微软近日发出警告,提醒用户注意一种名为StilachiRAT的新型远程访问木马(RAT)。微软指出,该木马采用了高级技术来规避检测,并在目标环境中长期潜伏,其主要目的是窃取敏感数据。
微软事件响应团队在一份分析报告中表示,该恶意软件具备从目标系统中窃取信息的能力,包括浏览器中存储的凭证、数字钱包信息、剪贴板中的数据以及系统信息。
微软称,StilachiRAT于2024年11月被发现,其RAT功能存在于名为“WWStartupCtrl64.dll”的DLL模块中。目前尚不清楚该木马的传播方式,但微软指出,此类木马可以通过多种初始访问途径安装,因此组织采取足够的安全措施至关重要。
StilachiRAT的窃密机制
StilachiRAT设计用于收集广泛的系统信息,包括操作系统(OS)详情、BIOS序列号等硬件标识符、摄像头状态、活动远程桌面协议(RDP)会话以及运行的图形用户界面(GUI)应用程序。这些信息通过基于组件的对象模型(COM)和企业级基于Web的管理(WBEM)接口,使用WMI查询语言(WQL)进行收集。
此外,StilachiRAT还针对Google Chrome浏览器中安装的一系列加密货币钱包扩展程序进行攻击。其目标列表包括Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal以及Plug。
StilachiRAT还会提取Chrome浏览器中存储的凭证,定期收集剪贴板内容(如密码和加密货币钱包),通过捕获前台窗口信息来监控RDP会话,并与远程服务器建立联系以窃取收集到的数据。
命令与控制(C2)功能
StilachiRAT的命令与控制(C2)服务器通信是双向的,允许恶意软件执行其发送的指令。这些功能表明,StilachiRAT既可用于间谍活动,也可用于系统操控。它支持多达10种不同的命令,包括:
- 07 – 显示一个对话框,并渲染来自指定URL的HTML内容
- 08 - 清除事件日志条目
- 09 - 使用未公开的Windows API("ntdll.dll!NtShutdownSystem")启用系统关机
- 13 - 从C2服务器接收网络地址并建立新的出站连接
- 14 - 在指定的TCP端口上接受入站网络连接
- 15 - 终止已打开的网络连接
- 16 - 启动指定应用程序
- 19 - 枚举当前桌面上所有打开的窗口,以搜索指定的标题栏文本
- 26 - 将系统置于挂起(睡眠)状态或休眠状态
- 30 - 窃取Google Chrome密码
微软表示:“StilachiRAT通过清除事件日志并检查某些系统条件来规避检测,显示出反取证行为。这包括循环检查分析工具和沙盒计时器,以防止其在常用于恶意软件分析的虚拟机环境中完全激活。”
其他恶意软件样本的发现
此次披露恰逢Palo Alto Networks Unit 42团队详细介绍了去年检测到的三种异常恶意软件样本,包括:
- 一种用C++/CLI开发的被动互联网信息服务(IIS)后门,具备解析特定HTTP请求并执行其中命令的能力,可以运行命令、获取系统元数据、创建新进程、执行PowerShell代码以及将shellcode注入正在运行或新的进程。
- 一种使用未经验证的内核驱动程序安装GRUB 2引导加载程序的Bootkit。该Bootkit被认为是由密西西比大学的未知方创建的概念验证(PoC)。当系统重启时,GRUB 2引导加载程序会显示一张图片,并通过PC扬声器定期播放《Dixie》,这种行为表明该恶意软件可能是一种恶作剧。
- 一种用C++开发的跨平台后利用框架的Windows植入程序。
这些发现进一步凸显了网络安全威胁的多样性和复杂性,提醒安全研究人员和组织保持警惕,及时更新安全防护措施。
