一、背景概述
2022年12月以来,俄罗斯背景的APT组织Turla(又名SUMMIT、Secret Blizzard、VENOMOUS BEAR、UAC-0194)持续开发并部署了一款名为STOCKSTAY的.NET后门。近日,GTIG的安全研究人员近期对其进行了详细且深入分析,该后门主要针对乌克兰政府机构、军事单位以及意大利外交政策相关实体,用于长期网络间谍活动。其程序的代码结构与功能特性与此前归因于Turla的成熟工具包KAZUAR存在明显重合。
Turla组织是已知活动时间最长的国家级网络间谍攻击组织之一,可疑行动可追溯至2004年。该组织至今仍保持活跃,攻击手法也不断翻新——例如部署专用脚本截获Signal即时通讯用户的加密通信、劫持已废弃的犯罪僵尸网络攻击高价值目标,以及近期利用高度复杂的KAZUAR工具包针对军事国防领域发动攻击。美国CISA曾公开将Turla(尤其是其长期使用的Snake植入物)归因于俄罗斯联邦安全局(FSB)第16中心。作为我们对Turla持续追踪工作的一部分,本次任务是梳理了STOCKSTAY的分析结果,给出了关键开发节点和行动时间线,并对比了其与KAZUAR的相似之处,以便将该新型工具纳入Turla不断扩展的攻击武器库中加以定位。
STOCKSTAY是一款基于.NET Framework、采用Windows Forms框架编写的多组件后门。它通过安全WebSocket与C2服务器通信,底层使用了开源库websocket-sharp。其后端由多个独立组件构成,组件之间借助WM_COPYDATA消息机制实现IPC通信。早期版本被设计成股票市场行情查看工具的模样,文件名方案、配置结构以及控制消息和响应数据的存储格式都围绕这一伪装展开。研究人员捕获的早期样本虽仍保留该类内部特征,但到2025年,已发现变种开始伪装成PDF阅读器、计算器等更为普通的应用程序。

图 1 STOCKSTAY观测时间线
二、技术过程分析
从技术架构层面看,STOCKSTAY采用了高度模块化设计,由四个相互协作的组件构成:
StockStay.MarketMaker:作为加载器负责投递与部署,在后台运行并从远程服务器拉取完整恶意组件,同时设置开机自启项。
StockStay.StockBroker:网络隧道组件,可通过代理服务器与攻击者控制的C2建立稳定的加密WebSocket连接。
StockStay.StockTrader:核心后门模块,执行具体恶意操作,包括文件下载与上传、屏幕截图、注册表修改、进程创建及系统信息采集等。
StockStay.StockMarket:统筹调度模块,负责解析加密配置文件、设定任务执行间隔及休眠周期,以规避检测。
各组件之间通过WM_COPYDATA消息进行进程间通信。通信安全方面,后门利用websocket-sharp库建立WSS连接,并采用4096位RSA密钥对进行非对称加密。值得注意的是,其配置文件采用“环境密钥”(environmental keying)方式加密,只有匹配特定目标环境的条件下才能解密成功——这一设计有效防止了分析人员在非目标环境中还原配置内容。
初始入侵阶段,Turla组织运用了多种社工手段:通过被入侵的乌克兰大学邮箱发送钓鱼邮件;利用伪装成国防培训学院的恶意RDP配置文件,引诱受害者连接至攻击者控制的基础设施;2025年11月的一次大规模钓鱼活动中,攻击者向约20个乌克兰目标投递了利用WinRAR路径遍历漏洞(CVE-2025-8088)的恶意RAR压缩包。此外,攻击者还借助被入侵的乌克兰国家监管服务网站及境内WordPress服务器托管并投递载荷——这种利用本地可信基础设施的做法使流量检测难度大幅增加。
运营层面,STOCKSTAY的隐蔽策略同样值得关注。恶意软件仅在周一至周五的9:00至18:00之间运行,刻意与正常办公时段保持一致,以降低异常行为告警触发的概率。早期版本伪装成股票数据查看工具,2025年已演变为假冒PDF阅读器、计算器等日常软件。部分攻击场景中,研究人员还观察到攻击者将后门组件重命名为“MicrosoftUpdateOneDrive.exe”等看似正常的系统进程名,以规避进程监控。
研究人员的分析还发现,STOCKSTAY与Turla此前使用的KAZUAR间谍工具之间存在明显的代码和功能重叠。两者均采用多组件模块化结构,且组件角色高度对应——KAZUAR由Kernel、Bridge、Worker三部分构成,与STOCKSTAY的StockMarket、StockBroker、StockTrader在功能划分上几乎一致。这进一步印证了两款工具出自同一开发团队。在实际攻防场景中,STOCKSTAY通常部署于攻击行动的后期阶段,即攻击者已通过KAZUAR完成对目标网络的全面侦察之后才投入使用。这表明Turla正有意将STOCKSTAY作为备用或升级选项进行实战测试,以防既有攻击通道被乌方安全人员封堵。
三、攻击溯源归因
经安全研究人员溯源分析,确认STOCKSTAY恶意程序生态体系及其相关攻击活动,与Turla组织存在高度可信的关联,具体溯源依据如下:
首先,STOCKSTAY恶意程序在指令解析与执行流程中,全程采用Windows-1251编码格式。该编码专为西里尔字符集适配设计,是具备高度辨识度的地域特征编码,能够佐证该恶意程序的开发环境、调试运行场景大概率关联东欧、巴尔干半岛及中亚区域,与Turla组织的地缘背景特征高度契合。
其次,STOCKSTAY与Turla组织专属工具包KAZUAR存在核心代码特征重合。在近期的迭代更新中,两款恶意工具在同一时间周期内同步集成了K1MORPHER字符串混淆技术,用以规避静态查杀、隐藏程序核心逻辑,这种高度一致的技术迭代特征,进一步印证了二者的同源性。
再者,研究人员在威胁监测中发现,STOCKSTAY的载荷投递链路依托于一批已被攻陷的网络基础设施。经交叉核验,该批受控基础设施同时承载着Turla组织KAZUAR工具的命令与控制(C2)服务,是其针对目标受害者开展远程操控的核心C2节点,二者共用攻击基础设施的特征明确。
最后,从攻击目标与武器链部署维度可佐证关联。Turla组织长期将乌克兰国防、军事类组织机构作为核心攻击目标。在相关安全厂商近期处置的多起安全事件中,安全研究团队多次捕获该组织的完整攻击链路。其在入侵过程中会批量部署STOCKSTAY、WILDDAY、DIAMONDBACK及KAZUAR等多款自研专属恶意软件,形成成套的恶意工具武器链。
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering
声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。