architect

STOCKSTAY Egy újabb nap: Turla hírszerzési rendszere legújabb kiegészítése

Forrás: cloudblog.withgoogle.com 5 perc olvasás

Megosztás

STOCKSTAY Egy újabb nap: Turla hírszerzési rendszere legújabb kiegészítése

Összefoglalót olvas. A teljes tartalom itt érhető el: cloudblog.withgoogle.com.

Írta: Jordan Jones

Bevezetés

A Google Fenyegetés-Intelligencia Csoport (GTIG) alapos elemzést végzett egy .NET hátsóajtóról, amelyet STOCKSTAY néven követnek nyomon, és amelyet a Turla (más néven SUMMIT, Secret Blizzard, VENOMOUS BEAR, UAC-0194) nevű, Oroszországhoz köthető fenyegető szereplő folyamatosan fejlesztett és telepített legalább 2022 decembere óta. A Turla a STOCKSTAY-t ukrán kormányzati és katonai szervezetek, valamint Olaszország külpolitikájához kapcsolódó érdekelt felek ellen telepítette. Ezt a hátsóajtót folyamatos kiberkémkedésre használják, jelentős kód- és funkcionális átfedéseket mutat a KAZUAR nevű, korábban a Turla-hoz attribuált sikeres eszközkészlettel. A csoportnak hosszú története van a különböző iparágak célzásában, különös figyelmet fordítva a nyugati külügyi minisztériumokra és a védelmi szervezetekre a fokozott politikai feszültségek kontextusában. A Turla-t, különösen a hosszú ideje használt Snake beépülő modulját, az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) nyilvánosan Oroszország Szövetségi Biztonsági Szolgálata (FSB) 16. központjának tulajdonította. A Turla az egyik legrégebbi ismert kiberkémkedő csoport, amelynek gyanított aktivitása legalább 2004-re nyúlik vissza. A fenyegető szereplő aktív marad és tovább fejleszti szállítási módszereit, amit az is mutat, hogy specializált szkripteket telepít az üzenetek megszakítására a Signal Messenger felhasználói számára, örökli a régi bűnözői botneteket az ukrán szervezetek célzására, és legutóbbi kampányai során a katonai védelmi szektorokat célozza meg a rendkívül kifinomult KAZUAR eszközkészlettel. Ennek a csoportnak a folyamatos nyomon követése részeként ez a blogbejegyzés áttekintést nyújt a STOCKSTAY elemzésünkről, tartalmaznak egy idővonalat a kulcsfontosságú fejlesztési és működési megfigyelésekről, és megvizsgálja a KAZUAR-ral való hasonlóságait, hogy kontextusba helyezze ezt az új képességet Turla folyamatosan bővülő arzenáljában.

STOCKSTAY Áttekintés

A STOCKSTAY egy többkomponensű hátsóajtó, amely .NET nyelven készült, a Windows Forms keretrendszert használja, és biztonságos WebSocket kapcsolaton keresztül kommunikál a parancs- és vezérlő (C2) rendszerével, kihasználva az open-source websocket-sharp könyvtárat. A STOCKSTAY több különböző összetevőből áll, amelyek interprocess kommunikációs (IPC) csatornán keresztül kommunikálnak egymással, a WM_COPYDATA üzenetek cseréjén alapulva. A STOCKSTAY-t eredetileg úgy tervezték, hogy tőzsdei adatok megjelenítésére álcázza magát, ezt a megtévesztést mind a fájlnevében, mind a beépülő modul konfigurációjának, vezérlő üzeneteinek és válaszadatainak tárolásában megjeleníti. Míg a GTIG által megfigyelt malware kezdeti verziói megőrizték ennek a rejtőzködésnek a belső aspektusait, 2025-ben azonosítottuk a STOCKSTAY változatait, amelyek más ártalmatlan alkalmazások, például PDF megjelenítők és kalkulátor segédprogramok álcáját öltötték.

STOCKSTAY.STOCKBROKER

A STOCKSTAY.STOCKBROKER egy proxy-tudatos alagút, amely hálózati kommunikációs képességeket biztosít a STOCKSTAY ökoszisztéma számára. A STOCKSTAY.STOCKBROKER, belsőleg „net”-ként emlegetve, utasítható egy biztonságos WebSocket kapcsolat létrehozására egy megadott távoli szerverhez, ezután reléként működik a szerver és a STOCKSTAY.STOCKMARKET szervező között. Ennek eredményeként a STOCKSTAY és a konfigurált C2 szerver közötti összes C2 kommunikációt a STOCKSTAY.STOCKBROKER kezel, izolálva a malware hálózati kommunikációját a fertőzött gépen található egyéb rosszindulatú tevékenységektől.

