Хотя новый троян
удаленного доступа (RAT) для Windows, получивший название StilachiRAT, пока еще
не получил широкого распространения, он представляет собой серьезную угрозу.
«[Вредоносная
программа] демонстрирует сложные методы, позволяющие ей избегать обнаружения,
сохраняться в целевой среде и извлекать конфиденциальные данные», —
предупредили в понедельник аналитики угроз Microsoft.
StilachiRAT
Возможности
StilachiRAT включают в себя:
- Сбор
информации, которая помогает составить представление о целевой системе: информация об ОС/системе,
идентификаторы оборудования, серийный номер BIOS, наличие камеры, активные
сеансы протокола удаленного рабочего стола (RDP), записи об установке
программного обеспечения и активные приложения с графическим интерфейсом
пользователя.
- Кража
информации/учетных данных: StilachiRAT может захватывать учетные
данные, хранящиеся в браузере Chrome, читать буфер обмена системы и
извлекать из него данные (пароли, ключи криптовалюты и потенциально личные
идентификаторы), а также нацеливаться на данные конфигурации 20 расширений
криптовалютного кошелька для браузера Google Chrome (включая Coinbase
Wallet, MetaMask и TronLink).
- Мониторинг
RDP: «StilachiRAT
отслеживает сеансы RDP, захватывая информацию о переднем плане окна и
дублируя токены безопасности, чтобы выдавать себя за пользователей. Это
особенно рискованно на серверах RDP, на которых размещаются
административные сеансы, поскольку это может привести к боковому
перемещению внутри сетей», — говорят аналитики угроз
- Запуск
команд, полученных с сервера управления и контроля (C2): вредоносная программа
может перезагружать/приостанавливать работу системы, очищать журналы,
запускать приложения и проверять, какие из них открыты, изменять значения
реестра Windows, манипулировать системными окнами, устанавливать новые
исходящие соединения и удалять себя.
StilachiRAT обращается
к серверу C2 через два настроенных адреса, но только через два часа после
установки и только если TCPView не запущен. (TCPView — это инструмент
мониторинга сети, который может помочь обнаружить неожиданные исходящие
соединения и может указать на систему, принадлежащую исследователю или
аналитику.)
Дополнительные
антикриминалистические меры, применяемые вредоносным ПО, включают: очистку
журналов безопасности, проверку инструментов анализа и наличия песочницы,
обфускацию вызовов Windows API (для затруднения ручного анализа). Наконец,
вредоносное ПО также имеет способы обеспечения своей устойчивости на целевых
компьютерах.
Смягчение и обнаружение
«Microsoft пока не
приписала StilachiRAT конкретному субъекту угрозы или геолокации. Исходя из
текущей видимости Microsoft, вредоносная программа в настоящее время не
демонстрирует широкого распространения», — пояснили аналитики.
Они также не знают,
как вредоносное ПО распространяется среди целей, поэтому здесь применимы общие
рекомендации о том, как избежать загрузки и запуска вредоносного ПО.
Компания
Microsoft поделилась индикаторами
компрометации и охотничьих запросов, которые могут помочь охотникам за угрозами
проверить доказательства присутствия вредоносного ПО: подозрительные исходящие
сетевые соединения, признаки стойкости, противокриминалистическое поведение.
Комментариев нет:
Отправить комментарий