Google, Turla'nın Ukrayna Casusluk Saldırılarında Kullanılan Yeni STOCKSTAY Arka Kapısını Detaylandırıyor Dünya Geneli

Google, Turla'nın Ukrayna Casusluk Saldırılarında Kullanılan Yeni STOCKSTAY Arka Kapısını Detaylandırıyor

Turla olarak bilinen Rus devleti destekli tehdit aktörünün, Ukrayna'daki hükümet ve askeri kuruluşlara ve İtalyan dış politikasıyla ilgisi olan kurulu...

Turla olarak bilinen Rus devleti destekli tehdit aktörünün, Ukrayna'daki hükümet ve askeri kuruluşlara ve İtalyan dış politikasıyla ilgisi olan kuruluşlara karşı konuşlandırılan, STOCKSTAY adlı daha önce belgelenmemiş bir .NET arka kapısına atfedildiği belirtiliyor.

Windows arka kapısının bilgisayar korsanlığı grubu tarafından sürekli olarak geliştirildiğini açıklayan Google Tehdit İstihbarat Grubu (GTIG), siber casusluk aracının, düşman tarafından 2017'den bu yana kullanılmaya başlanan temel bir implant olan Kazuar ile önemli kod ve işlevsel örtüşmeler paylaştığını söyledi. Kötü amaçlı yazılım geliştirme faaliyetinden şüphelenilen faaliyetin tarihi Aralık 2022'ye kadar uzanıyor.

GTIG, "STOCKSTAY, Windows Forms çerçevesini kullanan ve açık kaynaklı websocket-sharp kitaplığını kullanarak güvenli bir WebSocket bağlantısı aracılığıyla komut ve kontrol (C2) ile iletişim kuran, .NET'te yazılmış çok bileşenli bir arka kapıdır" dedi.

"STOCKSTAY, WM_COPYDATA mesajlarının alışverişine dayalı olarak süreçler arası iletişim (IPC) kanalı aracılığıyla birbirleriyle iletişim kuran birkaç farklı bileşenden oluşur."

Kanıtlar, implantın başlangıçta borsa veri görüntüleme aracını taklit etmek üzere tasarlandığını, ardından PDF görüntüleyiciler ve hesap makinesi yardımcı programları gibi diğer zararsız programlar gibi görünmek üzere uyarlandığını gösteriyor. Başlangıç noktası, üç ek modülü yükleyen ve çalıştıran STOCKSTAY.MARKETMAKER kod adlı bir indirme bileşenidir:

STOCKSTAY.STOCKBROKER, belirli bir uzak sunucuya güvenli bir WebSocket bağlantısı kurarak daha geniş STOCKSTAY paketine yönelik ağ iletişim yeteneklerini kolaylaştıran, proxy uyumlu bir tünel oluşturucudur.

, belirli bir uzak sunucuya güvenli bir WebSocket bağlantısı kurarak daha geniş STOCKSTAY paketine yönelik ağ iletişim yeteneklerini kolaylaştıran proxy uyumlu bir tünel oluşturucudur. STOCKSTAY.STOCKTRADER , bilgi toplamayı sağlayan ana arka kapı.

, bilgi toplanmasını sağlayan ana arka kapı. STOCKSTAY.STOCKMARKET, WebSocket sunucusu, zaman aralığı ve çalışmaması gereken günler gibi kötü amaçlı yazılımın yürütülmesine ilişkin çeşitli seçenekleri ayarlamak için arka kapının yapılandırmasını ayrıştıran bir orkestratör veya denetleyici. Ayrıca, kurulan WebSocket bağlantısı aracılığıyla sunucu ayrıntılarını sağlamak ve mesaj almak için STOCKSTAY.STOCKBROKER ile iletişim kurar, ayrıca tehlikeye atılan ana bilgisayarda çalıştırılacak komutları vermek için STOCKSTAY.STOCKTRADER ile de iletişim kurar.

STOCKSTAY kötü amaçlı yazılım mimarisi

STOCKSTAY.STOCKTRADER'ın bazı destek komutları aşağıda listelenmiştir -

Del, belirtilen dosyaları silmek için

Dir, belirtilen dizinleri numaralandırmak için

Belirli uzantılarla eşleşen bir veya daha fazla belirtilen dosyayı getirmek için alın

MkDir, bir veya daha fazla dizin oluşturmak için

RmDir, belirtilen dizinleri silmek için

Resim, cihazın ekranının ekran görüntüsünü almak için

MultyTask, noktalı virgülle ayrılmış bir görev listesini aynı anda çalıştırmak için

Cihaza bir dosya yüklemek için koyun

RegRead, Windows Kayıt Defteri değerini okumak için

RegDelete, Windows Kayıt Defteri değerini silmek için

RegWrite, Windows Kayıt Defteri değerini ayarlamak için

Çalıştır, yeni bir işlemi yürütmek için

Sysinfo, sistem bilgilerini toplamak için

UnpackArchive, belirtilen ZIP dosyasını geçerli dizine çıkarmak için

Google, kurbanlara yönelik, bağlı bir istemciden gelen mesajları işlemekten ve IP adresini kaydetmekten sorumlu STOCKSTAY WebSocket sunucu denetleyicisinin Python uygulamasını içeren, halka açık bir GitHub deposu ("ChikenFresh/google-ai-labs-it") belirlediğini söyledi.

