ថភាពដ៏ខ្លាំងក្លារបស់វា។ ការក្លែងបន្លំរបស់វាជាឧបករណ៍ចូលប្រើពីចម្ងាយស្របច្បាប់បានធ្វើឱ្យវាក្លាយជាជម្រើសដ៏គួរឱ្យទាក់ទាញសម្រាប់តួអង្គគំរាមកំហែង។ ដើម្បីកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹង Trojan ការចូលប្រើពីចម្ងាយនេះ វាជាការចាំបាច់សម្រាប់បុគ្គល និងអង្គការដើម្បីរក្សាការប្រុងប្រយ័ត្ន និងអនុវត្តវិធានការសន្តិសុខដ៏រឹងមាំ។
SeroXen RAT ត្រូវបានបង្កើតឡើងពីគម្រោងប្រភពបើកចំហផ្សេងៗ
SeroXen គូរលើគម្រោងប្រភពបើកចំហជាច្រើន រួមទាំង Quasar RAT , r77 rootkit និងឧបករណ៍បន្ទាត់ពាក្យបញ្ជា NirCmd ។ អ្នកអភិវឌ្ឍន៍ SeroXen បានប្រើប្រាស់យ៉ាងប៉ិនប្រសប់នូវការរួមបញ្ចូលគ្នានៃធនធានដែលមានដោយសេរីទាំងនេះ ដើម្បីបង្កើត RAT ដែលពិបាកនឹងរកឃើញតាមរយៈការវិភាគទាំងឋិតិវន្ត និងថាមវន្ត។
Quasar RAT ដែលមានអាយុកាលជិតមួយទសវត្សរ៍ចាប់តាំងពីការចេញផ្សាយដំបូងរបស់ខ្លួននៅក្នុងឆ្នាំ 2014 បម្រើជាមូលដ្ឋានគ្រឹះសម្រាប់ SeroXen RAT ។ វាផ្តល់នូវឧបករណ៍គ្រប់គ្រងពីចម្ងាយទម្ងន់ស្រាលជាមួយនឹងកំណែចុងក្រោយបំផុត 1.41 ដែលរួមបញ្ចូលលក្ខណៈពិសេសដូចជាប្រូកស៊ីបញ្ច្រាស សែលពីចម្ងាយ ផ្ទៃតុពីចម្ងាយ ការទំនាក់ទំនង TLS និងប្រព័ន្ធគ្រប់គ្រងឯកសារ។ វាអាចចូលដំណើរការបានដោយបើកចំហនៅលើ GitHub ។
ដើម្បីពង្រីកសមត្ថភាពរបស់វា SeroXen RAT ប្រើ r77 (Ring 3) rootkit ។ កញ្ចប់ឯកសារដើមប្រភពបើកចំហនេះផ្តល់នូវមុខងារដូចជាការរក្សាទុកឯកសារតិច ការភ្ជាប់ដំណើរការកុមារ ការបង្កប់មេរោគ ការបញ្ចូលដំណើរការក្នុងអង្គចងចាំ និងការគេចចេញពីការរកឃើញប្រឆាំងនឹងមេរោគ។ SeroXen ក៏រួមបញ្ចូលឧបករណ៍ប្រើប្រាស់ NirCmd ផងដែរ។ NirCmd គឺជាឧបករណ៍ឥតគិតថ្លៃដែលជួយសម្រួលដល់ការងារគ្រប់គ្រងសាមញ្ញសម្រាប់ប្រព័ន្ធវីនដូ និងគ្រឿងកុំព្យូទ័រតាមរយៈការប្រតិបត្តិបន្ទាត់ពាក្យបញ្ជា។
ការវិភាគលើការវាយប្រហាររបស់ SeroXen RAT
វ៉ិចទ័រវាយប្រហារជាច្រើនត្រូវបានប្រើប្រាស់ដើម្បីចែកចាយ SeroXen រួមទាំងអ៊ីមែលបន្លំ និងបណ្តាញ Discord ដែលប្រើប្រាស់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ តួអង្គទាំងនេះចែកចាយប័ណ្ណសារហ្ស៊ីបដែលមានឯកសារបាច់ដែលបំភាន់ខ្លាំង។
