Microsoft’un olay müdahale ekibi, stilachirat olarak adlandırılan “sofistike” yeni uzaktan erişim Truva atı (sıçan), hedeflenen sistemleri tehlikeye attı, herhangi bir şüphe yaratmadan verileri çaldı ve kaçınma tespit etti.
Geleneksel kötü amaçlı yazılımlardan farklı olarak, Stilachirat Truva sadece sistemlere sızmıyor; onları haritalar ve sömürür. Donanım tanımlayıcılarından aktif RDP oturumlarına, BIOS seri numaralarına ve kamera varlığına kadar ayrıntılı sistem bilgilerini toplar. Ayrıca yüklü yazılım, aktif uygulamalar ve kullanıcı davranışı hakkında veri toplar, bu da daha sonra bir komut ve kontrol (C2) sunucusuna gönderilir.
Kimlik bilgileri için tarayıcıları hedefleme, kripto için cüzdanlar
Stilachirat özellikle kripto para cüzdanları için avlanır ve dijital varlıkları çalmak için Google Chrome’da 20 farklı cüzdan uzantısını tarar. Burada bitmiyor; Stilachirat ayrıca hassas kimlik bilgilerini hedefler, web tarayıcılarından depolanan kullanıcı adlarını ve şifreleri çıkarır ve şifresini giderir.
Onu daha da tehlikeli kılan şey, enfekte sistemin kontrolünü uzun vadede tutmak için Windows hizmetlerini akıllıca manipüle etme, kalıcılığı koruma yeteneğidir, bu da tespit edilmesini ve kaldırılmasını zorlaştırır.
Komut ve kontrol bağlantısı ve uzaktan yürütme
Microsoft’un blog yayınına göre, Stilachirat, TCP bağlantı noktaları 53, 443 veya 16000 kullanarak uzaktan C2 sunucuları ile iletişim kurar, bu da uzaktan komut yürütmesini sağlar ve potansiyel olarak saldırganların ağlar içinde yanal olarak hareket etmesine izin verir.
Kötü amaçlı yazılım, C2 sunucusundan sistem yeniden başlatmaları, günlük temizleme, kayıt defteri manipülasyonu, uygulama yürütme ve sistem süspansiyonu dahil olmak üzere bir dizi komutu destekler. Aynı zamanda, tespiti önlemek için olay günlüklerini temizleme ve analiz araçlarını algılama gibi forensik taktikler kullanır.
Hafifletmeler ve korumalar
Microsoft, sofistike bir kötü amaçlı yazılım olarak stilachirat seviyelerini seviyor. Bu nedenle, stilachirat enfeksiyonlarını önlemek için kullanıcılara resmi kaynaklardan yazılım indirmeleri, akıllı ekranları destekleyen web tarayıcılarını kullanmaları ve Office 365 için güvenli bağlantılar ve güvenli ekler sağlamaları önerilir.
Kuruluşlar ayrıca, kurcalama korumasını etkinleştirmek, blok modunda uç nokta algılama ve yanıtı çalıştırmak ve tam otomatik modda araştırma ve iyileştirmeyi yapılandırmak gibi çeşitli sertleştirme yönergeleri uygulayabilir.
Microsoft Defender XDR müşterileri, geçerli tespitlerin bir listesine başvurabilir; TrojanSpy:Win64/Stilachi.Ave ağlarındaki ilgili etkinliği tanımlamak için av sorgularını kullanın.