Μια ανησυχητική εξέλιξη στον κόσμο της κυβερνοασφάλειας προκύπτει από την ρωσική ομάδα Turla, η οποία έχει επεκτείνει τη δραστηριότητά της με την ανάπτυξη ενός νέου κακόβουλου λογισμικού που ονομάζεται STOCKSTAY. Από τον Δεκέμβριο του 2022, η ομάδα στοχεύει κυβερνητικούς και στρατιωτικούς οργανισμούς στην Ουκρανία, υποδεικνύοντας τον αυξανόμενο κίνδυνο κατασκοπίας και επιθέσεων στον κυβερνοχώρο στην περιοχή.
Το STOCKSTAY είναι ενσωματωμένο στην πλατφόρμα .NET και χρησιμοποιεί WebSocket για επικοινωνία με τους χειριστές του, παρότι αυτή η μέθοδος καθιστά δύσκολη την ανίχνευσή του μέσα στη κανονική δεδομένη κίνηση δικτύου. Η επιχείρηση φέρει τα χαρακτηριστικά μιας καλά οργανωμένης εκστρατείας υποστηριζόμενης από κρατικούς φορείς, σημειώνοντας σαφή σύνδεση με τις ρωσικές μυστικές υπηρεσίες.
Αρχικά, το STOCKSTAY εμφανιζόταν ως εργαλείο χρηματιστηριακής ανάλυσης, χρησιμοποιώντας ψεύτικα ονόματα αρχείων και παραπλανητικά δεδομένα ρύθμισης για να συγχωνεύεται με καθημερινά λογισμικά. Μέχρι το 2025, παραλλαγές του λογισμικού φάνηκε ότι υποδυόταν PDF viewers και αριθμομηχανές, επισημαίνοντας την ευελιξία και την ικανότητα προσαρμογής της Turla.
Η ομάδα της Turla δείχνει σταθερή επικέντρωση στις δυτικές κυβερνητικές υπηρεσίες, τους αμυντικούς οργανισμούς και τις στρατιωτικές μονάδες στην Ουκρανία, υπογραμμίζοντας τη σύνδεση της με τα συμφέροντα του ρωσικού κράτους.
Αναλυτές στο Google Threat Intelligence Group (GTIG) έχουν επιβεβαιώσει και καταγράψει το κακόβουλο λογισμικό σε μια λεπτομερή αναφορά, που κοινοποιήθηκε μέσω του Cyber Security News (CSN), παρέχοντας πληροφορίες σχετικά με την πορεία, τις γενικές πτυχές και την επικαλυπτόμενη υποδομή με μια άλλη εργαλειοθήκη γνωστή ως KAZUAR.
Η ομάδα Turla, που παρακολουθείται επίσης ως SUMMIT, Secret Blizzard και VENOMOUS BEAR, αποδίδεται στη ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας και είναι ενεργή από το 2004.
Η εκστρατεία της Turla έχει απλωθεί σε αρκετές χώρες, συμπεριλαμβανομένης της Ουκρανίας, της Ιταλίας, της Ολλανδίας, της Πολωνίας και της Γερμανίας. Στην Ουκρανία, η Turla έχει εκμεταλλευτεί παραβιασμένη υποδομή, περιλαμβάνοντας κυβερνητικά δίκτυα και server μιας εταιρείας πληροφορικής, παραδίδοντας το κακόβουλο φορτίο και διευκολύνοντας την κρυπτογράφησή του στη τοπική κυκλοφορία, καθιστώντας τον εντοπισμό ιδιαίτερα δύσκολο.
Μετά από μια μαζική αντίκτυπη επίθεση ηλεκτρονικού ψαρέματος τον Νοέμβριο του 2025, γύρω από 20 άτομα στην Ουκρανία επηρεάστηκαν, με την GTIG να επιβεβαιώνει ότι οι χρήστες που επηρεάστηκαν ειδοποιήθηκαν μέσω προειδοποιητικών ειδοποιήσεων λογαριασμών Google για κινδύνους κυβερνοασφάλειας.
Η Turla που συνδέεται με τη Ρωσία χρησιμοποιεί παραβιασμένη υποδομή
Η ενορχηστρωμένη χρήση παραβιασμένων υποδομών από την Turla αποτελεί στρατηγική επιλογή. Η ομάδα έχει χρησιμοποιήσει κρατικούς ιστότοπους και servers WordPress στην Ουκρανία, ώστε το κακόβουλο λογισμικό να παραδίδεται με τρόπο που δυσκολεύει την ανίχνευσή του μέσω ελέγχων που συνήθως εντοπίζουν ξένες υποδομές.
Η αρχική πρόσβαση σε συστήματα επετεύχθη μέσω ηλεκτρονικού ψαρέματος, όπου οι επιτιθέμενοι απέστειλαν κακόβουλα αρχεία που προσομοίασαν απομακρυσμένους επιτραπέζιους υπολογιστές. Στις αρχές του 2025, τα θύματα έλαβαν email υποδυόμενα μια εκπαιδευτική ακαδημία στο πεδίο της άμυνας, όπου το άνοιγμα των δισκέτων συνδέθηκε με υποδομές ελέγχου των επιτιθέμενων.
