RSS 云博客
关注
STOCKSTAY 再延一日:Turla 情报收集装置的最新增补
Google 威胁情报小组详细披露了 STOCKSTAY,这是一款由与俄罗斯关联的 Turla 集团自 2022 年底以来积极开发的 .NET 后门。Turla 主要将 STOCKSTAY 部署针对乌克兰政府及军事机构,以及对意大利外交政策感兴趣的组织,用于网络间谍活动。该后门在代码和功能上与 Turla 此前已知的 KAZUAR 工具包存在显著重叠。Turla 是一个长期存在的网络间谍行为体,其可疑活动可追溯至 2004 年,且与俄罗斯联邦安全局(FSB)有关联。STOCKSTAY 是一个多组件后门,通过 websocket-sharp 库实现的 WebSocket 安全通道与其命令与控制(C2)服务器通信。STOCKSTAY 最初设计为模仿股票市场行情查看器,现已演变为能够伪装成其他良性应用程序(如 PDF 查看器和计算器)。该恶意软件包含 distinct 组件:STOCKSTAY.STOCKBROKER 负责网络通信,STOCKSTAY.STOCKMARKET 作为协调器负责配置和 C2 消息传递,STOCKSTAY.STOCKTRADER 负责在受感染主机上执行命令。STOCKSTAY.STOCKTRADER 支持多种操作,包括文件和注册表操作、命令执行以及系统信息收集。一个相关的下载器组件 STOCKSTAY.MARKETMAKER 已被观察到伪装成合法软件以建立持久化。该分析提供了观察时间线,并考察了 STOCKSTAY 与 KAZUAR 的相似之处,将其置于 Turla 不断演变的工具集背景中进行定位。