Головна мета цього вірусу — кібершпигунство за українськими військовими та державними органами, повідомляє The Hacker News.
Читайте также: Стартап Patronus AI залучив $50 млн на створення віртуальних світів для тестування ШІ-агентів
Описуючи цей Windows-бекдор як такий, що постійно вдосконалюється хакерським угрупованням, команда Google Threat Intelligence Group (GTIG) зазначила, що цей інструмент для кібершпигунства має значні збіги в коді та функціоналі з Kazuar — основним шпигунським софтом, який зловмисники використовують ще з 2017 року. Ймовірна діяльність із розробки цього шкідливого програмного забезпечення ведеться щонайменше з грудня 2022 року.
«STOCKSTAY — це багатокомпонентний бекдор, написаний на .NET з використанням фреймворку Windows Forms. Він взаємодіє зі своїм командним сервером (C2) через захищене WebSocket-з’єднання, використовуючи бібліотеку з відкритим кодом websocket-sharp, — повідомили в GTIG. — STOCKSTAY складається з кількох окремих компонентів, які взаємодіють між собою через канал міжпроцесної взаємодії (IPC), заснований на обміні повідомленнями WM_COPYDATA».
Вірус складається з кількох частин, які маскуються та ділять між собою роботу:
- спочатку вірус маскувався під програму для перегляду аналітики фондових ринків — саме тому він і отримав назву STOCKSTAY, пов’язану з біржами. Пізніше хакери почали маскувати його під звичайні калькулятори або програми для перегляду PDF-файлів;
- всередині програми є модуль, який відповідає за безпечне і зашифроване з’єднання з сервером хакерів. Завдяки шифруванню звичайні антивіруси не одразу помічають, що комп’ютер передає комусь секретні дані;
- головний шпигунський модуль вміє виконувати накази зловмисників. Він може видаляти файли, переглядати папки, копіювати документи та зчитувати інформацію із системи.
Щоб заманити жертв, хакери розсилали листи на тему освіти чи дипломатії. Головною мішенню стали українські військові та держоргани, хоча ранні версії цього вірусу також тестували на установах в Італії, Нідерландах, Польщі та Німеччині (конкретні європейські організації поки не називають).
Читайте также: Хакери атакували користувачів Polymarket і вкрали $3 млн у крипті
Однією з примітних особливостей цього шкідливого програмного забезпечення є те, що угруповання Turla використовувало його на кількох різних етапах своїх операцій: по-перше, як спосіб отримання первинного доступу до середовищ, які раніше не досліджувалися, і по-друге, на етапі після експлуатації після проведення розвідки для запуску на конкретному хості.
«Така конфігурація означає, що на цьому етапі зловмисник точно знає, на яку саме машину націлений, ймовірно, завдяки вже наявному доступу до цільового середовища», — пояснили в GTIG. Це спостерігалося в українських мережах, де STOCKSTAY розгортали наприкінці операції, яка до цього базувалася переважно на інших інструментах групи, таких як Kazuar.
Аналітики припускають, що хакери запускають STOCKSTAY паралельно з KAZUAR, аби просто протестувати свій новий вірус у реальних умовах. Найчастіше вони роблять це там, де відчувають, що їхній таємний доступ ось-ось викриють і закриють.
Читайте также: Консолі Xbox суттєво подорожчали через дефіцит компонентів та ШІ-бум на ринку пам’яті