微軟近日發(fā)出警告，提醒用戶注意一種名為StilachiRAT的新型遠(yuǎn)程訪問(wèn)木馬（RAT）。微軟指出，該木馬采用了高級(jí)技術(shù)來(lái)規(guī)避檢測(cè)，并在目標(biāo)環(huán)境中長(zhǎng)期潛伏，其主要目的是竊取敏感數(shù)據(jù)。

微軟事件響應(yīng)團(tuán)隊(duì)在一份分析報(bào)告中表示，該惡意軟件具備從目標(biāo)系統(tǒng)中竊取信息的能力，包括瀏覽器中存儲(chǔ)的憑證、數(shù)字錢包信息、剪貼板中的數(shù)據(jù)以及系統(tǒng)信息。

微軟稱，StilachiRAT于2024年11月被發(fā)現(xiàn)，其RAT功能存在于名為“WWStartupCtrl64.dll”的DLL模塊中。目前尚不清楚該木馬的傳播方式，但微軟指出，此類木馬可以通過(guò)多種初始訪問(wèn)途徑安裝，因此組織采取足夠的安全措施至關(guān)重要。

StilachiRAT的竊密機(jī)制

StilachiRAT設(shè)計(jì)用于收集廣泛的系統(tǒng)信息，包括操作系統(tǒng)（OS）詳情、BIOS序列號(hào)等硬件標(biāo)識(shí)符、攝像頭狀態(tài)、活動(dòng)遠(yuǎn)程桌面協(xié)議（RDP）會(huì)話以及運(yùn)行的圖形用戶界面（GUI）應(yīng)用程序。這些信息通過(guò)基于組件的對(duì)象模型（COM）和企業(yè)級(jí)基于Web的管理（WBEM）接口，使用WMI查詢語(yǔ)言（WQL）進(jìn)行收集。

此外，StilachiRAT還針對(duì)Google Chrome瀏覽器中安裝的一系列加密貨幣錢包擴(kuò)展程序進(jìn)行攻擊。其目標(biāo)列表包括Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal以及Plug。

StilachiRAT還會(huì)提取Chrome瀏覽器中存儲(chǔ)的憑證，定期收集剪貼板內(nèi)容（如密碼和加密貨幣錢包），通過(guò)捕獲前臺(tái)窗口信息來(lái)監(jiān)控RDP會(huì)話，并與遠(yuǎn)程服務(wù)器建立聯(lián)系以竊取收集到的數(shù)據(jù)。

命令與控制（C2）功能

StilachiRAT的命令與控制（C2）服務(wù)器通信是雙向的，允許惡意軟件執(zhí)行其發(fā)送的指令。這些功能表明，StilachiRAT既可用于間諜活動(dòng)，也可用于系統(tǒng)操控。它支持多達(dá)10種不同的命令，包括：

• 07 – 顯示一個(gè)對(duì)話框，并渲染來(lái)自指定URL的HTML內(nèi)容
• 08 - 清除事件日志條目
• 09 - 使用未公開的Windows API（"ntdll.dll!NtShutdownSystem"）啟用系統(tǒng)關(guān)機(jī)
• 13 - 從C2服務(wù)器接收網(wǎng)絡(luò)地址并建立新的出站連接
• 14 - 在指定的TCP端口上接受入站網(wǎng)絡(luò)連接
• 15 - 終止已打開的網(wǎng)絡(luò)連接
• 16 - 啟動(dòng)指定應(yīng)用程序
• 19 - 枚舉當(dāng)前桌面上所有打開的窗口，以搜索指定的標(biāo)題欄文本
• 26 - 將系統(tǒng)置于掛起（睡眠）狀態(tài)或休眠狀態(tài)
• 30 - 竊取Google Chrome密碼

微軟表示：“StilachiRAT通過(guò)清除事件日志并檢查某些系統(tǒng)條件來(lái)規(guī)避檢測(cè)，顯示出反取證行為。這包括循環(huán)檢查分析工具和沙盒計(jì)時(shí)器，以防止其在常用于惡意軟件分析的虛擬機(jī)環(huán)境中完全激活?！?/p>

其他惡意軟件樣本的發(fā)現(xiàn)

此次披露恰逢P(guān)alo Alto Networks Unit 42團(tuán)隊(duì)詳細(xì)介紹了去年檢測(cè)到的三種異常惡意軟件樣本，包括：

• 一種用C++/CLI開發(fā)的被動(dòng)互聯(lián)網(wǎng)信息服務(wù)（IIS）后門，具備解析特定HTTP請(qǐng)求并執(zhí)行其中命令的能力，可以運(yùn)行命令、獲取系統(tǒng)元數(shù)據(jù)、創(chuàng)建新進(jìn)程、執(zhí)行PowerShell代碼以及將shellcode注入正在運(yùn)行或新的進(jìn)程。
• 一種使用未經(jīng)驗(yàn)證的內(nèi)核驅(qū)動(dòng)程序安裝GRUB 2引導(dǎo)加載程序的Bootkit。該Bootkit被認(rèn)為是由密西西比大學(xué)的未知方創(chuàng)建的概念驗(yàn)證（PoC）。當(dāng)系統(tǒng)重啟時(shí)，GRUB 2引導(dǎo)加載程序會(huì)顯示一張圖片，并通過(guò)PC揚(yáng)聲器定期播放《Dixie》，這種行為表明該惡意軟件可能是一種惡作劇。
• 一種用C++開發(fā)的跨平臺(tái)后利用框架的Windows植入程序。

這些發(fā)現(xiàn)進(jìn)一步凸顯了網(wǎng)絡(luò)安全威脅的多樣性和復(fù)雜性，提醒安全研究人員和組織保持警惕，及時(shí)更新安全防護(hù)措施。