STOCKSTAY backdoor
A Google Threat Intelligence Group (GTIG) elemzése a STOCKSTAY néven követett .NET-alapú back door-t mutat be, amelyet nagy bizonyossággal az orosz Turla (Secret Blizzard, VENOMOUS BEAR, UAC-0194) APT-csoport fejlesztett és használ legalább 2022 decembere óta. A malware-t ukrán kormányzati és katonai szervezetek, valamint az olasz külpolitikával foglalkozó intézmények ellen vetették be kiberkémkedési célból. A kutatók szerint a STOCKSTAY jelentős forráskód- és funkcionális hasonlóságot mutat a Turla által korábban használt KAZUAR implantátummal, ami erős attribúciós bizonyítékot jelent. A backdoor több komponensből álló, Windows Forms alapú .NET alkalmazás, amely titkosított WebSocket kapcsolaton keresztül kommunikál a vezérlőszerverrel, míg a komponensek egymás között WM_COPYDATA alapú interprocessz kommunikációt használnak. A különböző verziók legitim alkalmazásoknak – például tőzsdei elemzőprogramnak, PDF-megjelenítőnek vagy számológépnek – álcázzák magukat, hogy csökkentsék a gyanút.
A jelentés részletesen ismerteti a malware moduláris felépítését és működését. A MarketMaker komponens proxyt is kezelő letöltőként biztosítja a telepítést és a frissítéseket, míg a fő implantátum távoli parancsvégrehajtást, fájlkezelést, további modulok letöltését és a kompromittált rendszer felderítését támogatja. A Turla egyes esetekben ismert sérülékenységek kihasználásával, máskor katonai témájú csaliállományokkal – például egy UAV Report dokumentummal – vették célba az ukrán fegyveres erőket. A GTIG szerint a csoport nem teljesen új malware-eket készít, hanem korábbi, bevált eszközeit fejleszti tovább, megőrizve azok architekturális elemeit és működési módszereit.
A jelentés részletes IOC-kat, YARA-szabályokat, valamint a teljes támadási lánc technikai elemzését is közzéteszi.
