盡管尚未廣泛傳播，但一種名為StilachiRAT的新型Windows遠程訪問木馬（RAT）構(gòu)成了嚴重威脅。微軟威脅分析師在周一警告稱：“[該惡意軟件]展示了復雜的技術(shù)手段，以逃避檢測、在目標環(huán)境中持久化并竊取敏感數(shù)據(jù)。”

StilachiRAT的功能

StilachiRAT具備以下功能：

• 收集系統(tǒng)信息以描繪目標系統(tǒng)概覽：包括操作系統(tǒng)/系統(tǒng)信息、硬件標識符、BIOS序列號、攝像頭的存在、活動的遠程桌面協(xié)議（RDP）會話、軟件安裝記錄以及活動的圖形用戶界面（GUI）應(yīng)用程序。
• 信息和憑證竊取：StilachiRAT可以獲取存儲在Chrome瀏覽器中的憑證，讀取系統(tǒng)的剪貼板并提取其中的數(shù)據(jù)（如密碼、加密貨幣密鑰以及可能的個人標識符），并針對Google Chrome瀏覽器的20種加密貨幣錢包擴展程序（包括CoinBase錢包、MetaMask和TronLink）的目標配置數(shù)據(jù)進行竊取。
• RDP監(jiān)控：威脅分析師指出：“StilachiRAT通過捕獲前景窗口信息并復制安全令牌來模擬用戶，從而監(jiān)控RDP會話。這在托管管理會話的RDP服務(wù)器上尤其危險，因為它可能會在網(wǎng)絡(luò)內(nèi)實現(xiàn)橫向移動。”
• 執(zhí)行從命令與控制（C2）服務(wù)器接收的命令：該惡意軟件可以重啟/暫停系統(tǒng)、清除日志、執(zhí)行應(yīng)用程序并檢查哪些應(yīng)用程序處于打開狀態(tài)、修改Windows注冊表值、操作系統(tǒng)窗口、建立新的出站連接以及自我刪除。

反取證與持久化機制

StilachiRAT通過兩個配置的地址與C2服務(wù)器通信，但其僅在安裝兩小時后執(zhí)行此操作，并且僅在TCPView未運行時才會進行連接。（TCPView是一種網(wǎng)絡(luò)監(jiān)控工具，可以幫助發(fā)現(xiàn)意外的出站連接，可能表明系統(tǒng)屬于研究人員或分析師。）

該惡意軟件還采取了額外的反取證措施，包括：清除安全日志、檢查分析工具和沙箱的存在、混淆Windows API調(diào)用（以阻礙手動分析）。最后，該惡意軟件還有方法確保其在目標計算機上的持久化。

緩解與檢測措施

微軟尚未將StilachiRAT歸因于特定的威脅行為者或地理位置。分析師解釋說：“根據(jù)微軟目前的可見性，該惡意軟件目前并未表現(xiàn)出廣泛傳播的特點。”

他們也不知道該惡意軟件是如何傳播到目標系統(tǒng)的，因此避免下載和運行惡意軟件的一般建議在這里同樣適用。微軟已分享了妥協(xié)指標和搜索查詢，可以幫助威脅獵人檢查是否存在該惡意軟件的跡象：如可疑的出站網(wǎng)絡(luò)連接、持久化跡象以及反取證行為。