TokyoBlackHatNews

gbhackers.com 5分で読了

STOCKSTAYマルウェア、ステルス性を高めるWebSocket C2・RSA暗号化・環境依存キーイングを活用

STOCKSTAYとして追跡されている.NETバックドアの分析から、ロシアと関連するTurlaクラスターが少なくとも2022年12月以降、活発に開発・展開してきた成熟したモジュール型スパイインプラントの実態が明らかになりました。

STOCKSTAYは、ステルス性と持続性を最大化するために設計された複数の運用技術を備えています。セキュアなWebSocketベースのC2通信、4096ビットRSAキーペアによる非対称暗号化、コンポーネント間IPC、そして設定情報の環境依存キーイングなどがその特徴です。

これらの設計上の選択は、TurlaのKAZUARツールキットとのコード・アーキテクチャ上の重複とあわせて、STOCKSTAYが標的型偵察とデータ窃取に最適化された長年の国家ツールキットへの意図的な追加であることを示しています。

実行時、STOCKSTAYは機能を異なる.NETコンポーネントに分離しています。STOCKBROKER(ネットワークトンネラー)、STOCKMARKET(オーケストレーター/設定マネージャー)、そしてSTOCKTRADER(バックドア/タスク実行器)の3つで構成されます。

STOCKBROKERは、オープンソースのwebsocket-sharpライブラリのカスタムビルドを使用して、プロキシ経由のwss:// WebSocketセッションを確立します。これにより、ネットワークトラフィックをホスト上の通常のアクティビティから隔離しつつ、ペイロードのメッセージングを正規のWebSocketフローに紛れ込ませることが可能となっています。

STOCKMARKETは、株式市場や暗号資産サービスのメタデータに偽装されることが多い、ディスク上の暗号化された設定ファイルを読み込みます。その設定にはC2エンドポイント、内部サーバー識別子、および操作ウィンドウと環境依存キーイングを制御するフラグが含まれています。

Google CloudがGBhackersと共有したレポートによると、STOCKSTAYはWindows Formsフレームワークを使用して.NETで記述されたマルチコンポーネント型バックドアであり、セキュアなWebSocket接続を通じてC2(コマンド&コントロール)と通信するとのことです。

Image

初回実行時、インプラントは一意の4096ビットRSAキーペアを生成し、その公開鍵をアップストリームインフラに送信します。これにより、送信されるタスクの結果をサーバー側で暗号化でき、トラフィックがサードパーティのホスティングプラットフォームを経由する場合でも機密性が確保されます。

STOCKSTAYマルウェアのWebSocket C2活用

攻撃者が実装したC2サーバーは軽量でWebSocket優先の設計となっています。GTIGは公開GitHubリポジトリにてPython Tornadoベースのコントローラーを発見し、攻撃者がこれらのコントローラーをRenderやglitch.meなどのサードパーティプラットフォーム上にホスティングしていることを確認しました。これにより、テイクダウンや帰属分析が困難になっています。

サーバーはメッセージストアとして機能し、暗号化されたメッセージをローカルのSQLiteデータベースに挿入することで、オペレーターのコントローラーとエッジ向けWebSocketリレーを分離しています。

このマルチホップ設計はKAZUARのインフラモデルを踏襲しており、運用上の柔軟性も高めています。オペレーターは、送信元や復号可能なペイロードをプラットフォームプロバイダーにさらすことなく、暗号化されたタスクを中間インフラに送信することができます。

STOCKSTAYの環境依存キーイングの使用は特筆すべき点です。設定の復号にはホスト属性(ホスト名、ドメイン、場合によってはユーザー名)から導出されたハッシュが必要となる場合があり、意図した環境の外ではペイロードがC2の場所や操作の詳細を明かさない仕組みになっています。

Image

GTIGは2つの運用パターンを観察しました。一つは、攻撃者がターゲットについて深い知識を持っていない段階で、抽出可能なデフォルトパスワードを使用して足がかりを得る初期展開パターンです。もう一つは、事前偵察によって特定のホストまたはドメインに実行を限定する精密な環境依存キーイングを設定した後期展開パターンです。

機能面では、STOCKTRADERはスパイ活動に必要な一連のプリミティブをすべてサポートしています。ファイル収集(選択的な取得とメモリ内圧縮)、リモート実行、レジストリ操作、画面キャプチャ、ディレクトリ列挙、マルチタスクのオーケストレーションなどが含まれます。

インプラントはRSAキーを使用して送信ペイロードを暗号化し、送信前にメッセージをBase64でエンコードすることで、平文のアーティファクトを最小限に抑えています。

攻撃者はさらに、学術・外交的なテーマを用いた囮ルアー、悪意のあるRDPファイル、もっともらしい製品名を持つMSIファイルなどを活用してフィッシングや初期アクセスのキャンペーンを誘導しています。主な標的はウクライナ政府・軍関連組織と、一部の欧州外交政策関係者です。

コードレベルでのKAZUARとの関連性は明確です。同一のマルチコンポーネントによる役割分離、共有された文字列難読化技術(Squirrel3ベースのK1MORPHERルーチンを含む)、.NET開発パターンの再利用などが確認されています。

GTIGは中程度の信頼度で、共通の開発者またはチームが両プロジェクトにわたって開発を繰り返していると評価しています。

翻訳元: https://gbhackers.com/stockstay-malware-uses-websocket-c2/

ソース: gbhackers.com
#Kazuar #RSA暗号化 #STOCKSTAY #Turla #WebSocket C2 #ウクライナ標的攻撃 #サイバースパイ #バックドア #マルウェア #環境依存キーイング

関連記事

Splunk Secure GatewayのRCE脆弱性、低権限の攻撃者による任意コード実行が可能に

HoppscotchにCVE-2026-50160の深刻な脆弱性、JWT_SECRETの上書きと管理者トークン偽造が可能に

ClawHavoc攻撃がClawHubを直撃——悪意あるスキル1,184件、インストール数24万7,000件超