StilachiRAT, 자격 증명 및 암호화 지갑 탈취 노린 고도화된 원격제어 악성코드 분석

Microsoft Warns of StilachiRAT: A Stealthy RAT Targeting Credentials and Crypto Wallets

 

New StilachiRAT uses sophisticated techniques to avoid detection

New StilachiRAT uses sophisticated techniques to avoid detection

 

• 개요
  • Microsoft Incident Response 팀이 2024년 11월 StilachiRAT 악성코드를 식별
  • 디지털 자산 탈취 및 사용자 시스템에 대한 은밀한 통제를 목적으로 제작된 고도화된 Remote Access Trojan(RAT)
  • WWStartupCtrl64.dll 모듈에 악성 기능 탑재
  • 현재 특정 위협 행위자나 국가에 귀속되진 않음
• 주요 기능
  • 시스템 정보 수집 – 운영체제 정보, BIOS 일련번호, 카메라 유무, RDP 세션 여부 등 수집 – WMI Query Language(WQL)를 사용하는 COM WBEM 인터페이스 기반 수집
  • 자격 증명 및 지갑 데이터 탈취 – Chrome 브라우저 저장 자격 증명 탈취 (SQLite DB에서 login_data 추출, Windows API로 복호화) – 암호화 지갑 브라우저 확장 프로그램 20여 개 대상으로 구성 파일 수집 > 대상: MetaMask, Trust Wallet, OKX Wallet, Phantom, Coinbase Wallet 등
  • 클립보드 감시 및 데이터 유출 – 클립보드 상의 민감 정보(지갑 주소, 비밀번호 등) 주기적으로 수집
  • 원격 명령 실행 및 시스템 조작 – 총 10개 이상의 명령 지원 > 예: 시스템 로그 삭제, 윈도우 suspend/hibernate, 애플리케이션 실행, Chrome 비밀번호 탈취
• C2 통신 및 은폐 기법
  • 통신 방식 – 무작위 TCP 포트(53, 443, 16000) 사용 – 도메인명 및 IP 주소를 난독화 처리 (바이너리 포맷) – 최초 통신 지연 및 분석 도구 존재 시 자가 종료(tcpview.exe 등)
  • 탐지 회피 기술 – 이벤트 로그 삭제 – 샌드박스 및 분석 도구 감지 루프 삽입 – Windows API 이름을 체크섬 기반 동적 호출 방식으로 은폐 – XOR 마스킹 테이블로 코드 흐름 분석 방해
• 지속성 및 자기복구 메커니즘
  • Windows 서비스 제어 관리자(SCM)에 등록하여 재부팅 후 자동 실행
  • watchdog 스레드로 자가 삭제 시 재생성 수행
• 공격자 명령 목록 예시
  • 07: URL 기반 HTML 메시지 창 표시
  • 08: 이벤트 로그 삭제
  • 09: NtShutdownSystem으로 시스템 종료
  • 13/14/15: 네트워크 연결 수립, 수신 대기, 연결 종료
  • 16: 특정 애플리케이션 실행
  • 19: 데스크톱 내 열린 창 타이틀 검색
  • 26: 시스템 절전/최대 절전
  • 30: Chrome 비밀번호 수집
• 보안 권고
  • Chrome 브라우저의 저장된 자격 증명 사용 자제, 비밀번호 관리 툴 도입 권고
  • 클립보드에 민감 정보 복사하지 않기
  • EDR 도입을 통한 API 호출, 프로세스 생성, 클립보드 모니터링 탐지 강화
  • 탐지 우회를 방지하기 위해 프로세스 메모리 분석 도구 및 YARA 룰 기반 탐지 도입
  • 시스템 이벤트 로그 및 WMI 쿼리 로그 모니터링 활성화
  • 암호화 지갑 브라우저 확장 프로그램 보안 설정 점검 및 제거 고려
• 결론
  • StilachiRAT은 암호화 자산 보유자를 타깃으로 설계된 고급 위협
  • 클립보드 감시, 암호화 키 추출, C2 명령 실행 등 다양한 정보탈취 및 시스템 제어 능력 보유
  • 위협 행위자는 다단계 C2, 메모리 내 난독화, 타이밍 기반 회피 전략 등을 통해 탐지 회피
  • 기존의 브라우저 기반 탈취형 악성코드보다 기능이 포괄적이며, APT 캠페인에 사용 가능성 존재