マイクロソフトは、検出を回避し、持続性を維持し、機密データを抽出する「洗練されたテクニック」を採用した新しいリモート・アクセス・トロイの木馬(RAT)を発見した。
このマルウェア(StilachiRATと命名)はまだ広く配布されてはいないが、マイクロソフトは、ネットワーク防御者がこの脅威を検知し、その影響を軽減できるよう、侵害の指標と緩和策を公開することにしたという。
StilachiRATが野放しになっている事例が限られているため、マイクロソフトは、このマルウェアを特定の脅威行為者に帰属させたり、特定の地域と関連付けたりすることはまだ行っていません。
「2024年11月、Microsoft Incident Responseの研究者は、検出を回避し、標的環境にとどまり、機密データを流出させる洗練されたテクニックを示す、StilachiRATと名付けた新しいリモートアクセストロージャン(RAT)を発見しました。
「RATの機能を含むStilachiRATのWWStartupCtrl64.dllモジュールを分析した結果、ブラウザに保存された認証情報、デジタルウォレット情報、クリップボードに保存されたデータ、システム情報など、ターゲットシステムから情報を盗むためにさまざまな方法を使用していることが明らかになりました。
この新しい RAT の機能の中で、Redmond 社は、ハードウェア識別子、カメラの存在、アクティブなリモート・デスクトップ・プロトコル(RDP)セッションを含むシステム・データの収集、標的システムのプロファイリングを行う GUI ベースのアプリケーションの実行などの偵察機能を強調しています。
侵害されたシステムに展開された後、攻撃者は StilachiRAT を使用して、Coinbase Wallet、Phantom、Trust Wallet、Metamask、OKX Wallet、Bitget Wallet などを含む 20 の暗号通貨ウォレット拡張機能の設定情報をスキャンすることで、デジタルウォレットデータを吸い上げることができます。
このマルウェアはまた、Windows APIの助けを借りてGoogle Chromeのローカルステートファイルに保存された認証情報を抽出し、アクティブなウィンドウやアプリケーションを追跡しながら、パスワードや暗号通貨キーのような機密情報のためにクリップボードのアクティビティを監視します。
スタンドアロン・プロセスまたはWindowsサービスとして起動されると、RATはWindowsサービス・コントロール・マネージャー(SCM)を介して永続性を獲得・維持し、マルウェアのバイナリを監視し、アクティブでなくなった場合はそれらを再作成するウォッチドッグ・スレッドを使用して、自動的に再インストールされるようにします。
StilachiRATはまた、フォアグラウンド・ウィンドウから情報を取得し、セキュリティ・トークンを複製してログインしているユーザーになりすますことで、アクティブなRDPセッションを監視することができます。
「このマルウェアは現在のセッションを取得し、フォアグラウンド・ウィンドウをアクティブに起動するだけでなく、他のすべてのRDPセッションを列挙します。「特定された各セッションに対して、Windowsエクスプローラのシェルにアクセスし、その権限またはセキュリティトークンを複製します。その後、マルウェアは新しく取得した権限でアプリケーションを起動する機能を得る。
RATの機能には、イベントログを消去する機能や、マルウェア解析の試みをブロックするためにサンドボックス内で実行されている兆候をチェックする機能など、広範な検出回避やアンチフォレンジック機能も含まれている。たとえ騙されてサンドボックス内で実行されていたとしても、StilachiRATのWindows APIコールは「実行時に動的に解決されるチェックサム」としてエンコードされ、さらに難読化されて分析を遅らせる。
最後になりましたが、マイクロソフト社によると、StilachiRATはコマンド・アンド・コントロール(C2)サーバーから感染デバイスへのコマンドを使用して、コマンドの実行と潜在的なSOCKSライクなプロキシを可能にし、脅威行為者に侵害されたシステムの再起動、ログの消去、認証情報の窃取、アプリケーションの実行、システムウィンドウの操作をさせることができます。
その他のコマンドは、「システムをサスペンドさせ、Windowsのレジストリ値を変更し、開いているウィンドウを列挙する」ように設計されています。
このマルウェアが標的のシステムを侵害するために利用できる攻撃対象を減らすために、マイクロソフトは、ソフトウェアを公式ウェブサイトからのみダウンロードし、悪意のあるドメインや電子メールの添付ファイルをブロックできるセキュリティ・ソフトウェアを使用するようアドバイスしている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments