Microsoft, yeni bir uzaktan erişim Trojan’a (sıçan) dikkat çekiyor Stilachirat Söylediğini, hassas verileri çalmak için nihai bir amaç ile hedef ortamlarda tespit ve hedef ortamlarda devam etmek için gelişmiş teknikler kullandığını söyledi.
Kötü amaçlı yazılım, “tarayıcıda depolanan kimlik bilgileri, dijital cüzdan bilgileri, panoda depolanan veriler ve sistem bilgileri gibi” hedef sistemden bilgi çalma özellikleri içerir “Microsoft Olay Yanıt Ekibi söz konusu bir analizde.
Teknoloji devi, “wwstartupctrl64.dll” adlı bir DLL modülünde bulunan sıçan özellikleri ile Kasım 2024’te Stilachirat’ı keşfettiğini söyledi. Kötü amaçlı yazılım herhangi bir tehdit oyuncusu veya ülkesine atfedilmemiştir.
Şu anda kötü amaçlı yazılımların hedeflere nasıl teslim edildiği açık değil, ancak Microsoft bu tür Truva atlarının çeşitli başlangıç erişim yolları aracılığıyla kurulabileceğini ve kuruluşların yeterli güvenlik önlemlerini uygulamasını çok önemli hale getirdiğini belirtti.
Stilachirat, işletim sistemi (OS) detayları, BIOS seri numaraları, kamera varlığı, aktif uzak masaüstü protokolü (RDP) oturumları ve grafik kullanıcı arayüzü (GUI) uygulamaları gibi donanım tanımlayıcıları dahil olmak üzere kapsamlı sistem bilgilerini toplamak için tasarlanmıştır.
Bu ayrıntılar, WMI Sorgu Dili (WQL) kullanılarak Bileşen Nesne Modeli (COM) Web Tabanlı Kurumsal Yönetim (WBEM) arabirimleri aracılığıyla toplanır.
Ayrıca Google Chrome Web tarayıcısına yüklenen kripto para birimi cüzdan uzantılarının bir listesini hedeflemek için tasarlanmıştır. Liste bitk cüzdanı, güven cüzdanı, tronlink, metamask, TokenPocket, BNB zincir cüzdanı, OKX cüzdanı, sui cüzdanı, Braavos – Starknet cüzdanı, Coinbase cüzdanı, sıçrama cüzdan cüzdanı, manta cüzdanı, keprr, fraktal cüzdan, pusula cüzdanı, matematik cüzdanı, pusula cüzdanı, pusula cüzdanı, pusula cüzdanı.
Ayrıca, Stilachirat, krom tarayıcıda depolanan kimlik bilgilerini çıkarır, periyodik olarak şifreler ve kripto para cüzdanları gibi pano içeriğini toplar, ön plan pencere bilgilerini yakalayarak RDP oturumlarını izler ve hasat edilen verileri yaymak için uzak bir sunucu ile temas kurar.
Komut ve kontrol (C2) sunucu iletişimi iki yönlüdür ve kötü amaçlı yazılımın gönderdiği talimatları başlatmasına izin verir. Özellikler, hem casusluk hem de sistem manipülasyonu için çok yönlü bir araca işaret ediyor. 10 farklı komut desteklenir –
- 07 – Verilen bir URL’den oluşturulmuş HTML içeriğine sahip bir iletişim kutusu görüntüleyin
- 08 – olay günlüğü girişlerini temizleyin
- 09 – Belgelenmemiş bir Windows API’sini kullanarak sistem kapatmayı etkinleştirin (“ntdll.dll! NtshutdownSystem”)
- 13 – C2 sunucusundan bir ağ adresi alın ve yeni bir giden bağlantı kurun.
- 14 – Verilen TCP bağlantı noktasında gelen bir ağ bağlantısını kabul edin
- 15 – Açık ağ bağlantılarını sonlandırın
- 16 – Belirli bir uygulamayı başlatın
- 19 – İstenen başlık çubuğu metnini aramak için geçerli masaüstünün tüm açık pencerelerini numaralandırın
- 26 – Sistemi askıya alınmış (uyku) bir duruma veya hazırda bekletme
- 30 – Google Chrome şifrelerini çalın
Microsoft, “Stilachirat, olay günlüklerini temizleyerek ve algılamadan kaçınmak için belirli sistem koşullarını kontrol ederek anti-forensik davranışlar sergiliyor.” Dedi. “Bu, kötü amaçlı yazılım analizi için yaygın olarak kullanılan sanal ortamlarda tam aktivasyonunu önleyen analiz araçları ve kum havuzu zamanlayıcılar için döngü kontrolleri içerir.”
Açıklama Palo Alto Networks Birimi 42 olarak gelir ayrıntılı Geçen yıl tespit ettiği üç olağandışı kötü amaçlı yazılım örneği, C ++/CLI’da geliştirilen Pasif İnternet Bilgi Hizmetleri (IIS) arka kapı, bir GRUB 2 önyükleyici yüklemek için güvenli olmayan bir çekirdek sürücüsü kullanan bir bootkit ve C ++ ‘da ProjectGeass olarak adlandırılan bir çapraz platform sonrası çerçevenin bir Windows implantı kullandı.
IIS Backdoor, önceden tanımlanmış bir başlık içeren bazı gelen HTTP isteklerini ayrıştırmak ve içindeki komutları yürütmek, komutları çalıştırma, sistem meta verileri alma, yeni işlemler oluşturma, PowerShell kodunu yürütme ve kabuk kodu bir çalışma veya yeni sürece enjekte etmek için donatılmıştır.
Öte yandan, bootkit, ampa.sys adlı meşru olarak imzalanmış bir çekirdek sürücüsü aracılığıyla bir Grub 2 önyükleyici disk görüntüsünü yükleyen 64 bit bir DLL’dir. Mississippi Üniversitesi’nden bilinmeyen taraflar tarafından oluşturulan bir kavram kanıtı (POC) olarak değerlendirilmiştir.
“Yeniden başlatıldığında, Grub 2 önyükleyici bir görüntü gösterir ve periyodik olarak oynar Dixie PC hoparlörü aracılığıyla. Bu davranış, kötü amaçlı yazılımın saldırgan bir şaka olduğunu gösterebilir, “Ünite 42 araştırmacı Dominik Reichel,” özellikle, kötü amaçlı yazılımın bu özelleştirilmiş Grub 2 önyükleyici görüntüsüyle yamalamak, yalnızca belirli disk konfigürasyonları üzerinde çalışıyor. “
