北京
一个表面模仿股票行情查看工具的Windows程序,背后藏着一整套针对政府与军方的网络窃密组件。Google威胁情报团队最新报告,将俄罗斯国家支持的APT组织Turla与一个此前未被记录的.NET后门关联到一起,该后门代号STOCKSTAY,已在乌克兰的政府、军事目标以及关注意大利外交政策的实体中多次出现。
研究人员指出,这个Windows后门被不断迭代开发,与Turla自2017年起使用的核心植入程序Kazuar共享大量代码与功能逻辑,恶意软件的开发活动最早可追溯到2022年12月。STOCKSTAY是一个用.NET编写、基于Windows Forms框架的多组件后门,它借助开源库websocket-sharp,通过安全WebSocket连接与命令控制服务器通信。各组件之间则依靠交换WM_COPYDATA消息的进程间通信通道实现协作。
最令人意外的是它的伪装思路。分析显示,该植入程序最初被设计成股票市场数据查阅工具的界面,之后再改头换面,冒充PDF阅读器、计算器等无害程序,大幅降低目标戒备。真正的恶意活动由STOCKSTAY.MARKETMAKER这个下载器组件启动,它会安装并执行三套功能模块。
第一套STOCKSTAY.STOCKBROKER是感知代理的隧道模块,负责建立到远程服务器的WebSocket安全连接,为整个STOCKSTAY套件提供网络通信能力。第二套STOCKSTAY.STOCKTRADER是核心后门,承担信息收集与指令执行任务。第三套STOCKSTAY.STOCKMARKET则扮演调度者,解析后门配置,设定WebSocket服务器地址、轮询间隔、休息日等执行选项,同时与STOCKBROKER交互以获取服务器详情并接收消息,再向STOCKTRADER下达具体操作指令。
STOCKTRADER支持的指令集相当完整,几乎可以完全接管受感染主机。它能够删除或创建文件与目录、读取和上传文件、截取屏幕画面、读写注册表、启动新进程、提取系统信息、解压ZIP压缩包,甚至通过MultyTask命令一次性执行由分号分隔的一连串任务。这种模块化分工加上精细的调度机制,令间谍活动可以在长时间内隐蔽运作。
Google还提到,他们发现了一个公开的GitHub仓库,可能与后门的存放或测试有关联,但目前披露的信息仅止于此,更多技术细节仍有待后续公开。对于那些面对这类高级持续性威胁的机构,眼前这份剖析更像一扇窗口,让人看清一个顶级APT组织如何把老练的代码伪装成本分的样子,然后安静地潜伏在目标的日常操作里。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
