StilachiRAT マルウェア

翻訳内容：

研究者らは最近、高度な回避技術を使用して侵入したシステムに潜伏する、洗練されたリモートアクセストロイの木馬 (RAT) である StilachiRAT を発見しました。このマルウェアの主な目的は機密情報を収集することであり、個人と組織の両方に深刻な脅威をもたらします。

StilachiRAT が収集するもの

StilachiRAT は、感染したシステムからさまざまなデータを収集するように設計されています。次のような情報をターゲットとしています。

Webブラウザに保存された認証情報
デジタルウォレットの詳細
パスワードや暗号通貨ウォレットを含むクリップボードの内容
OSバージョン、BIOSシリアル番号、カメラの有無、アクティブなアプリケーションなどのシステム情報

StilachiRAT の動作方法

2024 年 11 月に発見された StilachiRAT は、「WWStartupCtrl64.dll」という DLL モジュール内で見つかりました。正確な配信方法は不明ですが、この RAT はさまざまな攻撃ベクトルを通じて拡散する可能性があるため、強力なセキュリティ対策の重要性が浮き彫りになっています。

システムに侵入すると、StilachiRAT は広範囲にわたるシステム偵察を行い、オペレーティングシステムの詳細、アクティブなリモートデスクトッププロトコル (RDP) セッション、BIOS シリアル番号などのハードウェア識別子などの貴重な情報を収集します。さらに、MetaMask、Trust Wallet、Coinbase Wallet などのよく知られたウォレットを含む、Google Chrome ブラウザ内の暗号通貨ウォレット拡張機能を明示的にターゲットにします。

コミュニケーションと制御

StilachiRAT は、コマンドアンドコントロール (C2) サーバーと通信して、命令の送受信を行います。この双方向通信を通じて、マルウェアは次のようなさまざまなコマンドを実行できます。

イベントログをクリアし、ネットワーク接続を終了する
システムを強制的にシャットダウンするか、特定のアプリケーションを起動する
ウィンドウの詳細を含むRDPセッション情報を監視およびキャプチャします。
保存されたGoogle Chromeのパスワードやその他の機密データを盗む

これらの機能により、StilachiRAT はデータ盗難やシステム操作のための多目的ツールとなります。攻撃者の目的に応じて、最大 10 種類のコマンドを実行できます。

法医学的対策

StilachiRAT は検出を回避するために、さまざまなフォレンジック対策技術を採用しています。これには、イベントログの消去、分析ツールの回避、マルウェア分析でよく使用される仮想環境の検出などが含まれます。これにより、サイバーセキュリティチームがその存在を追跡して軽減することがより困難になります。

RAT（リモートアクセス型トロイの木馬）の脅威からデバイスを保護する方法

リモートアクセストロイの木馬 (RAT) は、攻撃者がデバイスに不正にアクセスして機密情報を収集したり、ユーザーのアクティビティを監視したり、システムを制御したりできるようにする、脅威的なタイプのマルウェアです。このような脅威からデバイスを保護するには、プロアクティブなセキュリティ対策を組み合わせる必要があります。RAT から身を守るための戦略をいくつか紹介します。

ソフトウェアとオペレーティングシステムを最新の状態に維持する: オペレーティングシステム、ブラウザー、アプリケーションが定期的に更新されていることを確認します。ソフトウェアアップデートは、RAT やその他のマルウェアが悪用する可能性のある脆弱性を解決するセキュリティパッチを提供するために頻繁に使用されます。自動更新をオンにして、重要なセキュリティ修正を見逃すリスクを最小限に抑えます。
強力で一意のパスワードを使用する: RAT は、ブラウザやデジタルウォレットに保存されている認証情報を収集することがよくあります。リスクを軽減するには、各アカウントに強力で一意のパスワードを使用してください。パスワードマネージャーを使用すると、複雑なパスワードを安全に生成して保存できます。複数のアカウントで同じパスワードを使用することは避けてください。
信頼できるマルウェア対策ソフトウェアをインストールする: 包括的なマルウェア対策プログラムは、RAT が重大な損害を引き起こす前にそれを検出して削除するのに役立ちます。定期的にシステムの脅威を分析し、マルウェア対策ソフトウェアが最新のウイルス定義を備えていることを確認してください。
2 要素認証 (2FA) を有効にする: 可能な場合は、オンラインアカウント、特に電子メール、銀行、暗号通貨ウォレットなどの機密性の高いアカウントに対して 2 要素認証 (2FA) を有効にします。RAT がログイン認証情報を取得しても、2FA によって補助的な保護レイヤーが追加され、2 番目の形式の検証が必要になります。
メールの添付ファイルとリンクに注意してください: RAT はフィッシングメールや不正なリンクを介して拡散されることがよくあります。不明なソースや疑わしいソースからのメールの添付ファイルやリンクにアクセスするときは、特に注意してください。送信者のメールアドレスを確認し、信頼できない Web サイトからファイルをダウンロードしないようにしてください。
ファイアウォールを使用する: ファイアウォールは、受信および送信ネットワークトラフィックの監視と制御に役立ちます。ファイアウォールはシステムへの不正アクセスをブロックし、攻撃者がデバイスを制御したり、リモートでデータを盗んだりするのを防ぎます。ファイアウォールが有効になっていて、適切に設定されていることを確認してください。

定期的にデータをバックアップする: RAT がシステムに侵入した場合、定期的なデータバックアップによって重要なファイルを回復できます。バックアップを外部ドライブまたはクラウドストレージに保存しておけば、ランサムウェア攻撃やシステム侵害が発生した場合でも情報が安全です。

必要ない場合はリモートデスクトッププロトコル (RDP) を無効にする: リモートデスクトッププロトコル (RDP) は、RAT の一般的な攻撃ベクトルです。デバイスへのリモートアクセスに RDP が必要ない場合は、RDP を完全に無効にすることを検討してください。仕事に不可欠な場合は、強力なパスワードを使用し、信頼できる IP アドレスのみにアクセスを制限してください。

アクティブなプロセスとネットワークアクティビティを監視する: システム上のアクティブなプロセスを注意深く監視してください。見慣れないアプリケーションやネットワークアクティビティの多さに気付いた場合は、さらに調査して、バックグラウンドで RAT が実行されていないことを確認してください。タスクマネージャー (Windows) やアクティビティモニター (macOS) などのツールは、疑わしい動作を特定するのに役立ちます。

StilachiRAT は、高度なデータ窃盗機能、システム操作機能、ステルス性の高い操作方法を備えているため、サイバーセキュリティ上の重大な脅威となります。このような攻撃から身を守るには、個人と組織の両方が堅牢なセキュリティ対策を採用し、新たな脅威に対して警戒を怠らないようにする必要があります。