STOCKSTAY 또 다른 날: Turla의 정보 수집... 노트

STOCKSTAY 또 다른 날: Turla의 정보 수집 장치에 새로 추가된 것

Google 위협 인텔리전스 그룹은 2022년 말부터 러시아와 연계된 Turla 그룹이 적극적으로 개발해 온 .NET 백도어인 STOCKSTAY에 대해 상세히 설명했습니다. Turla는 사이버 스파이 활동을 위해 주로 우크라이나 정부 및 군사 기관과 이탈리아 외교 정책에 관심을 가진 조직을 대상으로 STOCKSTAY를 배포했습니다. 이 백도어는 Turla의 이전에 알려진 KAZUAR 툴킷과 상당한 코드 및 기능적 중복성을 보입니다. Turla는 2004년으로 거슬러 올라가는 의심 활동을 가진 오랜 사이버 스파이 행위자이며 러시아 FSB와 연계되어 있습니다. STOCKSTAY는 websocket-sharp 라이브러리를 통해 보안 WebSockets를 사용하여 명령 및 제어(C2) 서버와 통신하는 다중 구성 요소 백도어입니다. 처음에는 주식 시장 데이터 뷰어를 모방하도록 설계되었지만, STOCKSTAY는 PDF 뷰어 및 계산기와 같은 다른 정상적인 애플리케이션을 사칭하도록 발전했습니다. 이 악성코드는 네트워크 통신을 위한 STOCKSTAY.STOCKBROKER, 구성 및 C2 메시징을 담당하는 오케스트레이터인 STOCKSTAY.STOCKMARKET, 감염된 호스트에서 명령을 실행하는 STOCKSTAY.STOCKTRADER의 별도 구성 요소로 구성됩니다. STOCKSTAY.STOCKTRADER는 파일 및 레지스트리 조작, 명령 실행, 시스템 정보 수집을 포함한 다양한 작업을 지원합니다. 관련 다운로더 구성 요소인 STOCKSTAY.MARKETMAKER는 지속성을 확보하기 위해 합법적인 소프트웨어로 위장하는 것이 관찰되었습니다. 이 분석은 관찰 타임라인을 제공하고 STOCKSTAY와 KAZUAR의 유사점을 조사하여 Turla의 진화하는 툴셋 내에서 그 역할을 맥락화합니다.
CdXz5zHNQW_ezln4WcZu8.png