ロシア連邦保安庁(FSB)との関与が公式に指摘されているロシア国家支援型脅威アクター「Turla」が、STOCKSTAYと呼ばれる高度な.NETバックドアを積極的に展開していることが明らかになりました。
Google脅威インテリジェンスグループ(GTIG)の調査によると、このマルウェアはウクライナの政府・軍事関連組織、およびイタリアの外交政策に関与する組織を標的にしたサイバースパイ活動に主として使用されています。
STOCKSTAYは設定の自由度が高い多コンポーネント型マルウェアです。当初は株式市場データビューアを装っていましたが、最近の亜種ではPDFビューアや電卓に偽装するケースも確認されています。
このバックドアは安全なWebSocket接続を介してC2(コマンド&コントロール)サーバーと通信しており、セキュリティアラートの発動を回避するためネットワーク処理を独立したコンポーネントに分離しています。
セキュリティ研究者は、STOCKSTAYがTurlaの旧来のツールキットであるKAZUARと機能面・コード面で多くの共通点を持つことを確認しています。
両マルウェアファミリーはいずれも最近、K1MORPHERと呼ばれる独自の文字列難読化機構を導入しており、アンチウイルスソフトウェアによる検出の回避に利用されています。
Turlaはこれらの侵害を、外交・学術・軍事をテーマにした囮文書を組み込んだ高度にカスタマイズされたスピアフィッシングキャンペーンによって開始します。
2025年11月に実施された作戦では、攻撃者が軍用ドローンのレポートに関するウクライナ語のメールを送信しており、悪意あるRARアーカイブが添付されていました。
これらのアーカイブはWinRARの重大なパストラバーサル脆弱性(CVE-2025-8088)を悪用し、STOCKSTAYのペイロードをWindowsのスタートアップフォルダに密かに投下するものでした。Googleが発表しています。
正規の企業ネットワークトラフィックにさらに溶け込ませるため、脅威アクターはGitHubやWebホスティングサービスのRenderといった開発者向けプラットフォームを経由してC2通信をルーティングしていました。
このマルウェアは攻撃の後期段階において、環境キーイングと呼ばれる手法も使用します。
このセキュリティ機構により、ペイロードは標的となったウクライナのネットワーク固有のドメイン名またはホスト名を検出した場合にのみ復号・実行されます。これにより、セキュリティ研究者が意図された環境の外でツールを解析することを困難にしています。
翻訳元: https://cyberpress.org/turla-stockstay-targets-ukraine/
