Новый бэкдор РФ атакует Украину: Google нашла шпионский вирус
Turla атакуют правительственные структуры Украины новым бэкдором (фото: Unsplash)
В Google Threat Intelligence Group обнаружили новый шпионский .NET-бекдор STOCKSTAY. Инструмент, используемый российскими правительственными хакерами Turla, развернут против военных и госучреждений Украины, а также европейских дипломатических ведомств.
Об этом информирует РБК-Украина со ссылкой на свежий отчет Google .
Архитектура STOCKSTAY и механизмы маскировки
По информации экспертов, STOCKSTAY является многокомпонентным бэкдором, написанным на платформе .NET с использованием фреймворка Windows Forms.
Для связи с командным сервером (C2) приложение применяет защищенное соединение WebSocket через открытую библиотеку websocket-sharp.
Взаимодействие между модулями внутри зараженной системы происходит через специальный канал межпроцессного обмена данными (IPC) путем отправки сообщений типа WM_COPYDATA.
Инфраструктура вредоносного комплекса состоит из загрузчика и трех основных модулей:
STOCKSTAY.MARKETMAKER: первичный загрузчик, разворачивающий и запускающий всю другую систему.
STOCKSTAY.STOCKBROKER: сетевой туннельник, работающий через прокси-серверы и устанавливающий стабильное шифрованное соединение с сервером злоумышленников.
STOCKSTAY.STOCKTRADER: главный функциональный бэкдор, отвечающий за непосредственный сбор конфиденциальной информации и исполнение команд.
STOCKSTAY.STOCKMARKET: управляющий "оркестратор", анализирующий конфигурационные файлы, устанавливает интервалы активности и дни, когда вирус должен "спать", чтобы избежать обнаружения.
Функционал модуля STOCKTRADER позволяет хакерам полностью контролировать устройство:
- удалять и создавать папки,
- считывать и перезаписывать реестр Windows,
- делать снимки экрана,
- загружать посторонние файлы,
- запускать какие-либо новые процессы в операционной системе.
Обзор архитектуры вредоносного программного обеспечения STOCKSTAY (схема: Google)
Методы проникновения и связи с платформой Kazuar
Компании по распространению STOCKSTAY базируются на методах социальной инженерии с использованием фишинговых писем на академическую или дипломатическую тематику.
В начале 2025 года хакеры массово рассылали вредоносные файлы конфигурации RDP, которые при открытии соединяли компьютер жертвы с подконтрольной инфраструктурой врага.
Уже в ноябре 2025 года была зафиксирована новая волна фишинга против Украины - вирус доставлялся в архивах RAR из-за эксплуатации уязвимости CVE-2025-8088.
Эту же уязвимость утилиты WinRAR активно использовали и другие российские спецслужбы, в частности, группы Sandworm, Gamaredon и RomCom.
В других случаях злоумышленники использовали установщики MSI или сломанные сайты на базе WordPress для размещения ZIP-архивов с компонентами вируса.
Аналитики Google обнаружили открытый репозиторий на GitHub под названием ChikenFresh/google-ai-labs-it, где хранился управляющий серверный код STOCKSTAY, написанный на языке Python.
Важно: сервер построен таким образом, что операторы защитных платформ не могут дешифровать входящие сообщения и отследить точное расположение серверов хакеров.
Хронология наблюдений внедрения бэкдора STOCKSTAY (схема: Google)
Сходство распределения ролей между модулями STOCKSTAY и структурой Kazuar (состоящее из компонентов Kernel, Bridge и Worker) указывает на то, что оба инструмента разрабатывались одной командой программистов.
В сетях украинских ведомств новый бэкдор обычно разворачивали на финальных этапах сделки, когда инфраструктура уже была подробно разведана с помощью Kazuar.
Специалисты считают, что испытание нового инструмента в реальных боевых условиях свидетельствует о попытке хакеров протестировать свежие решения на случай, если их старые точки доступа будут заблокированы украинскими киберспециалистами.
