Stealerium 恶意软件攻击教育机构分析报告【红客联盟 AI 分析】

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3264.html
• 情报编号：HK-MW-202509043264
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：解析 Stealerium 恶意软件的起源、针对教育机构的攻击特征、技术原理及防御方案，为教育行业安全防护、威胁检测与应急响应提供依据。
• 报告声明：本报告基于网络情报分析，仅供技术参考与交流，不构成任何安全保证。

二、Stealerium 恶意软件基础概况

（一）起源与演变

• 初始形态：2022 年首次以开源项目形式出现于 GitHub，官方标注 “仅用于教育目的”，核心功能为基础信息窃取；
• 恶意改造：短时间内被威胁行为者调整增强，衍生出多个变体（如Phantom Stealer、Warp Stealer、INTDM Stealer），各变体共享大量代码，形成 “信息窃取者家族”，且支持 “低技术门槛使用”—— 无需复杂配置，即可通过免费下载或低价订阅获取（如 Phantom Stealer 基础版 1 个月订阅价 70-100 美元，1 年订阅价 700-840 美元）；
• 定位转变：从 “开源工具” 沦为 “商品级恶意软件”，成为缺乏技术能力的威胁行为者攻击教育机构的核心工具。

（二）攻击目标与规模

• 核心目标：全球教育机构，涵盖大学（高等教育）与K-12 学校（基础教育），攻击面聚焦教育行业 “师生信息密集、安全防护资源有限” 的特点；
• 攻击规模：据 Proofpoint 统计，2025 年 5 月至 7 月期间，针对教育机构的攻击邮件呈爆发式增长，单个攻击活动的邮件数量从数百封到数万封不等，覆盖多个国家的教育网络；
• 诱饵特征：摒弃传统银行、法院主题钓鱼，改用教育场景专属诱饵 —— 邮件主题多为 “课程注册截止日期”“学生账户暂停通知” 等紧急内容，附件为含 Stealerium 有效负载的压缩可执行文件、JavaScript 脚本或磁盘映像文件，诱骗师生点击。

三、攻击技术细节：感染链与核心能力

（一）多阶段感染链

1. 初始投递：师生点击钓鱼邮件附件（如 “课程表.exe.zip”），解压后执行压缩包内的恶意文件；
2. 加载程序生成：恶意文件触发 PowerShell 加载程序，该加载程序从远程服务器检索 **.NET 架构的 Stealerium 核心 payload**，并将其安装至用户 AppData 目录下的随机路径（示例：C:\Users\<用户名>\AppData\Local\<随机十六进制字符串>\<用户名>@<主机名>_<区域>\），通过 “随机路径 + 用户相关命名” 规避检测；
3. 反分析检查：核心 payload 执行前，先创建互斥锁（防止多实例运行），并验证系统信息 —— 包括用户名、GPU 模型、机器 GUID，甚至从公共 GitHub 存储库下载 “动态阻止列表”，识别沙盒 / 虚拟机环境，若检测到则立即中止运行；
4. 功能激活：通过检查后，启动信息窃取、防御规避、持久化等核心功能。

（二）持久化与防御规避手段

（三）数据窃取与泄露渠道

1. 窃取数据类型（覆盖教育场景全维度敏感信息）

• 核心凭据：浏览器保存的师生账户密码（校园网、教务系统、邮箱）、Wi-Fi 配置文件（netsh wlan命令枚举）、课程平台会话令牌；
• 财务与隐私数据：信用卡信息（师生绑定的学费缴纳卡）、网络摄像头快照（含 “NSFW” 内容，可用于性勒索）；
• 其他数据：游戏会话令牌、浏览器 Cookie（可用于 “免密登录” 目标网站）。

2. 数据泄露渠道（多平台同步传输，降低拦截概率）

• 即时通信平台：Discord Webhook、Telegram API（实时回传窃取数据）；
• 文件存储平台：GoFile（上传大体积数据如摄像头快照）；
• 小众聊天服务：Zulip（规避主流平台的安全监控）；
• 邮件渠道：SMTP 附件（批量发送结构化凭据数据）。

四、教育机构面临的核心影响

1. 数据安全危机：师生个人账户（教务、邮箱、支付）被窃取，可能导致成绩篡改、学费被盗、个人信息泄露（违反《教育数据安全指南》《个人信息保护法》）；
2. 勒索风险升级：摄像头快照（尤其是 NSFW 内容）被用于 “性勒索”，威胁师生支付赎金，损害教育机构声誉；
3. 内网渗透隐患：窃取的校园网 Wi-Fi 凭据、教务系统密码可能成为攻击者横向渗透的 “跳板”，导致核心教学数据（如考试题库、科研成果）被窃取或破坏；
4. 业务中断：大量师生设备感染后，需投入 IT 资源进行全盘排查与清理，可能影响线上课程、教务管理等正常教学活动。

五、防御建议与应急措施

（一）紧急响应（72 小时内优先执行）

1. 端点排查：
   • 检查 Windows 计划任务（路径：控制面板→管理工具→任务计划程序），删除 “随机命名、无明确创建者” 的任务；
   • 核查 Windows Defender 排除列表（设置→更新和安全→Windows安全中心→病毒和威胁防护→管理设置→排除项），移除非授权排除路径；
   • 监控进程列表，重点查找 “无窗口的 Chrome 进程”（命令行含--remote-debugging-port），发现后立即终止并删除对应文件。
2. 网络监控：
   • 在防火墙 / IDS 中添加规则，拦截与 Discord Webhook、Telegram API、GoFile、Zulip 相关的异常出站流量（如频繁向discord.com/api/webhooks发送 POST 请求）；
   • 审计 AppData 目录下的 “随机十六进制命名文件夹”，排查是否存在 Stealerium payload（可结合文件哈希比对威胁情报）。

（二）教育机构长期防护策略

1. 员工与师生培训：
   • 开展 “教育场景钓鱼识别” 专项培训，重点讲解 “课程注册”“账户暂停” 等主题邮件的辨别要点（如核实发件人是否为学校官方邮箱、附件是否为异常格式.exe/.js）；
   • 禁止师生从非官方渠道下载 “课程资料”“成绩查询工具”，避免误装恶意软件。
2. 技术防护加固：
   • 部署 EDR（端点检测与响应）工具，创建自定义规则：监控 “PowerShell 添加 Defender 排除项”“无头 Chrome 启动”“netsh wlan 枚举” 等高危行为；
   • 限制 PowerShell 执行权限：通过组策略设置 “仅允许签名脚本运行”，禁用未授权 PowerShell 脚本；
   • 校园网安全管控：对 Wi-Fi 网络启用 “802.1X 认证”，避免 Wi-Fi 凭据被窃取后导致内网渗透。
3. 威胁情报联动：
   • 订阅红客联盟、Proofpoint 等机构的教育行业威胁情报，及时获取 Stealerium 新变体的 IOCs（如恶意文件哈希、C2 域名）；
   • 建立校际安全协作机制，共享 Stealerium 攻击案例与防御经验，提升整体防护能力。