RSS クラウド ブログ
フォロー
STOCKSTAY Another Day: Turlaのインテリジェンス収集装置への最新追加
Google Threat Intelligence Groupは、2022年後半からロシア関連のTurlaグループによって活発に開発されている.NETバックドアであるSTOCKSTAYについて詳細を明らかにしました。Turlaは、サイバー諜報活動のために、主にウクライナの政府および軍事組織、ならびにイタリアの外交政策に関心のある組織を標的としてSTOCKSTAYを展開しています。このバックドアは、Turlaが以前から知られているKAZUARツールキットと、コードおよび機能において顕著な重複を示しています。Turlaは、2004年にまで遡ると疑われる活動を持つ、長年にわたるサイバー諜報活動の主体であり、ロシアのFSBと関連付けられています。STOCKSTAYは、websocket-sharpライブラリによって容易に実現される、セキュアなWebSocketsを使用してコマンドアンドコントロール(C2)サーバーと通信するマルチコンポーネントバックドアです。当初は株式市場データビューアを模倣するように設計されていましたが、STOCKSTAYはPDFビューアや電卓のような他の無害なアプリケーションを偽装するように進化しました。このマルウェアは、ネットワーク通信を担当するSTOCKSTAY.STOCKBROKER、設定とC2メッセージングを担当するオーケストレーターであるSTOCKSTAY.STOCKMARKET、感染したホスト上でコマンドを実行するSTOCKSTAY.STOCKTRADERという、個別のコンポーネントで構成されています。STOCKSTAY.STOCKTRADERは、ファイルおよびレジストリ操作、コマンド実行、システム情報収集を含む、さまざまな操作をサポートしています。関連するダウンローダーコンポーネントであるSTOCKSTAY.MARKETMAKERは、永続性を確立するために正規のソフトウェアを装っていることが観察されています。この分析は、観測のタイムラインを提供し、STOCKSTAYとKAZUARとの類似性を調査し、Turlaの進化するツールセット内でのその役割を文脈化しています。