Stockstay

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.