Google Threat Intelligence Group(GTIG)は、ロシアの国家支援型ハッカー集団Turlaが使用する新たなバックドア「STOCKSTAY」の詳細な分析結果を公開しました。このマルウェアは、主にウクライナの政府機関や軍事組織、さらにはイタリアの外交政策に関心を持つ団体を標的としたサイバー攻撃に利用されており、その巧妙な手口が明らかになっています。
STOCKSTAYの構造と機能:Googleが分析した新型バックドア
Googleの分析によると、STOCKSTAYは.NETフレームワークで開発された多機能なバックドアで、Windows Formsを使用して構築されています。このマルウェアは、セキュアなWebSocket接続を介してコマンド&コントロール(C2)サーバーと通信し、オープンソースのwebsocket-sharpライブラリを活用しています。複数の独立したコンポーネントで構成されており、これらはWindowsのWM_COPYDATAメッセージを利用したプロセス間通信(IPC)を通じて連携しています。
当初、STOCKSTAYは株価データ表示ツールを装うよう設計されていたとみられていますが、その後、PDFビューアや電卓といった無害なプログラムに偽装する形に改変されました。
このバックドアは主に以下の4つのモジュールで構成されています。
- STOCKSTAY.MARKETMAKER:マルウェアの最初の侵入点となるダウンローダーです。
- STOCKSTAY.STOCKBROKER:広範なSTOCKSTAYスイートのネットワーク通信を担うプロキシ対応トンネラーで、指定されたリモートサーバーとのセキュアなWebSocket接続を確立します。
- STOCKSTAY.STOCKTRADER:システムの情報を収集する主要なバックドア機能を提供します。
- STOCKSTAY.STOCKMARKET:マルウェアの実行に関する様々な設定(WebSocketサーバー、通信間隔、動作しない曜日など)を解析・設定するオーケストレーター(制御役)です。STOCKBROKERと通信してサーバー情報を提供し、WebSocket接続経由でメッセージを受信します。また、STOCKTRADERにコマンドを発行し、侵害されたホストで実行させます。
特に、STOCKSTAY.STOCKTRADERは多様なコマンドを実行可能です。例えば、指定されたファイルの削除、ディレクトリの列挙や作成・削除、特定のファイル拡張子に一致するファイルの取得、デバイスのスクリーンショット撮影、複数のタスクの一括実行、ファイルのアップロード、Windowsレジストリ値の読み取り・削除・設定、新しいプロセスの実行、システム情報の収集、指定されたZIPファイルの展開などが挙げられます。
Googleは、被害者側のSTOCKSTAY WebSocketサーバーコントローラーのPython実装を含むGitHubリポジトリ("ChikenFresh/google-ai-labs-it")も特定しました。このサーバーは、クライアントからの受信メッセージを処理し、IPアドレスを記録する役割を担っています。サーバーが受信メッセージを復号できないため、プラットフォーム運営者による内部調査が妨げられ、攻撃者のインフラの場所がさらに隠蔽されるとGTIGは指摘しています。このアーキテクチャは、Turlaが使用する多段階のKazuar C2インフラに類似しているとのことです。
TurlaによるSTOCKSTAYの攻撃手法と展開
Turlaは、STOCKSTAYを配布するサイバー攻撃において、一貫して学術的または外交的なテーマの誘惑(ルアー)を利用し、ウクライナの政府および軍事組織を標的にしてきました。初期バージョンのバックドアは、イタリア、オランダ、ポーランド、ドイツの組織を狙った攻撃にも使われていたと報じられています。
マルウェアの開発活動は2022年12月頃に遡るとされており、攻撃者は様々な手法でSTOCKSTAYを標的システムに送り込んでいます。2025年初頭に確認された事例では、Turlaの攻撃者は悪意のあるRDPファイルが添付されたフィッシングメールを利用したとされています。このファイルを開くと、被害者のデバイスと攻撃者管理下のインフラとの間に接続が確立され、STOCKSTAYを含む追加のペイロードが展開される仕組みです。
さらに、2025年11月には、ウクライナを標的としたフィッシングキャンペーンで、WinRARの脆弱性CVE-2025-8088を悪用するRARアーカイブを介してマルウェアが配布されました。この脆弱性は、Sandworm、Gamaredon、RomComといった他のロシア系ハッカー集団にも悪用されています。
他にも、MSIインストーラー(一部はGitHubでホストされていた)や、HTMLアプリケーション(HTA)スクリプトを含むRARファイルが攻撃に用いられています。HTAスクリプトはSTOCKSTAY.MARKETMAKERの亜種を実行するように設計されており、その後ダウンローダーは侵害されたWordPressインスタンスでホストされているメインのSTOCKSTAYコンポーネントを含むZIPアーカイブを取得します。
