微軟近日發(fā)出警告，提醒用戶注意一種名為StilachiRAT的新型遠程訪問木馬（RAT）。微軟指出，該木馬采用了高級技術(shù)來規(guī)避檢測，并在目標環(huán)境中長期潛伏，其主要目的是竊取敏感數(shù)據(jù)。

微軟事件響應(yīng)團隊在一份分析報告中表示，該惡意軟件具備從目標系統(tǒng)中竊取信息的能力，包括瀏覽器中存儲的憑證、數(shù)字錢包信息、剪貼板中的數(shù)據(jù)以及系統(tǒng)信息。

微軟稱，StilachiRAT于2024年11月被發(fā)現(xiàn)，其RAT功能存在于名為“WWStartupCtrl64.dll”的DLL模塊中。目前尚不清楚該木馬的傳播方式，但微軟指出，此類木馬可以通過多種初始訪問途徑安裝，因此組織采取足夠的安全措施至關(guān)重要。

StilachiRAT的竊密機制

StilachiRAT設(shè)計用于收集廣泛的系統(tǒng)信息，包括操作系統(tǒng)（OS）詳情、BIOS序列號等硬件標識符、攝像頭狀態(tài)、活動遠程桌面協(xié)議（RDP）會話以及運行的圖形用戶界面（GUI）應(yīng)用程序。這些信息通過基于組件的對象模型（COM）和企業(yè)級基于Web的管理（WBEM）接口，使用WMI查詢語言（WQL）進行收集。

此外，StilachiRAT還針對Google Chrome瀏覽器中安裝的一系列加密貨幣錢包擴展程序進行攻擊。其目標列表包括Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal以及Plug。

StilachiRAT還會提取Chrome瀏覽器中存儲的憑證，定期收集剪貼板內(nèi)容（如密碼和加密貨幣錢包），通過捕獲前臺窗口信息來監(jiān)控RDP會話，并與遠程服務(wù)器建立聯(lián)系以竊取收集到的數(shù)據(jù)。

命令與控制（C2）功能

StilachiRAT的命令與控制（C2）服務(wù)器通信是雙向的，允許惡意軟件執(zhí)行其發(fā)送的指令。這些功能表明，StilachiRAT既可用于間諜活動，也可用于系統(tǒng)操控。它支持多達10種不同的命令，包括：

• 07 – 顯示一個對話框，并渲染來自指定URL的HTML內(nèi)容
• 08 - 清除事件日志條目
• 09 - 使用未公開的Windows API（"ntdll.dll!NtShutdownSystem"）啟用系統(tǒng)關(guān)機
• 13 - 從C2服務(wù)器接收網(wǎng)絡(luò)地址并建立新的出站連接
• 14 - 在指定的TCP端口上接受入站網(wǎng)絡(luò)連接
• 15 - 終止已打開的網(wǎng)絡(luò)連接
• 16 - 啟動指定應(yīng)用程序
• 19 - 枚舉當(dāng)前桌面上所有打開的窗口，以搜索指定的標題欄文本
• 26 - 將系統(tǒng)置于掛起（睡眠）狀態(tài)或休眠狀態(tài)
• 30 - 竊取Google Chrome密碼

微軟表示：“StilachiRAT通過清除事件日志并檢查某些系統(tǒng)條件來規(guī)避檢測，顯示出反取證行為。這包括循環(huán)檢查分析工具和沙盒計時器，以防止其在常用于惡意軟件分析的虛擬機環(huán)境中完全激活?！?/p>

其他惡意軟件樣本的發(fā)現(xiàn)

此次披露恰逢P(guān)alo Alto Networks Unit 42團隊詳細介紹了去年檢測到的三種異常惡意軟件樣本，包括：

• 一種用C++/CLI開發(fā)的被動互聯(lián)網(wǎng)信息服務(wù)（IIS）后門，具備解析特定HTTP請求并執(zhí)行其中命令的能力，可以運行命令、獲取系統(tǒng)元數(shù)據(jù)、創(chuàng)建新進程、執(zhí)行PowerShell代碼以及將shellcode注入正在運行或新的進程。
• 一種使用未經(jīng)驗證的內(nèi)核驅(qū)動程序安裝GRUB 2引導(dǎo)加載程序的Bootkit。該Bootkit被認為是由密西西比大學(xué)的未知方創(chuàng)建的概念驗證（PoC）。當(dāng)系統(tǒng)重啟時，GRUB 2引導(dǎo)加載程序會顯示一張圖片，并通過PC揚聲器定期播放《Dixie》，這種行為表明該惡意軟件可能是一種惡作劇。
• 一種用C++開發(fā)的跨平臺后利用框架的Windows植入程序。

這些發(fā)現(xiàn)進一步凸顯了網(wǎng)絡(luò)安全威脅的多樣性和復(fù)雜性，提醒安全研究人員和組織保持警惕，及時更新安全防護措施。