C
月内に
ロシアのAPTグループTurla(別名UAC-0194, Secret Blizzard)が、ウクライナ政府や軍事組織、イタリアの外交関連組織を標的にした間諜活…
📌 一言でいうと
ロシアのAPTグループTurla(別名UAC-0194, Secret Blizzard)が、ウクライナ政府や軍事組織、イタリアの外交関連組織を標的にした間諜活動に後門プログラム「StockStay」を使用していることが判明しました。StockStayは.NETで開発されたバックドアで、WebSocket通信を用いてC2サーバーと通信します。当初は株式データ閲覧ツールを装っていましたが、2025年にはPDFビューアや計算機などのアプリケーションに偽装して配布されています。
🔍該当判定
- ウクライナ政府機関、軍事組織、またはイタリアの外交政策に関わる組織で業務を行っている
- 社員が「株価データ閲覧ツール」「PDFビューア」「計算機」などの名目で、出所不明なWindows用ソフトをインストールした
- 社内ネットワークで「websocket-sharp」というライブラリを使用した不審な通信が発生している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なアプリケーション(偽装されたPDFビューアや計算機など)のインストールを禁止し、エンドポイントでの不審なWebSocket通信を監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ロシア系APT「Turla」による新バックドアStockStayについて
お疲れさまです。Turlaによる間諜活動に関する情報共有です。
■ 概要
ロシアのAPTグループTurlaが、ウクライナおよびイタリアの政府・外交組織を標的に、.NET製のバックドア「StockStay」を運用していることがGoogle GTIGにより報告されました。本ツールはWebSocketを用いてC2通信を行い、PDFビューアや計算機などの正規アプリに偽装して配布される傾向があります。
■ 影響範囲
- Windows環境(.NET Frameworkベースのアプリケーション)
- 政府機関、外交・軍事関連組織
■ 対応手順
1. エンドポイントにおける不審な.NETバイナリの実行監視を強化してください。
2. 外部への不審なWebSocket通信(C2通信)の有無を確認してください。
3. ユーザーに対し、出所不明なユーティリティソフト(計算機やPDFビューア等)をインストールしないよう周知してください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 中
対応期限: 継続的な監視
お疲れさまです。Turlaによる間諜活動に関する情報共有です。
■ 概要
ロシアのAPTグループTurlaが、ウクライナおよびイタリアの政府・外交組織を標的に、.NET製のバックドア「StockStay」を運用していることがGoogle GTIGにより報告されました。本ツールはWebSocketを用いてC2通信を行い、PDFビューアや計算機などの正規アプリに偽装して配布される傾向があります。
■ 影響範囲
- Windows環境(.NET Frameworkベースのアプリケーション)
- 政府機関、外交・軍事関連組織
■ 対応手順
1. エンドポイントにおける不審な.NETバイナリの実行監視を強化してください。
2. 外部への不審なWebSocket通信(C2通信)の有無を確認してください。
3. ユーザーに対し、出所不明なユーティリティソフト(計算機やPDFビューア等)をインストールしないよう周知してください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] Russian APT Turla utilizing StockStay Backdoor
Dear team,
We are sharing intelligence regarding the Russian APT group Turla's use of the 'StockStay' backdoor.
■ Overview
Google GTIG has revealed that Turla (UAC-0194/Secret Blizzard) is deploying a .NET-based backdoor named StockStay for espionage. The malware uses WebSocket communication for C2 and is distributed by masquerading as legitimate tools such as PDF viewers, calculators, or stock market data tools.
■ Scope
- Windows environments (.NET Framework)
- Government, military, and foreign policy organizations
■ Recommended Actions
1. Enhance monitoring for suspicious .NET binary executions on endpoints.
2. Audit network traffic for anomalous WebSocket connections to external C2 servers.
3. Advise users against installing unverified utility software.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: Medium
Deadline: Ongoing monitoring
Dear team,
We are sharing intelligence regarding the Russian APT group Turla's use of the 'StockStay' backdoor.
■ Overview
Google GTIG has revealed that Turla (UAC-0194/Secret Blizzard) is deploying a .NET-based backdoor named StockStay for espionage. The malware uses WebSocket communication for C2 and is distributed by masquerading as legitimate tools such as PDF viewers, calculators, or stock market data tools.
■ Scope
- Windows environments (.NET Framework)
- Government, military, and foreign policy organizations
■ Recommended Actions
1. Enhance monitoring for suspicious .NET binary executions on endpoints.
2. Audit network traffic for anomalous WebSocket connections to external C2 servers.
3. Advise users against installing unverified utility software.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: Medium
Deadline: Ongoing monitoring