пятница, 21 марта 2025 г.

"Почему StilachiRAT так опасен: кража данных и расширение атак на другие системы"

 


Хотя новый троян удаленного доступа (RAT) для Windows, получивший название StilachiRAT, пока еще не получил широкого распространения, он представляет собой серьезную угрозу.


«[Вредоносная программа] демонстрирует сложные методы, позволяющие ей избегать обнаружения, сохраняться в целевой среде и извлекать конфиденциальные данные», — предупредили в понедельник аналитики угроз Microsoft.

StilachiRAT

Возможности StilachiRAT включают в себя:

  • Сбор информации, которая помогает составить представление о целевой системе: информация об ОС/системе, идентификаторы оборудования, серийный номер BIOS, наличие камеры, активные сеансы протокола удаленного рабочего стола (RDP), записи об установке программного обеспечения и активные приложения с графическим интерфейсом пользователя.
  • Кража информации/учетных данных: StilachiRAT может захватывать учетные данные, хранящиеся в браузере Chrome, читать буфер обмена системы и извлекать из него данные (пароли, ключи криптовалюты и потенциально личные идентификаторы), а также нацеливаться на данные конфигурации 20 расширений криптовалютного кошелька для браузера Google Chrome (включая Coinbase Wallet, MetaMask и TronLink).
  • Мониторинг RDP: «StilachiRAT отслеживает сеансы RDP, захватывая информацию о переднем плане окна и дублируя токены безопасности, чтобы выдавать себя за пользователей. Это особенно рискованно на серверах RDP, на которых размещаются административные сеансы, поскольку это может привести к боковому перемещению внутри сетей», — говорят аналитики угроз
  • Запуск команд, полученных с сервера управления и контроля (C2): вредоносная программа может перезагружать/приостанавливать работу системы, очищать журналы, запускать приложения и проверять, какие из них открыты, изменять значения реестра Windows, манипулировать системными окнами, устанавливать новые исходящие соединения и удалять себя.

StilachiRAT обращается к серверу C2 через два настроенных адреса, но только через два часа после установки и только если TCPView не запущен. (TCPView — это инструмент мониторинга сети, который может помочь обнаружить неожиданные исходящие соединения и может указать на систему, принадлежащую исследователю или аналитику.)

Дополнительные антикриминалистические меры, применяемые вредоносным ПО, включают: очистку журналов безопасности, проверку инструментов анализа и наличия песочницы, обфускацию вызовов Windows API (для затруднения ручного анализа). Наконец, вредоносное ПО также имеет способы обеспечения своей устойчивости на целевых компьютерах.



Смягчение и обнаружение

«Microsoft пока не приписала StilachiRAT конкретному субъекту угрозы или геолокации. Исходя из текущей видимости Microsoft, вредоносная программа в настоящее время не демонстрирует широкого распространения», — пояснили аналитики.

Они также не знают, как вредоносное ПО распространяется среди целей, поэтому здесь применимы общие рекомендации о том, как избежать загрузки и запуска вредоносного ПО.

Компания Microsoft поделилась индикаторами компрометации и охотничьих запросов, которые могут помочь охотникам за угрозами проверить доказательства присутствия вредоносного ПО: подозрительные исходящие сетевые соединения, признаки стойкости, противокриминалистическое поведение.



ДОПОЛНИТЕЛЬНАЯ ИНТЕРЕСНАЯ ИНФОРМАЦИЯ:








Комментариев нет:

Отправить комментарий