このマルウェアの特筆すべき点は、Turlaの作戦の複数の段階で利用されていることです。これまでプロファイルされていない環境への初期アクセスを得る手段として、また、偵察後に特定のホストで実行するためのポストエクスプロイト段階でも展開されています。GTIGは、この構成は攻撃者が標的環境への既存のアクセスを通じて、どのマシンが標的であるかを正確に把握していることを示唆していると説明しています。これは、ウクライナのネットワーク内で、Turlaが以前から多用していたKazuarなどのツールに大きく依存していた作戦の終盤にSTOCKSTAYが展開された事例で確認されています。
STOCKSTAYと既存マルウェア『Kazuar』の関連性
STOCKSTAYは、Turlaが2017年以降使用している主要なインプラントである「Kazuar」と、コードおよび機能において多くの重複が見られます。特に、異なるコンポーネント間で責任がどのように分担されているかに類似性があるとのことです。KazuarにおけるKernel、Bridge、Workerモジュールの使用は、Microsoft Threat Intelligenceチームによって詳細に分析されています。
STOCKSTAYにおける役割ベースのコンポーネントの分離は、2023年12月にオランダからVirusTotalにアップロードされたサンプルで初めて検出されました。これらの共通点から、STOCKSTAYとKazuarの両方が、同じ開発者またはチームによって部分的に開発・保守されている可能性が指摘されています。
Googleは、「STOCKSTAYはKAZUARのイメージで開発されており、いくつかの設計上の決定は、この長年にわたるツールキットを使用した作戦遂行における脅威アクターの豊富な経験から生まれた可能性が高い」と述べています。両方のエコシステムは.NET開発に大きく依存しており、作戦の様々な段階で侵害されたWordPressサイトを利用していることが確認されています。
GTIGは、STOCKSTAYがKazuarと並行してアクティブな作戦中に展開されている事例について、「既存のアクセスが近い将来に修正されることを想定し、アクティブな作戦で新しい機能をテストしようとしている結果である可能性が低いながらも考えられる」と評価しています。これは、攻撃者が常に自身のツールキットを進化させ、防御側の対策を上回ろうとしていることを示唆しています。
【管理人の視点】日本の組織がSTOCKSTAYから学ぶべきサイバーセキュリティ
ロシアの国家支援型ハッカー集団Turlaによる新型バックドア「STOCKSTAY」の登場は、国際的なサイバー脅威の進化を示す重要な事例です。直接的に日本が標的とされているとの報告はありませんが、サイバー攻撃は国境を容易に越えるため、日本の政府機関、重要インフラ企業、防衛関連組織、あるいはウクライナ情勢やイタリア外交政策に関心を持つ研究機関なども、決して無関係ではありません。
STOCKSTAYがフィッシングメール、悪意あるRDPファイル、WinRARの脆弱性といった一般的な攻撃経路を悪用している点は、基本的なサイバーセキュリティ対策の重要性を改めて浮き彫りにします。組織は、従業員に対するフィッシング詐欺への注意喚起を継続的に行い、不審なメールや添付ファイル、リンクの開封を厳しく禁じるべきです。また、OSやアプリケーション(特にWinRARのような広く使われるソフトウェア)のセキュリティパッチを迅速に適用し、常に最新の状態に保つことが不可欠です。多要素認証の導入、エンドポイント検出応答(EDR)ソリューションの活用、そして定期的なセキュリティ監査も、このような高度な脅威からシステムを保護するために有効な手段となるでしょう。
国家支援型アクターは、既存のマルウェア(Kazuar)の知見を活かしつつ、STOCKSTAYのような新しいツールを開発し、攻撃手法を絶えず進化させています。これは、防御側もまた、最新の脅威情報に常にアンテナを張り、自組織のセキュリティ体制を継続的に見直し、強化していく必要があることを意味します。特に、侵害されたWordPressサイトがマルウェアのホスティングに利用されるケースは、サプライチェーン攻撃のリスクも示唆しており、ウェブサイトのセキュリティ管理も怠ってはなりません。
まとめ:進化するサイバー脅威「STOCKSTAY」への警戒
Google Threat Intelligence Groupの分析により、ロシアの国家支援型ハッカー集団Turlaがウクライナを標的とする新型バックドア「STOCKSTAY」の詳細が明らかになりました。このマルウェアは、複数のモジュールから成る高度な構造を持ち、フィッシングや既知の脆弱性を悪用するなど、多様な手法で展開されています。既存のマルウェア「Kazuar」との類似性も指摘されており、Turlaが継続的にサイバー攻撃ツールを進化させている実態が浮き彫りになりました。
STOCKSTAYのような国家支援型サイバー攻撃は、その標的が限定的であっても、技術的な側面や攻撃手法は広く共有され、他の脅威アクターにも影響を与える可能性があります。組織は、基本的なセキュリティ対策の徹底に加え、最新の脅威インテリジェンスを継続的に収集・分析し、変化するサイバー脅威環境に適応していくことが求められます。
