公開日: Mon, 17 Mar 2025 14:59:24 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/
記事本文(要約)
Microsoftが新たなリモートアクセス型トロイの木馬(RAT)「StilachiRAT」を発見しました。このマルウェアは高度なテクニックを用いて検出を回避し、持続性を保ち、機密データを抽出します。StilachiRATはブラウザに保存された認証情報やクリップボード内のデータ、暗号通貨ウォレットの情報を盗み出す機能を持ち、特にグーグルクロームのローカルステートファイルからパスワードを抽出します。また、システム情報収集やRDPセッションの監視、アプリケーションの特権昇格も行います。さらに、イベントログの消去やサンドボックスでの検出回避といった機能も含まれています。
Microsoftは、攻撃対象のシステムを守るために、公式サイトからのみソフトウェアをダウンロードし、悪意のあるドメインやメールの添付をブロックできるセキュリティソフトウェアの使用を推奨しています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
- 脆弱性の仕組み
- StilachiRATは、ターゲットシステムに侵入し、情報の窃取や遠隔操作を実行する高度なリモートアクセス型トロイの木馬です。このマルウェアは、検知を回避し持続性を維持するために複雑な手法を用いています。主な機能には、ブラウザ内の資格情報、デジタルウォレットの情報、クリップボード上のデータの窃取、システム情報の収集などがあります。
- 攻撃手法
- 1. 情報収集: StilachiRATは、システムデータ、ハードウェア識別子、RDPセッション、GUIベースのアプリケーションの実行状況を監視して、ターゲットシステムをプロファイル化します。
- 2. デジタルウォレットの搾取: 約20の暗号通貨ウォレット拡張機能の設定情報をスキャンし、暗号通貨データを流出させます。
- 3. 資格情報の抽出: Google Chromeのローカル状態ファイルから資格情報を抽出し、Windows APIを利用してクリップボード上のパスワードや暗号通貨キーを監視します。
- 4. 持続性の確保: Windowsサービス制御マネージャー(SCM)を使った永続化を実現し、監視スレッドによってマルウェアのバイナリを復元し、自動的に再インストールされるように維持します。
- 5. セッションの乗っ取り: 前景のウィンドウから情報を取得し、セキュリティトークンを複製して、ログイン中のユーザーになりすますことで、縦横移動を可能にします。
- 6. 検出回避および対解析: イベントログのクリア、サンドボックス実行の検出および回避、APIコールのチェックサム化や実行時の動的解決による分析の阻止が行われます。
- 7.コマンド実行およびプロキシ機能: C2サーバからのコマンドを利用して感染したデバイスを制御し、システムの再起動、ログのクリア、資格情報の窃取、アプリケーションの実行などが可能です。
- 潜在的な影響
- 情報漏洩: システム上の機密情報(例:資格情報、暗号通貨データ)の窃取。
- システムの中断: 不正なコマンド実行によるシステムの停止や再起動。
- 縦横移動: ネットワーク内でのさらなる感染拡大。
- 検出回避: セキュリティソフトウェアによる検出の困難化。
- 推奨される対策
- 公式サイトからのソフトウェアダウンロード: 正規のソフトウェアのみを信頼できるサイトからダウンロードする。
- セキュリティソフトウェアの使用: 悪質なドメインやメール添付ファイルをブロックするセキュリティソフトウェアを活用する。
- システムのログ監視: 不審なアクティビティが発生していないか、イベントログを定期的にチェックする。
- ネットワーク分離: 機密情報を扱うネットワークセグメントを厳重に保護し、不正なアクセスを防止する。
- 脅威インテリジェンスの活用: 最新の脅威情報を取り入れ、それに基づいてセキュリティ対策を更新する。