.webp)
Στη συνέχεια, η Turla προχώρησε στη διάθεση του προγράμματος STOCKSTAY.MARKETMAKER, που μπορεί να ανακτήσει τα απαραίτητα συστατικά του STOCKSTAY από παραβιασμένους διακομιστές.
Ένα μεταγενέστερο κύμα, γύρω στα μέσα του 2025, χρησιμοποίησε παραβιασμένη εκπαίδευση διπλωματών ως προσδόκημα για να προσελκύσει θύματα εντός μιας διαδικτυακής πύλης εκπαίδευσης.
Το STOCKSTAY περιλαμβάνει τρία συντονισμένα στοιχεία: το STOCKMARKET που ενορχηστρώνει τις λειτουργίες, το STOCKBROKER που διαχειρίζεται τις επικοινωνίες μέσω WebSocket και το STOCKTRADER που εκτελεί διάφορες εντολές στα μολυσμένα συστήματα, συμπεριλαμβανομένης της συλλογής αρχείων και της καταγραφής οθόνης. Το λογισμικό λειτουργεί μόνο τις εργάσιμες ώρες, από τις 9 π.μ. έως τις 6 μ.μ., με σκοπό την αποφυγή ανίχνευσης εντός των διακυβερνητικών υποδομών.
Η εξελιγμένη συσκότιση και η σύνδεση του STOCKSTAY με το KAZUAR
Ένα εντυπωσιακό χαρακτηριστικό στην παρούσα έρευνα είναι η συσχέτιση του STOCKSTAY με το KAZUAR, μια από τις πιο μακροχρόνιες εργαλειοθήκες κατασκοπείας της Turla. Και τα δύο εργαλεία χρησιμοποιούν πολυάριθμες κλειστές αρχιτεκτονικές και παραβιασμένους ιστότοπους WordPress στη διάρκεια της λειτουργίας τους.
Το GTIG εκτιμά με μέτρια σιγουριά ότι τα δύο εργαλεία πιθανότατα αναπτύσσονται από μία και την ίδια ομάδα.
Τον Απρίλιο του 2025, το STOCKSTAY υιοθέτησε νέα μεθοδολογία συσκότισης που βασίζεται σε έναν ψευδοτυχαίο αλγόριθμο, τον Squirrel3, τον οποίο παρουσίασε ένα συνέδριο ανάπτυξης παιχνιδιών το 2017.
.webp)
Η GTIG παρακολουθεί αυτόν τον κώδικα ως K1MORPHER. Μέχρι τον Ιούνιο του 2025, ο παραπάνω κώδικας παρατηρήθηκε στα δείγματα του KAZUAR, ενισχύοντας την υπόθεση ότι οι δύο εργαλειοθήκες διαθέτουν κοινές ρίζες.
Η ομάδα χρησιμοποίησε έναν λογαριασμό GitHub για τη φιλοξενία κώδικα ελέγχου του STOCKSTAY, συνδέοντας τον με μια πλατφόρμα γνωστή ως Render για τη φιλοξενία WebSocket.
Αυτή η ρύθμιση δυσκολεύει σημαντικά την ανίχνευση των κρυπτογραφημένων δεδομένων, κρύβοντας παράλληλα την υποδομή της ομάδας. Η συνεχής βελτίωση του STOCKSTAY από την Turla το καθιστά έναν από τους πιο εξελιγμένους επιτιθέμενους κατασκοπείας στη σύγχρονη εποχή.
Δείκτες συμβιβασμού (IoCs):-
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| URL (WebSocket C2) | wss://wool-basalt-clock.glitch.me/ws | WebSocket C2 του STOCKSTAY από Ιανουάριο 2024 στην Ουκρανία |
| URL (WebSocket C2) | wss://weatherdataai.theworkpc.com/ws | WebSocket C2 του STOCKSTAY από Απρίλιο 2025 στην Ουκρανία |
| URL (WebSocket C2) | wss://canal1zac1a.onrender.com/ws | WebSocket C2 του STOCKSTAY από Αύγουστο 2025 / MSI δοκιμής GitHub |
| URL (WebSocket C2) | wss://driverx86-adobe.onrender.com/ws | WebSocket C2 του STOCKSTAY από κύμα phishing Νοεμβρίου 2025 |
| URL (WebSocket C2) | wss://google-ai-labs-it.onrender.com/ws | WebSocket C2 του STOCKSTAY από Νοέμβριο 2025 / ChikenFresh GitHub |
| URL (Λήψη) | https://www.drs.gov.ua/wp-content/themes/twentytwentyfive/docs.zip | ZIP που φιλοξενεί στοιχεία STOCKSTAY σε παραβιασμένο κυβερνητικό ιστότοπο στην Ουκρανία |
| URL (Λήψη) | https://basecon.com.ua/calculator.rar | RAR που περιέχει στοιχεία STOCKSTAY σε παραβιασμένο server στην Ουκρανία |
