最近,微软发布了一个重要警告,针对一种名为 StilachiRAT 的新型远程访问木马(RAT)。这种木马利用先进的技术手段来规避检测,并在目标环境中保持持久性,最终目的是窃取 敏感数据。根据微软的网络安全事件响应团队的分析,StilachiRAT 具有多种功能,例如“从目标系统中窃取信息,包括浏览器中存储的凭证、数字钱包信息、剪贴板数据以及系统信息”。
微软在 2024 年 11 月发现了 StilachiRAT,它的 RAT 功能存在于一个名为“WWStartupCtrl64.dll”的动态链接库模块中。令人担忧的是,该恶意软件尚未归属任何特定的威胁行为者或国家,这使得它的来源更加神秘并给网络防御带来了挑战。
目前尚不清楚这种木马是如何传播到目标系统上的,但微软指出,这种木马通常可以通过多种初始访问途径进行安装,因此组织必须实施适当的 安全措施。为了使攻击者更加隐蔽,StilachiRAT 设计了丰富的系统信息收集功能,包括操作系统的详细信息,硬件标识符(如 BIOS 序列号)、摄像头的存在,以及 开放的远程桌面协议(RDP)会话和正在运行的图形用户界面应用程序。这些信息通过组件对象模型(COM)和基于 Web 的企业管理(WBEM)接口使用 WMI 查询语言(WQL)进行采集。
除了收集广泛的系统信息,StilachiRAT 还针对安装在 Google Chrome 浏览器中的一系列加密钱包扩展进行攻击。这些扩展包括 Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal 和 Plug。
StilachiRAT 还能够提取存储在 Chrome 浏览器中的凭证,定期收集剪贴板内容(例如密码和加密钱包),并监控 RDP 会话,通过捕获前台窗口信息来实现其监视目的。同时,它与远程服务器建立联系,将收集到的数据外泄。由于其指挥与控制(C2)服务器之间的通信是双向的,StilachiRAT 可以接受来自 C2 服务器的指令,完成包括删除打开的网络连接、启动指定应用程序等多达 10 条不同命令的操作。
值得注意的是,StilachiRAT 显示出反取证行为,包括清除事件日志和检查特定系统条件以避免被检测。微软表示,这些策略包括循环检查分析工具和防沙箱计时器,以防止它在常用于恶意软件分析的虚拟环境中完全激活。
这一披露与 Palo Alto Networks 的 Unit 42 近日详细介绍的三种异常恶意软件样本相关,其中包括由 C++/CLI 开发的被动互联网信息服务(IIS)后门,一个使用不安全内核驱动程序安装 GRUB 2 引导加载程序的引导启动程序,以及由称为 ProjectGeass 的跨平台后期利用框架开发的 Windows 植入。
Unit 42 研究员 Dominik Reichel 还指出,恶意软件是一个 64 位 DLL,它通过名为 ampa.sys 的合法签名内核驱动程序安装 GRUB 2 引导加载程序磁盘映像。有趣的是,重启后,该 GRUB 2 引导加载程序会在计算机扬声器中播放《Dixie》这首曲调,这种行为可能表明恶意软件是一次攻击性恶作剧。
为了限制此类恶意软件的传播,微软建议用户仅从官方渠道下载软件,并实施能够阻止恶意电子邮件附件和域名的 安全措施。随着数字化世界的日益复杂,这种最新的远程访问木马 StilachiRAT 的崛起提醒我们,网络安全仍然是我们亟需重视的重点,企业和个人应该加强对安全威胁的认识,以保证信息安全。
在这个充满挑战的网络环境中,继续关注网络安全趋势、动态信息和有效防护措施将是每个用户、企业和组织应尽的责任。随着高级持续威胁(APT)和其他网络攻击模式的不断演变,我们需要时刻保持警惕,确保我们的数据不被泄露,系统不受攻击。
