StilachiRATは、リモートアクセス型トロイです。
分業化やモジュール化が進む方向にあるマルウェアの領域ですが、このStilachiRATは広い範囲の機能を詰め合わせにしたものとなっています。
まだまだこれから実装が進んでいくように思われますが、現在の内容を見てみましょう。
- 偵察機能
マルウェア感染後の最初のほうの活動の一つとして重要となる感染環境の詳細調査のための機能を持っています。
オペレーティングシステムの詳細、ハードウェア識別子、カメラの存在、アクティブなリモートデスクトッププロトコル(RDP)セッション、実行中のグラフィカルユーザーインターフェイス(GUI)アプリケーションなどの包括的なシステム情報を収集し、対象システムの詳細なプロファイリングを可能にします。
簡易的にVM環境ではないように装うくらいでは、このマルウェアをだまして解析することはできないのかもしれません。 - 多数のデジタルウォレット情報の取得機能
Google Chromeに実装されているデジタルウォレットを盗み出す機能です。
ethereum、Coinbaseをはじめとし、実に20種類ものデジタルウォレットのデータがターゲットとして実装されています。 - 複数の動作モード
感染対象はWindowsなのですが、サービスとして動作する機能が実装されているだけでなく、スタンドアローンで動作することもできるように実装されています。
サービス動作している場合の例で言うと、自身が有効でなくなったかどうかを監視するスレッドを持っていて、有効でなくなったら自動的に自身をサービスとして再構成するような永続化機能を持っています。 - アクティブなRDPセッションの取得機能
RDPを能動的に利用して横展開するマルウェアは多く確認されています。
しかし、このマルウェアはより進んだ実装となっています。
マルウェアはRDPのセッションを監視し存在するRDPセッションを列挙します。
列挙されたセッションの権限またはセキュリティトークンを複製し、その権限を使って別のアプリケーションを起動することに悪用します。
これにより、横展開の実現性が上がってしまいます。 - 複数の検出回避機能
イベントログの消去機能、サンドボックス検出機能、WindowsAPI呼び出しの難読化による解析回避機能、などの検出して解析されることを回避する機能が実装されています。
これら以外にも、ブラウザの資格情報の取得、いくつものサブコマンドのあるC2からの操作機能、クリップボードを経由したパスワードなどの取得機能なども実装されています。
まだマルウェアが若い状態にあるのか、広い範囲での活動までは確認されていないため、具体的な感染経路については まだ解析が進んでいませんが、今後、活動が広がっていってしまうことが懸念されます。
対策として推奨されているのは、ソフトウェアを公式Webサイトからのみダウンロードする、悪意のあるドメインや電子メールの添付ファイルをブロックできるセキュリティソフトウェアを使用する、といったものです。
このイタチごっこ、どう対応していくのが良いでしょうか。
StilachiRAT analysis: From system reconnaissance to cryptocurrency theft
https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/
| この記事をシェア |
|
|---|
