Исследователи Google Threat Intelligence Group раскрыли новый бэкдор STOCKSTAY. Это вредоносная программа для Windows, написанная на .NET и рассчитанная на долгосрочное присутствие в сети жертвы. Её задача — тихо закрепиться, получать команды от операторов, выполнять действия на заражённой машине и передавать данные наружу. Использовался STOCKSTAY в целевых атаках против организаций в Украине и структур, связанных с итальянской внешнеполитической тематикой
Google связывает STOCKSTAY с Turla — одной из самых известных APT-группировок. В отчёте также используются названия SUMMIT, Secret Blizzard, VENOMOUS BEAR и UAC-0194. STOCKSTAY описывают как инструмент для точечных операций: его не разбрасывают миллионами писем, а разворачивают там, где оператору нужен длительный доступ и аккуратный сбор информации.
Разработка STOCKSTAY, по данным Google, идёт как минимум с декабря 2022 года. Это видно по эволюции образцов: вредонос менялся, дорабатывался, получал новые функции и улучшения коммуникации с управляющим сервером. Такой темп характерен для инструментов, которые применяют не один раз, а поддерживают как рабочую платформу.
Бэкдор — это скрытый канал доступа к системе. После заражения он позволяет оператору выполнять команды, загружать и выгружать файлы, запускать модули, собирать данные и поддерживать присутствие в сети.
Для защитников бэкдор опасен сроком жизни. Обычный вредонос может быстро проявить себя: зашифровать файлы, показать выкупное окно, украсть браузерные пароли и исчезнуть. Бэкдор другого типа работает тише. Он может неделями или месяцами ждать команд, проверять окружение, передавать небольшие порции данных и не привлекать внимания.
STOCKSTAY относится именно к такому классу. Его ценность для оператора — скрытность, управляемость и возможность продолжать работу после первичного проникновения.
STOCKSTAY написан на .NET и использует Windows Forms. На первый взгляд выбор Windows Forms может выглядеть странно: это технология для создания графических приложений Windows. Но вредонос может использовать привычные компоненты платформы не ради интерфейса, а ради удобной интеграции с Windows и маскировки под обычное приложение.
Для связи с управляющей инфраструктурой STOCKSTAY использует защищённое WebSocket-соединение. WebSocket — это протокол, который позволяет держать постоянный двусторонний канал между клиентом и сервером. В легитимных приложениях его используют для чатов, онлайн-панелей, уведомлений и интерактивных сервисов. В вредоносном ПО такой канал удобен для командного управления: оператор может отправлять инструкции, а имплант — возвращать результат.
Защищённое соединение усложняет анализ сетевого трафика. Защитные системы видят, что приложение общается с удалённым сервером, но содержимое обмена уже не лежит на поверхности. Поэтому для детекта важны не только строки в трафике, но и поведение процесса, домены, сертификаты, необычные подключения и цепочка запуска.
Google указывает на заметные пересечения STOCKSTAY с Kazuar — бэкдором, который связывают с Turla уже много лет. Kazuar известен как кроссплатформенный инструмент с богатым набором возможностей и длительной историей развития.
Пересечения не означают, что STOCKSTAY — просто переименованный Kazuar. Скорее речь о родстве в подходах, кодовой базе или инженерных привычках. Для аналитиков такие совпадения важны: они помогают связывать новые образцы с уже известными семействами и понимать, как меняется инструментарий группы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.