SeroXen RAT
ชุมชนอาชญากรไซเบอร์ได้นำโทรจันการเข้าถึงระยะไกล (RAT) ที่ซ่อนเร้นชื่อ 'SeroXen' มาใช้มากขึ้นเรื่อยๆ เนื่องจากความสามารถอันทรงพลังและความสามารถในการหลบเลี่ยงการตรวจจับ
ตามรายงานจาก AT&T มัลแวร์นี้ถูกหลอกลวงให้เป็นเครื่องมือการเข้าถึงระยะไกลที่ถูกต้องตามกฎหมายสำหรับ Windows 11 และ 10 โดยมีค่าธรรมเนียมการสมัครสมาชิกรายเดือน 15 ดอลลาร์ หรือชำระค่าลิขสิทธิ์ "ตลอดชีพ" ครั้งเดียว 60 ดอลลาร์ แม้จะถูกนำเสนอให้เป็นเครื่องมือที่ถูกกฎหมาย แต่ SeroXen ได้รับการเลื่อนตำแหน่งเป็นโทรจันการเข้าถึงระยะไกลในฟอรัมแฮ็ค ตัวตนของบุคคลที่อยู่เบื้องหลังการส่งเสริมการขายเหล่านี้ ไม่ว่าจะเป็นผู้พัฒนาจริงหรือผู้ค้าปลีกที่ไร้ศีลธรรมนั้นยังคงไม่แน่นอน
สารบัญ
SeroXen RAT กำลังดึงดูดอาชญากรไซเบอร์
ราคาที่สามารถจับต้องได้ของโปรแกรมการเข้าถึงระยะไกล SeroXen ทำให้ผู้คุกคามจำนวนมากสามารถเข้าถึงได้ AT&T ได้ระบุตัวอย่างของ SeroXen จำนวนมากตั้งแต่เปิดตัวในเดือนกันยายน 2022 และกิจกรรมโดยรอบได้ทวีความรุนแรงขึ้นเมื่อเร็วๆ นี้
แม้ว่าเป้าหมายหลักของ SeroXen จะเป็นบุคคลในชุมชนเกม แต่ก็มีข้อกังวลมากขึ้นว่าเมื่อความนิยมของเครื่องมือขยายออกไป มันอาจถูกใช้เพื่อกำหนดเป้าหมายองค์กรขนาดใหญ่ เช่น บริษัทและองค์กรที่มีชื่อเสียง
ความนิยมที่เพิ่มขึ้นของ SeroXen ในหมู่อาชญากรไซเบอร์นั้นเป็นผลมาจากอัตราการตรวจจับที่ต่ำและความสามารถที่ทรงพลัง การหลอกลวงว่าเป็นเครื่องมือการเข้าถึงระยะไกลที่ถูกต้องทำให้เป็นตัวเลือกที่น่าสนใจสำหรับผู้คุกคาม เพื่อลดความเสี่ยงที่เกี่ยวข้องกับโทรจัน Remote Access นี้ บุคคลและองค์กรจำเป็นต้องเฝ้าระวังและใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง
SeroXen RAT ได้รับการพัฒนาจากโครงการโอเพ่นซอร์สต่างๆ
SeroXen ใช้ประโยชน์จากโครงการโอเพ่นซอร์สหลายโครงการ รวมถึง Quasar RAT , รูทคิท r77 และเครื่องมือบรรทัดคำสั่ง NirCmd นักพัฒนา SeroXen ได้ใช้การผสมผสานของทรัพยากรที่หาได้ฟรีเหล่านี้อย่างชาญฉลาดเพื่อสร้าง RAT ที่ท้าทายในการตรวจจับผ่านการวิเคราะห์ทั้งแบบคงที่และแบบไดนามิก
Quasar RAT ซึ่งมีมาเกือบทศวรรษนับตั้งแต่เปิดตัวครั้งแรกในปี 2014 ทำหน้าที่เป็นรากฐานสำหรับ SeroXen RAT มีเครื่องมือการดูแลระบบระยะไกลน้ำหนักเบาพร้อมเวอร์ชันล่าสุด 1.41 ซึ่งรวมคุณสมบัติต่างๆ เช่น พร็อกซีย้อนกลับ รีโมตเชลล์ เดสก์ท็อประยะไกล การสื่อสาร TLS และระบบการจัดการไฟล์ สามารถเข้าถึงได้อย่างเปิดเผยบน GitHub
