Команда Google Threat Intelligence виявили нову шпигунську програму під назвою STOCKSTAY. Її створило відоме російське хакерське угруповання Turla, яке пов’язують із російськими спецслужбами.
Команда Google Threat Intelligence виявили нову шпигунську програму під назвою STOCKSTAY. Її створило відоме російське хакерське угруповання Turla, яке пов’язують із російськими спецслужбами.
Головна мета цього вірусу — кібершпигунство за українськими військовими та державними органами, повідомляє The Hacker News.
Описуючи цей Windows-бекдор як такий, що постійно вдосконалюється хакерським угрупованням, команда Google Threat Intelligence Group (GTIG) зазначила, що цей інструмент для кібершпигунства має значні збіги в коді та функціоналі з Kazuar — основним шпигунським софтом, який зловмисники використовують ще з 2017 року. Ймовірна діяльність із розробки цього шкідливого програмного забезпечення ведеться щонайменше з грудня 2022 року.
«STOCKSTAY — це багатокомпонентний бекдор, написаний на .NET з використанням фреймворку Windows Forms. Він взаємодіє зі своїм командним сервером (C2) через захищене WebSocket-з'єднання, використовуючи бібліотеку з відкритим кодом websocket-sharp, — повідомили в GTIG. — STOCKSTAY складається з кількох окремих компонентів, які взаємодіють між собою через канал міжпроцесної взаємодії (IPC), заснований на обміні повідомленнями WM_COPYDATA».
Вірус складається з кількох частин, які маскуються та ділять між собою роботу:
Щоб заманити жертв, хакери розсилали листи на тему освіти чи дипломатії. Головною мішенню стали українські військові та держоргани, хоча ранні версії цього вірусу також тестували на установах в Італії, Нідерландах, Польщі та Німеччині (конкретні європейські організації поки не називають).
Однією з примітних особливостей цього шкідливого програмного забезпечення є те, що угруповання Turla використовувало його на кількох різних етапах своїх операцій: по-перше, як спосіб отримання первинного доступу до середовищ, які раніше не досліджувалися, і по-друге, на етапі після експлуатації після проведення розвідки для запуску на конкретному хості.
«Така конфігурація означає, що на цьому етапі зловмисник точно знає, на яку саме машину націлений, ймовірно, завдяки вже наявному доступу до цільового середовища», — пояснили в GTIG. Це спостерігалося в українських мережах, де STOCKSTAY розгортали наприкінці операції, яка до цього базувалася переважно на інших інструментах групи, таких як Kazuar.
Аналітики припускають, що хакери запускають STOCKSTAY паралельно з KAZUAR, аби просто протестувати свій новий вірус у реальних умовах. Найчастіше вони роблять це там, де відчувають, що їхній таємний доступ ось-ось викриють і закриють.
