SeroXen RAT
サイバー犯罪コミュニティは、その強力な機能と検出を回避する能力により、「SeroXen」という名前のステルス リモート アクセス トロイの木馬 (RAT) を採用することが増えています。
AT&T の報告によると、このマルウェアは、Windows 11 および 10 用の正規のリモート アクセス ツールであるかのように偽って販売されています。月額 15 ドルのサブスクリプション料金または 60 ドルの 1 回限りの「生涯」ライセンスの支払いで提供されます。 SeroXen は正規のツールとして紹介されているにもかかわらず、ハッキング フォーラムでは実際にはリモート アクセス トロイの木馬として宣伝されています。これらのプロモーションの背後にある個人の身元は、実際の開発者であるか、悪徳再販者であるかは不明のままです。
目次
SeroXen RAT はサイバー犯罪者の間で注目を集めています
SeroXen リモート アクセス プログラムは手頃な価格なので、幅広い脅威アクターがアクセスできるようになりました。 AT&T は、2022 年 9 月に SeroXen が出現して以来、多数の SeroXen サンプルを特定しており、最近それを巡る活動が激化しています。
SeroXen の主なターゲットはゲーム コミュニティ内の個人でしたが、このツールの人気が拡大するにつれて、著名な企業や組織などのより大きな組織もターゲットにされる可能性があるという懸念が高まっています。
サイバー犯罪者の間で SeroXen の人気が高まっているのは、その低い検出率と強力な機能に起因していると考えられます。正規のリモート アクセス ツールを装うその欺瞞的な装いは、脅威アクターにとって魅力的な選択肢となっています。このリモート アクセス トロイの木馬に関連するリスクを軽減するには、個人と組織が常に警戒し、堅牢なセキュリティ対策を実装することが不可欠です。
SeroXen RAT はさまざまなオープンソース プロジェクトから開発されています
SeroXen は、 Quasar RAT 、r77 ルートキット、NirCmd コマンド ライン ツールなど、いくつかのオープンソース プロジェクトを利用しています。 SeroXen 開発者は、これらの無料で利用できるリソースを巧みに組み合わせて、静的分析と動的分析の両方で検出するのが難しい RAT を作成しました。
Quasar RAT は、2014 年の最初のリリース以来 10 年近く存在しており、SeroXen RAT の基盤として機能します。最新バージョン 1.41 では、リバース プロキシ、リモート シェル、リモート デスクトップ、TLS 通信、ファイル管理システムなどの機能を組み込んだ軽量のリモート管理ツールが提供されます。 GitHub 上でオープンにアクセスできます。
機能を拡張するために、SeroXen RAT は r77 (リング 3) ルートキットを採用しています。このオープンソース ルートキットは、ファイルレス永続化、子プロセスのフック、マルウェアの埋め込み、メモリ内プロセス インジェクション、マルウェア対策検出の回避などの機能を提供します。 SeroXen には NirCmd ユーティリティも統合されています。 NirCmd は、コマンド ライン実行を通じて Windows システムと周辺機器の単純な管理タスクを容易にするフリーウェア ツールです。
SeroXen RAT の攻撃の分析
SeroXen の配布には、フィッシングメールやサイバー犯罪者が利用する Discord チャネルなど、さまざまな攻撃ベクトルが使用されています。これらの攻撃者は、高度に難読化されたバッチ ファイルを含む ZIP アーカイブを配布します。
抽出時に、バッチ ファイルは Base64 でエンコードされたテキストをデコードして 2 つのバイナリを抽出します。これらのバイナリは、.NET リフレクションを使用してメモリにロードされます。マルウェアの実行に必要な msconfig.exe の修正バージョンは、ディスクと対話する唯一のファイルです。これは一時的に「C:\Windows \System32V ディレクトリ (余分なスペースに注意してください)」に保存されますが、有効期間は短く、プログラムのインストール プロセス後に削除されます。
このバッチ ファイルは、r77 ルートキットのバリアントである「InstallStager.exe」ペイロードを展開する手段として機能します。ステルス性と永続性を維持するために、ルートキットは難読化され、Windows レジストリに保存されます。その後、PowerShell を使用してタスク スケジューラを介してアクティブ化され、自身を「winlogon.exe」プロセスに挿入します。
この注入を通じて、r77 ルートキットは SeroXen RAT をシステムのメモリに導入し、その秘密の存在を確保し、侵害されたデバイスへのリモート アクセスを可能にします。リモート アクセス マルウェアが起動されると、コマンド アンド コントロール サーバーとの通信を確立し、攻撃者からのコマンドを待ちます。
分析の結果、SeroXen は Quasar RAT と同じ TLS 証明書を採用しており、元のプロジェクトからほとんどの機能を継承していることが判明しました。これらの機能には、TCP ネットワーク ストリーム、効率的なネットワーク シリアル化、および QuickLZ 圧縮のサポートが含まれます。
サイバーセキュリティ研究者らは、SeroXen の人気の高まりにより、ターゲットがゲーマーから大規模組織へと焦点が移る可能性があると警告しています。ネットワーク防御者がこの脅威に対抗できるよう支援するには、組織は脅威に対する予防措置を講じる必要があります。ネットワーク内の SeroXen の存在を特定して軽減するための貴重なリソースがあり、防御側がサイバーセキュリティ対策を強化し、潜在的な攻撃から保護できるようになります。
