B
今週中
ロシアのFSBに関連するAPTグループ「Turla」が、ウクライナの政府および軍事組織を標的とした新しい.NET製バックドア「StockStay」を配備している…
📌 一言でいうと
ロシアのFSBに関連するAPTグループ「Turla」が、ウクライナの政府および軍事組織を標的とした新しい.NET製バックドア「StockStay」を配備していることが判明しました。このマルウェアは当初、株価データ閲覧ツールやPDFビューア、計算機などの正当なソフトに偽装して侵入します。C&C通信にはWebSocketを利用しており、長期的なサイバー espionage(諜報活動)を目的として設計されています。
🔍該当判定
- ウクライナの政府機関または軍事組織と取引・連携がある
- イタリアの外交政策に関わる業務や活動を行っている
- 社内で「株価データ閲覧ツール」「PDFビューア」「計算機」を装った不審なソフトをインストールした心当たりがある
- ロシア系ハッカー集団(Turla/Krypton等)による標的型攻撃の対象となる機密情報を扱っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審な実行ファイルや、正当なツール(PDFビューアや計算機など)を装った未知のソフトウェアのインストールを禁止し、エンドポイントでの挙動監視(EDR)を強化してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ロシア系APT「Turla」による新バックドア「StockStay」について
お疲れさまです。Turlaによる新たな攻撃キャンペーンに関する情報共有です。
■ 概要
ロシアのFSBに関連するAPTグループTurlaが、.NETで開発された新バックドア「StockStay」をウクライナ等の標的に展開しています。本マルウェアはPDFビューアや計算機などのユーティリティに偽装し、WebSocket(websocket-sharpライブラリ)を用いてC&C通信を行うのが特徴です。
■ 影響範囲
- ウクライナ政府・軍事組織、および特定の外交政策関連団体
- .NETランタイムが動作するWindows環境
■ 対応手順
1. ネットワークトラフィックにおいて、不審なWebSocket通信(特に未知の外部ドメインへの接続)がないか監視を強化してください。
2. ユーザーによる未承認のユーティリティソフト(計算機やPDFビューア等)のインストール制限を徹底してください。
3. EDRにて、正当なプロセスを装った不審な.NETバイナリの挙動を検知・ブロックする設定を確認してください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) Report
対応優先度: 中
対応期限: 継続的な監視
お疲れさまです。Turlaによる新たな攻撃キャンペーンに関する情報共有です。
■ 概要
ロシアのFSBに関連するAPTグループTurlaが、.NETで開発された新バックドア「StockStay」をウクライナ等の標的に展開しています。本マルウェアはPDFビューアや計算機などのユーティリティに偽装し、WebSocket(websocket-sharpライブラリ)を用いてC&C通信を行うのが特徴です。
■ 影響範囲
- ウクライナ政府・軍事組織、および特定の外交政策関連団体
- .NETランタイムが動作するWindows環境
■ 対応手順
1. ネットワークトラフィックにおいて、不審なWebSocket通信(特に未知の外部ドメインへの接続)がないか監視を強化してください。
2. ユーザーによる未承認のユーティリティソフト(計算機やPDFビューア等)のインストール制限を徹底してください。
3. EDRにて、正当なプロセスを装った不審な.NETバイナリの挙動を検知・ブロックする設定を確認してください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) Report
対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] New .NET Backdoor 'StockStay' deployed by Turla
Dear team,
We are sharing intelligence regarding a new campaign by the Russia-linked APT group Turla.
■ Overview
Turla has deployed a .NET-based backdoor known as 'StockStay'. The malware masquerades as legitimate utilities (e.g., PDF viewers, calculators) and utilizes secure WebSocket connections via the 'websocket-sharp' library for C&C communication, aimed at long-term espionage.
■ Scope
- Ukrainian government/military and entities interested in Italian foreign policy.
- Windows environments running .NET.
■ Recommended Actions
1. Enhance monitoring for anomalous WebSocket traffic to unknown external endpoints.
2. Enforce strict application whitelisting to prevent the execution of unauthorized utility software.
3. Configure EDR to detect and block suspicious .NET binaries masquerading as common system tools.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: Medium
Deadline: Ongoing monitoring
Dear team,
We are sharing intelligence regarding a new campaign by the Russia-linked APT group Turla.
■ Overview
Turla has deployed a .NET-based backdoor known as 'StockStay'. The malware masquerades as legitimate utilities (e.g., PDF viewers, calculators) and utilizes secure WebSocket connections via the 'websocket-sharp' library for C&C communication, aimed at long-term espionage.
■ Scope
- Ukrainian government/military and entities interested in Italian foreign policy.
- Windows environments running .NET.
■ Recommended Actions
1. Enhance monitoring for anomalous WebSocket traffic to unknown external endpoints.
2. Enforce strict application whitelisting to prevent the execution of unauthorized utility software.
3. Configure EDR to detect and block suspicious .NET binaries masquerading as common system tools.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: Medium
Deadline: Ongoing monitoring