เพื่อขยายขีดความสามารถ SeroXen RAT ใช้รูทคิท r77 (Ring 3) รูทคิทแบบโอเพ่นซอร์สนี้มีฟังก์ชันการทำงาน เช่น การคงอยู่ของไฟล์โดยไม่ใช้ไฟล์ การเชื่อมกระบวนการลูก การฝังมัลแวร์ การแทรกกระบวนการในหน่วยความจำ และการหลบเลี่ยงการตรวจจับมัลแวร์ SeroXen ยังรวมยูทิลิตี้ NirCmd ไว้ด้วย NirCmd เป็นเครื่องมือฟรีแวร์ที่ช่วยให้งานการจัดการอย่างง่ายสำหรับระบบ Windows และอุปกรณ์ต่อพ่วงผ่านการดำเนินการผ่านบรรทัดคำสั่ง
การวิเคราะห์การโจมตีของ SeroXen RAT
มีการใช้เวกเตอร์โจมตีที่หลากหลายเพื่อเผยแพร่ SeroXen รวมถึงอีเมลฟิชชิ่งและช่อง Discord ที่อาชญากรไซเบอร์ใช้ นักแสดงเหล่านี้แจกจ่ายไฟล์เก็บถาวร ZIP ที่มีไฟล์แบทช์ที่ยุ่งเหยิงอย่างมาก
เมื่อแตกไฟล์แบตช์จะถอดรหัสข้อความที่เข้ารหัส base64 เพื่อแยกไบนารีสองอัน ไบนารีเหล่านี้จะถูกโหลดลงในหน่วยความจำโดยใช้การสะท้อนกลับของ .NET msconfig.exe เวอร์ชันแก้ไขซึ่งจำเป็นสำหรับการดำเนินการมัลแวร์เป็นไฟล์เดียวที่โต้ตอบกับดิสก์ มันถูกเก็บไว้ชั่วคราวในไดเร็กทอรี 'C:\Windows \System32V (สังเกตพื้นที่เพิ่มเติม) ซึ่งมีอายุสั้นและถูกลบหลังจากขั้นตอนการติดตั้งโปรแกรม
ไฟล์แบตช์ทำหน้าที่เป็นพาหนะในการปรับใช้เพย์โหลด 'InstallStager.exe' ซึ่งเป็นตัวแปรของรูทคิท r77 เพื่อรักษาการซ่อนเร้นและคงอยู่ถาวร รูทคิทจะถูกทำให้ยุ่งเหยิงและจัดเก็บไว้ในรีจิสทรีของ Windows ต่อจากนั้น จะเปิดใช้งานโดยใช้ PowerShell ผ่าน Task Scheduler โดยแทรกตัวเองเข้าไปในกระบวนการ "winlogon.exe"
ด้วยการฉีดนี้ รูทคิต r77 จะแนะนำ SeroXen RAT ในหน่วยความจำของระบบ เพื่อให้มั่นใจว่ามีการแอบแฝงและเปิดใช้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ถูกบุกรุก เมื่อมัลแวร์เข้าถึงระยะไกลเปิดตัว มันจะสร้างการสื่อสารกับเซิร์ฟเวอร์ Command and Control โดยรอคำสั่งจากผู้โจมตี
การวิเคราะห์พบว่า SeroXen ใช้ใบรับรอง TLS แบบเดียวกับ Quasar RAT และสืบทอดความสามารถส่วนใหญ่มาจากโครงการดั้งเดิม ความสามารถเหล่านี้ครอบคลุมการรองรับสตรีมเครือข่าย TCP การทำให้เป็นอันดับเครือข่ายที่มีประสิทธิภาพ และการบีบอัด QuickLZ
นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนว่าความนิยมที่เพิ่มขึ้นของ SeroXen อาจนำไปสู่การเปลี่ยนโฟกัสจากการกำหนดเป้าหมายไปยังเกมเมอร์เป็นการกำหนดเป้าหมายไปยังองค์กรขนาดใหญ่ เพื่อช่วยเหลือผู้ปกป้องเครือข่ายในการต่อสู้กับภัยคุกคามนี้ องค์กรต่างๆ ควรใช้ความระมัดระวังต่อภัยคุกคาม มีทรัพยากรที่มีค่าสำหรับการระบุและบรรเทาการมีอยู่ของ SeroXen ภายในเครือข่าย ทำให้ผู้ป้องกันสามารถเพิ่มมาตรการรักษาความปลอดภัยทางไซเบอร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้