STOCKSTAY.STOCKMARKET

A STOCKSTAY.STOCKMARKET, belsőleg „cor”-nak nevezett, a STOCKSTAY ökoszisztéma szervezője, és lehetővé teszi a beépülő modul konfigurálhatóságát. A malware konfigurációját egy titkosított lemezen található konfigurációs fájlból tölti be, amely számos opciót tartalmaz a malware végrehajtásával kapcsolatban, beleértve a STOCKSTAY.STOCKBROKER által igényelt távoli WebSocket szerver részleteit. A konfigurációs fájl megpróbálja álcázni magát egy legális fájlként, beleértve különböző legális URL-eket, amelyek a kriptovaluta piacokhoz kapcsolódnak, valamint hamis leírásokat a konfigurációs mezők minden egyes mezőjéhez.

A STOCKSTAY.STOCKMARKET kommunikál a STOCKSTAY.STOCKBROKER-rel, hogy részleteket szolgáltasson a WebSocket szerverről, és ezt követően üzeneteket küldjön és fogadjon a létrehozott WebSocket kapcsolaton keresztül, amelyek általában végrehajtott parancsok eredményeit tartalmazzák.

A STOCKSTAY.STOCKMARKET szintén kommunikál a STOCKSTAY.STOCKTRADER komponenssel, hogy parancsokat adjon ki a fertőzött gazdagépen végrehajtásra. Először is végrehajtáskor a STOCKSTAY.STOCKMARKET generál egy egyedi 4096 bites RSA kulcspárt, amelyet a beépülő modul életciklusában használnak az outbound adatok titkosítására, mielőtt azokat WebSocket-en keresztül küldenék. A beépülő modul nyilvános kulcsa a malware első kérésével együtt küldi el a szervernek, lehetővé téve a szerver számára, hogy dekódolja a feladatválaszokat.

STOCKSTAY.STOCKTRADER

A STOCKSTAY.STOCKTRADER, belsőleg „sys”-nek nevezett, a STOCKSTAY ökoszisztéma hátsóajtó komponense, és egy sor registry, fájl- és parancs végrehajtási műveletet támogat a fertőzött gazdagépen.

Kapcsolódó Letöltők és Telepítők

STOCKSTAY.MARKETMAKER

A STOCKSTAY.MARKETMAKER egy proxy-tudatos letöltő, amely .NET nyelven készült, a Windows Forms keretrendszert használva, további payloadokat tölt le és bont ki egy távoli szerverről, és tartós működést alakít ki a Windows registry módosításain keresztül, miközben a háttérben csendben fut, felhasználói felület nélkül.

STOCKSTAY Szerveroldali Vezérlő

A GTIG azonosított egy nyilvánosan elérhető GitHub repozitóriumot, amely egy Python implementációt tartalmaz a STOCKSTAY WebSocket szerver vezérlőjéről, ami a sértett felhasználók számára elérhető.

Működési Jellemzők

A STOCKSTAY működésével kapcsolatos elemzés során a GTIG megfigyelte, hogy a fenyegető szereplők integrálják az akadémiai és diplomáciai tartalmakat az infrastruktúrájukba és megtévesztő/távolsági tartalmaikba, beleértve:

Folyamatos ukrán célzás

A STOCKSTAY műveletek jelentős része a GTIG által megfigyelt kormányzati vagy katonai szervezetek célzására irányult Ukrajnában, összhangban az orosz érdekekkel a két ország közötti folyamatos konfliktus során.

A Gyanús európai célzás

A GTIG által megfigyelt kisebb számú STOCKSTAY művelet úgy tűnik, hogy európai entitások célzására irányult.

1985. április 5. - számítógépes kaland

A GTIG azonosította, ahogy a fenyegető szereplők STOCKSTAY-t használnak a műveleteik különböző stádiumaiban.

A KAZUAR összekapcsolásai

A GTIG megállapítja, hogy a STOCKSTAY és a KAZUAR részben egy közös fejlesztő vagy csapat által lett fejlesztve.

STOCKSTAY Idővonal

A GTIG alapos nyomozást folytatott a STOCKSTAY történetével kapcsolatban, gyanított fejlesztési aktivitását 2022 decemberéig visszamenőleg azonosítva.

Projektek és javaslatok

A STOCKSTAY ökoszisztéma és a kapcsolódó tevékenységek a Turla által összekapcsolt fenyegetési klaszterekhez tartoznak, beleértve a Windows-1251 kódolás használatát.

Köszönetnyilvánítás

Ez az elemzés nem valósulhatott volna meg Gabby Roncone technikai véleménye nélkül.

A teljes cikk az eredeti weboldalon

Külső link: cloudblog.withgoogle.com

Kapcsolódó cikkek