នៅពេលស្រង់ចេញ ឯកសារបាច់នឹងឌិកូដអត្ថបទដែលបានអ៊ិនកូដ base64 ដើម្បីទាញយកប្រព័ន្ធគោលពីរ។ បន្ទាប់មកប្រព័ន្ធគោលពីរទាំងនេះត្រូវបានផ្ទុកទៅក្នុងអង្គចងចាំដោយប្រើការឆ្លុះបញ្ចាំង .NET ។ កំណែដែលបានកែប្រែនៃ msconfig.exe ដែលចាំបាច់សម្រាប់ដំណើរការមេរោគ គឺជាឯកសារតែមួយគត់ដែលមានអន្តរកម្មជាមួយឌីស។ វាត្រូវបានរក្សាទុកជាបណ្ដោះអាសន្ននៅក្នុងថត 'C:\Windows\System32V (កត់សំគាល់ទំហំបន្ថែម) ដែលមានរយៈពេលខ្លី និងត្រូវបានលុបបន្ទាប់ពីដំណើរការដំឡើងកម្មវិធី។
ឯកសារបាច់ប្រើជាយានជំនិះដើម្បីដាក់ពង្រាយ 'InstallStager.exe' payload ដែលជាវ៉ារ្យ៉ង់នៃ r77 rootkit ។ ដើម្បីរក្សាការបំបាំងកាយ និងភាពជាប់លាប់នោះ rootkit ត្រូវបានរំខាន និងរក្សាទុកក្នុងបញ្ជីឈ្មោះវីនដូ។ ក្រោយមកវាត្រូវបានធ្វើឱ្យសកម្មដោយប្រើ PowerShell តាមរយៈ Task Scheduler ដោយបញ្ចូលខ្លួនវាទៅក្នុងដំណើរការ "winlogon.exe" ។
តាមរយៈការចាក់នេះ r77 rootkit ណែនាំ SeroXen RAT ទៅក្នុងអង្គចងចាំរបស់ប្រព័ន្ធ ដោយធានានូវវត្តមានសម្ងាត់របស់វា និងបើកការចូលប្រើពីចម្ងាយទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ នៅពេលដែលមេរោគចូលប្រើពីចម្ងាយត្រូវបានបើកដំណើរការ វាបង្កើតការទំនាក់ទំនងជាមួយ Command and Control server ដោយរង់ចាំការបញ្ជាពីអ្នកវាយប្រហារ។
ការវិភាគបង្ហាញថា SeroXen ប្រើប្រាស់វិញ្ញាបនបត្រ TLS ដូចគ្នាទៅនឹង Quasar RAT ហើយវាទទួលមរតកនូវសមត្ថភាពភាគច្រើនពីគម្រោងដើម។ សមត្ថភាពទាំងនេះរួមបញ្ចូលការគាំទ្រសម្រាប់ការស្ទ្រីមបណ្តាញ TCP សៀរៀលបណ្តាញប្រកបដោយប្រសិទ្ធភាព និងការបង្ហាប់ QuickLZ ។
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានព្រមានថាការកើនឡើងប្រជាប្រិយភាពរបស់ SeroXen អាចនាំឱ្យមានការផ្លាស់ប្តូរដ៏មានសក្តានុពលក្នុងការផ្តោតអារម្មណ៍ពីការកំណត់គោលដៅអ្នកលេងល្បែងទៅកំណត់គោលដៅលើអង្គការធំៗ។ ដើម្បីជួយអ្នកការពារបណ្តាញក្នុងការប្រយុទ្ធប្រឆាំងនឹងការគំរាមកំហែងនេះ អង្គការគួរតែចាត់វិធានការប្រុងប្រយ័ត្នប្រឆាំងនឹងការគំរាមកំហែងនេះ។ មានធនធានដ៏មានតម្លៃសម្រាប់កំណត់អត្តសញ្ញាណ និងកាត់បន្ថយវត្តមានរបស់ SeroXen នៅក្នុងបណ្តាញ ដែលអនុញ្ញាតឱ្យអ្នកការពារបង្កើនវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ពួកគេ និងការពារប្រឆាំងនឹងការវាយប្រហារដែលអាចកើតមាន។