| URL (Λήψη) | https://online.zp.ua/wp-content/uploads/Tools/EditorToolsPdf.zip | ZIP που περιέχει στοιχεία STOCKSTAY σε παραβιασμένο WordPress server |
| URL (Δόλωμα / Δέλεαρ) | https://circoloesteri.elezioni.idnet.it/adelection/riepilogo.php | Διεύθυνση URL προεκλογικού δελεασμού στην ιταλική γλώσσα που χρησιμοποιήθηκε στη δράση Φεβρουαρίου 2024 |
| Κατακερματισμός αρχείων (SHA-256) | d1e54270433a94a… | websocket-sharp.dll — βιβλιοθήκη ανοιχτού κώδικα που χρησιμοποιείται από το STOCKSTAY |
| Κατακερματισμός αρχείων (SHA-256) | f04f43b6f7c2d86… | server.py — Ελεγκτής Python STOCKSTAY C2 (ChikenFresh GitHub) |
| Κατακερματισμός αρχείων (SHA-256) | 7615140f78d9a0c… | models.py — Ορισμοί πίνακα βάσεων δεδομένων για τον server STOCKSTAY C2 |
| Κατακερματισμός αρχείων (SHA-256) | b55f3b8a7334af0… | wtools.py — Βοηθητικές λειτουργίες για το STOCKSTAY C2 |
| Όνομα αρχείου | MicrosoftUpdateOneDrive.exe | Πρόγραμμα λήψης STOCKSTAY.MARKETMAKER (Απρίλιος 2025 στην Ουκρανία) |
| Όνομα αρχείου | styles.dat.exe | Πρόγραμμα λήψης STOCKSTAY.MARKETMAKER (Αύγουστος 2025 στην Ουκρανία) |
| Όνομα αρχείου | αριθμομηχανή.rar | Αρχείο RAR που περιέχει HTA lure και στοιχεία STOCKSTAY |
| Όνομα αρχείου | Υπολογιστής γροσόβος γιαμπεζπεчення військовослужбових 2025.hta | Ουκρανικό δέλεαρ HTA (“Υπολογιστής παροχών στρατιωτικού προσωπικού 2025.hta”) |
| Όνομα αρχείου | EditorToolsPdf.zip | Αρχείο ZIP που περιέχει στοιχεία STOCKSTAY (Αύγουστος 2025) |
| Όνομα αρχείου | DiplomacyEduAI.msi | MSI που περιέχει στοιχεία STOCKSTAY (λογαριασμοί δοκιμής GitHub) |
| Όνομα αρχείου | Copia.msi | MSI που περιέχει στοιχεία STOCKSTAY (Φεβρουάριος 2024 Ιταλία) |
| Όνομα αρχείου | DriversPrinterGraphic.rar | Πρώιμο αρχείο RAR STOCKSTAY (Σεπτέμβριος 2023, Γερμανία) |
| Όνομα αρχείου | apps_libwallets_v1.3.rar | Αρχείο STOCKSTAY RAR (Δεκέμβριος 2023, Ολλανδία) |
| Όνομα αρχείου | StockMarketNews.exe | Πρώιμο συνδυασμένο εκτελέσιμο STOCKSTAY |
| Όνομα αρχείου | StockMarketView.exe / ViewPdf.exe | Ενορχηστρωτής STOCKSTAY.STOCKMARKET (διαφορετικές λειτουργίες) |
| Όνομα αρχείου | StockMarketNet.exe / SMNet.exe / ClientMNGR.exe / MSDriver.exe | STOCKSTAY.STOCKBROKER tunneler (διαφορετικές λειτουργίες) |
| Όνομα αρχείου | StockMarketSystem.exe / SMEditor.exe / ConverterDDSNet.exe / MSRender.exe | Backdoor STOCKSTAY.STOCKTRADER (διαφορετικές λειτουργίες) |
| Όνομα αρχείου | ClientMNGR2.exe / GR3.exe | Κωδικοποιημένος STOCKSTAY.STOCKBROKER (Μάιος 2025, Πολωνία) |
| Όνομα αρχείου | ms-lib-math-core.dll | Βασική μονάδα STOCKSTAY (Νοέμβριος 2025) |
| Όνομα αρχείου | ms-api-win-render.dll | Ενότητα για χειριστές εντολών του STOCKSTAY backdoor |
| Όνομα αρχείου | ms-api-wmcpdt.dll | Ενότητα για λογική IPC του STOCKSTAY |
| Όνομα αρχείου | καιρικά_δεδομένα1.db | SQLite3 βάση δεδομένων που χρησιμοποιείται από τον server STOCKSTAY |
| Λογαριασμός GitHub | Roberto1983-αι | Λογαριασμός GitHub ύποπτου παράγοντα που φιλοξενεί αρχεία δοκιμής STOCKSTAY MSI |
| Λογαριασμός GitHub | ChikenFresh | Λογαριασμός GitHub ύποπτου παράγοντα που φιλοξενεί τον κώδικα του STOCKSTAY C2 |
Σημείωση: Οι διευθύνσεις IP και οι τομείς έχουν αλλοιωθεί για την αποφυγή τυχαίας υπερσύνδεσης. Χρησιμοποιήστε μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών, όπως το MISP ή το VirusTotal.