GTIG, "Sunucunun gelen mesajların şifresini çözememesi, platform operatörlerinin iç gözlem yapmasını engelliyor ve tehdit aktörünün özel altyapısının konumunu daha da belirsizleştiriyor" dedi. "Bu mimari bir şekilde Turla'nın çok atlamalı Kazuar C2 altyapısına benziyor."

STOCKSTAY'i dağıtan saldırılar, Ukrayna'daki hükümet ve askeri kuruluşları hedef almak için sürekli olarak akademik veya diplomatik temalı tuzaklardan yararlandı; arka kapının ilk versiyonları, İtalya, Hollanda, Polonya'daki kuruluşlara yönelik saldırılarda kullanıldı.

ve Almanya. Bununla birlikte, bu saldırılarda hangi Avrupalı ​​kuruluşların hedef alındığı bilinmiyor.

STOCCKSTAY gözlemlerinin zaman çizelgesi

2025'in başlarında gözlemlenen en az bir örnekte, Turla aktörlerinin, açıldığında kurbanın cihazı ile aktör kontrollü altyapı arasında STOCKSTAY dahil ek yüklerin dağıtılabileceği bir bağlantı kuran kötü amaçlı bir RDP dosya eki içeren bir kimlik avı e-postası kullandıkları söyleniyor.

Kasım 2025 gibi yakın bir tarihte, Ukrayna'yı hedef alan bir e-posta kimlik avı dalgasının, Sandworm, Gamaredon ve RomCom gibi bir dizi Rus bilgisayar korsanlığı grubu tarafından istismar edilen bir WinRAR güvenlik açığı olan CVE-2025-8088'i kullanan RAR arşivleri aracılığıyla implantı teslim ettiği tespit edildi.

Diğer kampanyalar, MSI yükleyicilerinden (bir durumda GitHub'da barındırılan) ve bir HTML Uygulaması (HTA) komut dosyası içeren RAR dosyalarından yararlandı; ikincisi STOCKSTAY.MARKETMAKER'ın bir varyantını yürütmek için tasarlandı. İndirici daha sonra, güvenliği ihlal edilmiş bir WordPress örneğinde barındırılan ana STOCKSTAY bileşenlerini içeren bir ZIP arşivini alır.

Kötü amaçlı yazılımın dikkate değer bir yönü, Turla tarafından operasyonlarının birden çok farklı aşamasında kullanılmış olmasıdır; bunlardan biri, daha önce profili çıkarılmamış ortamlara ilk erişimi elde etmenin bir yolu olarak ve belirli bir ana bilgisayarda yürütülmek üzere keşif sonrasında kullanım sonrası sırasında.

GTIG, "Bu yapılandırma, bu aşamada aktörün, muhtemelen hedef ortama mevcut erişimler aracılığıyla tam olarak hangi makinenin hedeflendiğini bildiğini ima ediyor" diye açıkladı. Bu, daha önce ağırlıklı olarak Kazuar gibi grubun diğer araçlarına dayanan bir operasyonun sonuna doğru STOCKSTAY'in konuşlandırıldığı Ukrayna ağlarında görüldü."

STOCKSTAY'ın Kazuar'la örtüşmesi, sorumlulukların farklı bileşenler arasında nasıl belirlendiği konusundaki benzerliklerden kaynaklanıyor. Kazuar'ın Kazuar'daki Kernel, Bridge ve Worker modüllerini kullanımı geçen ay Microsoft Tehdit İstihbaratı ekibi tarafından kapsamlı bir şekilde detaylandırıldı. STOCKSTAY'de farklı rol tabanlı bileşenlerin ayrılması ilk olarak Aralık 2023'te Hollanda'dan VirusTotal'a yüklenen bir örnekte tespit edildi.

Bu benzerlikler hem STOCKSTAY hem de Kazuar'ın kısmen aynı geliştirici veya ekip tarafından geliştirilip sürdürülmüş olabileceği olasılığını artırdı.

Google, "STOCKSTAY'in KAZUAR'ın imajına göre geliştirildiğine inanıyoruz; çeşitli tasarım kararları muhtemelen tehdit aktörünün bu uzun süredir devam eden araç setini kullanarak operasyonları yürütme konusundaki zengin deneyiminden kaynaklanıyor." dedi. "Her iki ekosistem de büyük ölçüde .NET geliştirmeye dayanıyor ve operasyonlarının çeşitli aşamalarında güvenliği ihlal edilmiş WordPress sitelerini kullandıkları gözlemlendi."

"Aktif operasyonlar sırasında KAZUAR ile birlikte konuşlandırılan STOCKSTAY'e ilişkin gözlemlerimizin, özellikle mevcut erişimlerinin yakın gelecekte düzeltilmesini bekledikleri durumlarda, aktif operasyonlarda yeni yetenekleri test etmeye çalışan tehdit aktörünün bir sonucu olabileceğini düşük güvenle değerlendiriyoruz."

Paylaş: