STOCKSTAY: nowy backdoor Turli wykorzystywany w operacjach cyberszpiegowskich przeciwko Ukrainie

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

STOCKSTAY to nowo ujawniony, wielokomponentowy backdoor powiązany z rosyjską grupą Turla, od lat kojarzoną z zaawansowanymi operacjami cyberszpiegowskimi. Złośliwe oprogramowanie zostało zaprojektowane dla systemów Windows i służy do skrytego zbierania informacji, wykonywania poleceń oraz utrzymywania dostępu do zainfekowanych środowisk.

Charakterystyczną cechą tego zagrożenia jest modułowa budowa, która rozdziela funkcje komunikacyjne, wykonawcze i kontrolne pomiędzy kilka procesów. Taki model utrudnia analizę incydentu oraz zwiększa elastyczność operatorów podczas prowadzenia długotrwałych kampanii wywiadowczych.

W skrócie

STOCKSTAY jest przypisywany grupie Turla i był wykorzystywany przeciwko organizacjom rządowym oraz wojskowym w Ukrainie.
Malware korzysta z bezpiecznej komunikacji WebSocket oraz lokalnej komunikacji międzyprocesowej.
W architekturze zagrożenia widoczne są podobieństwa do narzędzia Kazuar, również łączonego z Turlą.
Kampanie dystrybucyjne obejmowały phishing, pliki RDP, archiwa RAR, instalatory MSI i pliki HTA.
Atakujący wykorzystywali również skompromitowane witryny WordPress jako element łańcucha dostarczenia.

Kontekst / historia

Turla należy do najbardziej rozpoznawalnych rosyjskich grup APT, specjalizujących się w działaniach wywiadowczych przeciwko instytucjom państwowym, dyplomatycznym i organizacjom o znaczeniu strategicznym. W przypadku STOCKSTAY analitycy oceniają, że prace nad implantem rozpoczęły się co najmniej pod koniec 2022 roku, a jego kolejne warianty były rozwijane w następnych latach.

Początkowo malware podszywał się pod aplikację do monitorowania danych giełdowych. Z czasem operatorzy zaczęli maskować poszczególne komponenty również jako czytniki PDF lub proste narzędzia użytkowe, takie jak kalkulatory. Tego rodzaju kamuflaż miał ograniczać podejrzenia użytkowników i zwiększać skuteczność wdrożenia w środowiskach o wysokiej wartości operacyjnej.

Zaobserwowane kampanie wskazują, że STOCKSTAY mógł być stosowany zarówno na etapie początkowej kompromitacji, jak i później, po wcześniejszym rozpoznaniu ofiary. To sugeruje dojrzałe wykorzystanie narzędzia w ramach wieloetapowych operacji cyberszpiegowskich.

Analiza techniczna

STOCKSTAY składa się z kilku współpracujących ze sobą komponentów, z których każdy odpowiada za inny fragment działania całego frameworka. Łańcuch infekcji rozpoczyna downloader określany jako MARKETMAKER, którego zadaniem jest pobranie i uruchomienie kolejnych modułów.

Następnie aktywowane są trzy główne elementy. STOCKBROKER odpowiada za tunelowanie ruchu i zestawienie bezpiecznej komunikacji z serwerem C2 przez WebSocket. STOCKTRADER pełni rolę właściwego backdoora i realizuje polecenia na zainfekowanym hoście. Z kolei STOCKMARKET działa jako kontroler orkiestrujący, interpretujący konfigurację i koordynujący wymianę danych między pozostałymi modułami.

Na poziomie lokalnym komponenty komunikują się za pośrednictwem IPC z użyciem komunikatów WM_COPYDATA. Rozproszenie odpowiedzialności między procesami utrudnia wykrycie pełnego zakresu aktywności zagrożenia, ponieważ pojedynczy proces może wyglądać niepozornie, a dopiero korelacja zdarzeń pokazuje rzeczywisty charakter infekcji.

Funkcjonalność backdoora obejmuje szeroki zestaw działań typowych dla implantów szpiegowskich. STOCKTRADER może przeglądać katalogi, pobierać i wysyłać pliki, tworzyć oraz usuwać foldery, odczytywać i modyfikować rejestr Windows, uruchamiać nowe procesy, zbierać informacje o systemie, wykonywać zrzuty ekranu i rozpakowywać archiwa ZIP. Obsługa zadań wieloetapowych wskazuje dodatkowo na wysoki poziom automatyzacji po stronie operatorów.

Istotnym elementem technicznym jest też architektura komunikacji z infrastrukturą sterującą. Wykorzystanie szyfrowanych kanałów WebSocket pozwala ukrywać ruch w legalnie wyglądających sesjach aplikacyjnych, co może utrudniać odróżnienie komunikacji malware od zwykłego ruchu sieciowego. Jednocześnie modularność rozwiązania ułatwia rozwój kolejnych wersji i dostosowanie ich do konkretnych operacji.

W analizowanych kampaniach pojawiały się różne wektory dostarczenia. Wśród nich wskazano wiadomości phishingowe z załącznikami RDP, złośliwe archiwa RAR, pliki HTA i instalatory MSI. Szczególną uwagę zwraca wykorzystanie podatności CVE-2025-8088 w WinRAR, która umożliwia wykonanie kodu przy użyciu spreparowanego archiwum zawierającego mechanizm path traversal.

Konsekwencje / ryzyko

STOCKSTAY zwiększa zdolności operacyjne Turli w zakresie długotrwałej obecności w sieciach ofiar i skrytego pozyskiwania danych. Ze względu na swoją modułowość może być wdrażany etapowo, tylko tam, gdzie atakujący widzą największą wartość wywiadowczą. To podnosi skuteczność działań i jednocześnie utrudnia ich wykrycie.

Dla organizacji oznacza to ryzyko kradzieży dokumentów, rozpoznania infrastruktury, przejęcia danych systemowych oraz dalszej eskalacji działań po uzyskaniu dostępu. W środowiskach rządowych, wojskowych i dyplomatycznych konsekwencje mogą obejmować ujawnienie informacji strategicznych, naruszenie poufności korespondencji oraz długofalowe straty operacyjne.

Dodatkowym wyzwaniem dla zespołów bezpieczeństwa jest podobieństwo STOCKSTAY do narzędzia Kazuar. Może ono sugerować współdzielenie wzorców architektonicznych, zaplecza developerskiego lub ewolucję wcześniejszych narzędzi Turli. W praktyce oznacza to potrzebę obserwowania nie tylko konkretnych sygnatur, ale także szerszych technik i procedur charakterystycznych dla tego przeciwnika.

Rekomendacje

Organizacje narażone na działania cyberszpiegowskie powinny przyjąć wielowarstwowe podejście do detekcji i ograniczania ryzyka. Kluczowe znaczenie ma zarówno kontrola wektorów początkowego dostępu, jak i monitorowanie zachowań po kompromitacji.

Monitorować użycie plików RDP, HTA, MSI oraz archiwów RAR pochodzących z poczty lub źródeł zewnętrznych.
Utrzymywać aktualne wersje WinRAR i szybko eliminować podatne instalacje.
Ograniczać wykonywanie HTA, skryptów i nieautoryzowanych instalatorów za pomocą polityk aplikacyjnych.
Wykrywać procesy .NET wykorzystujące nietypowe IPC oraz połączenia WebSocket do nieznanych hostów.
Analizować operacje na rejestrze, plikach i procesach wykonywane przez aplikacje podszywające się pod narzędzia użytkowe.
Rozszerzać telemetrię EDR i SIEM o korelację zdarzeń wieloetapowych obejmujących wiele procesów.
Stosować sandboxing załączników, detekcję phishingu tematycznego i izolację otwieranych plików.
Prowadzić threat hunting pod kątem skompromitowanych witryn CMS oraz nietypowych kanałów C2.
Segmentować sieć i ograniczać uprawnienia użytkowników, aby utrudnić ruch boczny.
Utrzymywać procedury reagowania na incydenty APT, w tym szybkie zabezpieczanie pamięci, logów i artefaktów hosta.

Podsumowanie

STOCKSTAY pokazuje, że Turla nadal rozwija własne narzędzia do zaawansowanych operacji cyberszpiegowskich i skutecznie dostosowuje je do działań przeciwko celom o wysokiej wartości strategicznej. Połączenie architektury modułowej, komunikacji WebSocket, rozproszenia funkcji między procesami oraz elastycznych metod dostarczenia sprawia, że zagrożenie jest szczególnie istotne dla administracji publicznej, sektora obronnego i organizacji zaangażowanych w politykę międzynarodową.

Z perspektywy obrony najważniejsze pozostają szybkie aktualizacje oprogramowania, ograniczanie ryzykownych wektorów wejścia, szeroka telemetria oraz analiza zachowań typowych dla kampanii APT. W przypadku takich zagrożeń skuteczna ochrona wymaga nie tylko narzędzi technicznych, ale także dojrzałych procesów monitorowania i reagowania.