2026-06-26

Googleがウクライナのスパイ攻撃に使用されるTurlaの新しいSTOCKSTAYバックドアを詳細に説明

Googleの脅威インテリジェンスグループは、ロシアの国家支援の脅威アクターであるTurlaが、ウクライナの政府および軍事組織に対して使用している新しい.NETバックドア「STOCKSTAY」を発表しました。このマルウェアは、Kazuarと呼ばれる既存のインプラントと多くのコードと機能の重複があり、2022年12月から開発が始まったとされています。STOCKSTAYは、複数のコンポーネントで構成され、セキュアなWebSocket接続を介してコマンド・アンド・コントロール(C2)と通信します。攻撃は、学術的または外交的なテーマを利用しており、特にウクライナの組織を標的にしています。

メトリクス

このニュースのスケール度合い

7.5 /10

インパクト

8.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

6.0 /10

主なポイント

  • STOCKSTAYは、Turlaによって開発された新しいバックドアであり、ウクライナの政府や軍事組織を標的にしています。
  • このマルウェアは、Kazuarと多くの共通点を持ち、複数のコンポーネントで構成されています。

社会的影響

  • ! このマルウェアの使用は、ウクライナの国家安全保障に深刻な脅威をもたらしています。
  • ! 国際的な外交関係にも影響を及ぼす可能性があり、特にイタリアの外交政策に関心を持つ組織が標的にされています。

編集長の意見

STOCKSTAYの登場は、サイバーセキュリティの観点から非常に重要な意味を持ちます。特に、Turlaのような国家支援の脅威アクターが新たなマルウェアを開発し、既存のツールと統合していることは、サイバー攻撃の進化を示しています。STOCKSTAYは、Kazuarと同様の設計思想を持ち、複数のコンポーネントが役割に応じて分かれている点が特徴です。このようなアプローチは、攻撃者が特定の環境に対して精密な攻撃を行うための柔軟性を提供します。さらに、STOCKSTAYは、ウクライナの政府機関を標的にした攻撃において、特に学術的または外交的なテーマを利用していることから、情報収集の目的が明確です。今後、STOCKSTAYのようなマルウェアがどのように進化し、他の攻撃手法と組み合わさるのかを注視する必要があります。また、企業や政府機関は、こうした脅威に対抗するための防御策を強化することが求められます。特に、フィッシング攻撃に対する教育や、セキュリティ対策の見直しが重要です。サイバーセキュリティの分野では、常に新しい脅威が出現しているため、最新の情報を把握し、適切な対策を講じることが不可欠です。

背景情報

  • i STOCKSTAYは、.NETで書かれたマルウェアで、Windows Formsフレームワークを使用しています。セキュアなWebSocket接続を介してC2と通信し、複数のコンポーネントが相互に通信します。
  • i このマルウェアは、最初は株式市場データ表示ツールを模倣するように設計され、その後、PDFビューアや計算機ユーティリティなどの無害なプログラムに偽装されました。