SeroXen RAT
Cộng đồng tội phạm mạng ngày càng sử dụng một Trojan truy cập từ xa tàng hình (RAT) có tên 'SeroXen' do khả năng mạnh mẽ và khả năng tránh bị phát hiện của nó.
Theo báo cáo từ AT&T, phần mềm độc hại này đang được tiếp thị một cách lừa đảo như một công cụ truy cập từ xa hợp pháp cho Windows 11 và 10. Nó được cung cấp với phí đăng ký hàng tháng là 15 đô la hoặc khoản thanh toán giấy phép "trọn đời" một lần là 60 đô la. Mặc dù được giới thiệu là một công cụ hợp pháp, SeroXen thực sự được quảng cáo là một Trojan truy cập từ xa trên các diễn đàn hack. Danh tính của những cá nhân đứng sau các chương trình khuyến mãi này, cho dù họ là nhà phát triển thực sự hay người bán lại vô đạo đức, vẫn chưa chắc chắn.
Mục lục
SeroXen RAT đang thu hút sự chú ý của tội phạm mạng
Mức giá phải chăng của chương trình truy cập từ xa SeroXen đã khiến nó có thể tiếp cận được với nhiều tác nhân đe dọa. AT&T đã xác định được nhiều mẫu SeroXen kể từ khi nó xuất hiện vào tháng 9 năm 2022 và hoạt động xung quanh nó gần đây đã tăng cường.
Mặc dù các mục tiêu chính của SeroXen là các cá nhân trong cộng đồng trò chơi, nhưng ngày càng có nhiều lo ngại rằng khi mức độ phổ biến của công cụ này mở rộng, nó cũng có thể được sử dụng để nhắm mục tiêu vào các thực thể lớn hơn, chẳng hạn như các công ty và tổ chức nổi tiếng.
Sự phổ biến ngày càng tăng của SeroXen trong giới tội phạm mạng có thể là do tỷ lệ phát hiện thấp và khả năng mạnh mẽ của nó. Chiêu bài lừa đảo của nó là một Công cụ truy cập từ xa hợp pháp đã khiến nó trở thành một lựa chọn hấp dẫn đối với các tác nhân đe dọa. Để giảm thiểu rủi ro liên quan đến Trojan Truy cập Từ xa này, các cá nhân và tổ chức bắt buộc phải duy trì cảnh giác và thực hiện các biện pháp bảo mật mạnh mẽ.
SeroXen RAT được phát triển từ các dự án mã nguồn mở khác nhau
SeroXen dựa trên một số dự án mã nguồn mở, bao gồm Quasar RAT , rootkit r77 và công cụ dòng lệnh NirCmd. Nhà phát triển SeroXen đã khéo léo sử dụng kết hợp các tài nguyên có sẵn miễn phí này để tạo ra một RAT khó phát hiện thông qua cả phân tích tĩnh và động.
Quasar RAT, đã tồn tại gần một thập kỷ kể từ lần phát hành đầu tiên vào năm 2014, đóng vai trò là nền tảng cho SeroXen RAT. Nó cung cấp một Công cụ quản trị từ xa nhẹ với phiên bản mới nhất, 1.41, kết hợp các tính năng như proxy ngược, shell từ xa, máy tính từ xa, giao tiếp TLS và hệ thống quản lý tệp. Nó có thể truy cập mở trên GitHub.
Để mở rộng khả năng của nó, SeroXen RAT sử dụng rootkit r77 (Ring 3). Rootkit mã nguồn mở này cung cấp các chức năng như tính bền vững của tệp ít hơn, kết nối các quy trình con, nhúng phần mềm độc hại, chèn quy trình trong bộ nhớ và trốn tránh phát hiện chống phần mềm độc hại. SeroXen cũng tích hợp tiện ích NirCmd. NirCmd là một công cụ phần mềm miễn phí hỗ trợ các tác vụ quản lý đơn giản cho các hệ thống Windows và thiết bị ngoại vi thông qua thực thi dòng lệnh.
Phân tích các cuộc tấn công của SeroXen RAT
Nhiều hướng tấn công khác nhau đã được sử dụng để phân phối SeroXen, bao gồm email lừa đảo và các kênh Discord do tội phạm mạng sử dụng. Những tác nhân này phân phối các kho lưu trữ ZIP chứa các tệp bó bị xáo trộn nặng nề.
Sau khi trích xuất, tệp bó giải mã văn bản được mã hóa base64 để trích xuất hai tệp nhị phân. Các tệp nhị phân này sau đó được tải vào bộ nhớ bằng phản chiếu .NET. Phiên bản sửa đổi của msconfig.exe, cần thiết để thực thi phần mềm độc hại, là tệp duy nhất tương tác với đĩa. Nó được lưu trữ tạm thời trong thư mục 'C:\Windows \System32V (chú ý khoảng trống thừa), tồn tại trong thời gian ngắn và bị xóa sau quá trình cài đặt chương trình.
Tệp bó đóng vai trò là phương tiện để triển khai tải trọng 'InstallStager.exe', một biến thể của rootkit r77. Để duy trì khả năng tàng hình và bền bỉ, rootkit được làm xáo trộn và lưu trữ trong sổ đăng ký Windows. Sau đó, nó được kích hoạt bằng PowerShell thông qua Trình lập lịch tác vụ, tự đưa chính nó vào quy trình "winlogon.exe".
Thông qua lần tiêm này, rootkit r77 đưa SeroXen RAT vào bộ nhớ của hệ thống, đảm bảo sự hiện diện bí mật của nó và cho phép truy cập từ xa vào thiết bị bị xâm nhập. Khi phần mềm độc hại truy cập từ xa được khởi chạy, nó sẽ thiết lập giao tiếp với máy chủ Chỉ huy và Kiểm soát, chờ lệnh từ những kẻ tấn công.
Phân tích cho thấy rằng SeroXen sử dụng chứng chỉ TLS giống như Quasar RAT và nó kế thừa hầu hết các khả năng từ dự án ban đầu. Các khả năng này bao gồm hỗ trợ cho các luồng mạng TCP, tuần tự hóa mạng hiệu quả và nén QuickLZ.
Các nhà nghiên cứu an ninh mạng cảnh báo rằng sự phổ biến ngày càng tăng của SeroXen có thể dẫn đến khả năng thay đổi trọng tâm từ việc nhắm mục tiêu vào các game thủ sang nhắm mục tiêu vào các tổ chức lớn hơn. Để hỗ trợ những người bảo vệ mạng trong việc chống lại mối đe dọa này, các tổ chức nên thực hiện các biện pháp phòng ngừa trước mối đe dọa. Có các tài nguyên quý giá để xác định và giảm thiểu sự hiện diện của SeroXen trong các mạng, cho phép những người bảo vệ tăng cường các biện pháp an ninh mạng và bảo vệ chống lại các cuộc tấn công tiềm ẩn.
