Google Details Turla’s nieuwe STOCKSTAY-achterdeur gebruikt bij spionageaanvallen in Oekraïne

Cyberbeveiliging
Google Details Turla's nieuwe STOCKSTAY-achterdeur gebruikt bij spionageaanvallen in Oekraïne

De door de Russische staat gesponsorde bedreigingsacteur, bekend als Turla, wordt toegeschreven aan een voorheen ongedocumenteerde .NET-achterdeur genaamd STOCKSTAY dat is ingezet tegen regerings- en militaire organisaties in Oekraïne, en tegen entiteiten die belang hebben bij het Italiaanse buitenlandse beleid.

Google Threat Intelligence Group (GTIG) beschrijft de achterdeur van Windows zoals deze voortdurend wordt ontwikkeld door de hackgroep en zegt dat de cyberspionagetool aanzienlijke code en functionele overlappingen deelt met Kazuar, een basisimplantaat dat sinds 2017 door de tegenstander wordt gebruikt. De vermoedelijke ontwikkelingsactiviteit van malware dateert uit december 2022.

“STOCKSTAY is een uit meerdere componenten bestaande achterdeur geschreven in .NET, die gebruikmaakt van het Windows Forms-framework, dat communiceert met zijn command-and-control (C2) via een beveiligde WebSocket-verbinding, waarbij gebruik wordt gemaakt van de open-source websocket-sharp-bibliotheek”, aldus GTIG.

“STOCKSTAY bestaat uit verschillende afzonderlijke componenten die met elkaar communiceren via een inter-process communication (IPC) kanaal, gebaseerd op de uitwisseling van WM_COPYDATA-berichten.”

Er zijn aanwijzingen dat het implantaat oorspronkelijk was ontworpen om een ​​hulpmiddel voor het bekijken van aandelenmarktgegevens na te bootsen, voordat het werd aangepast om zich voor te doen als andere onschadelijke programma’s zoals PDF-viewers en rekenhulpprogramma’s. Het startpunt is een downloadercomponent met de codenaam STOCKSTAY.MARKETMAKER die drie extra modules installeert en uitvoert:

  • BEURSSTAY.EFFECTENBROKEReen proxybewuste tunneler die netwerkcommunicatiemogelijkheden met de bredere STOCKSTAY-suite mogelijk maakt door een veilige WebSocket-verbinding tot stand te brengen met een opgegeven externe server.
  • STOCKSTAY.AANDEELTRADERde belangrijkste achterdeur die het verzamelen van informatie mogelijk maakt.
  • BEURSSTAY.BEURSMARKTeen orkestrator of controller die de configuratie van de achterdeur parseert om verschillende opties in te stellen met betrekking tot de uitvoering van de malware, zoals de WebSocket-server, het tijdsinterval en de dagen waarop deze niet zou moeten werken. Het communiceert ook met STOCKSTAY.STOCKBROKER om de servergegevens door te geven en berichten te ontvangen via de bestaande WebSocket-verbinding, en met STOCKSTAY.STOCKTRADER om opdrachten uit te voeren die op de gecompromitteerde host moeten worden uitgevoerd.

Hieronder vindt u enkele ondersteuningsopdrachten van STOCKSTAY.STOCKTRADER –

  • Del, om de opgegeven bestanden te verwijderen
  • Dir, om de opgegeven mappen op te sommen
  • Get, om een ​​of meer gespecificeerde bestanden op te halen die overeenkomen met bepaalde extensies
  • MkDir, om een ​​of meer mappen te maken
  • RmDir, om de opgegeven mappen te verwijderen
  • Afbeelding, om een ​​schermopname van het scherm van het apparaat uit te voeren
  • MultyTask, om in één keer een door puntkomma’s gescheiden lijst met taken uit te voeren
  • Zet, om een ​​bestand naar het apparaat te uploaden
  • RegRead, om een ​​Windows-registerwaarde te lezen
  • RegDelete, om een ​​Windows-registerwaarde te verwijderen
  • RegWrite, om een ​​Windows-registerwaarde in te stellen
  • Uitvoeren, om een ​​nieuw proces uit te voeren
  • Sysinfo, om systeeminformatie te verzamelen
  • UnpackArchive, om het opgegeven ZIP-bestand uit te pakken naar de huidige map

Google zei dat het een openbaar toegankelijke GitHub-repository (“ChikenFresh/google-ai-labs-it”) heeft geïdentificeerd met daarin een Python-implementatie van de op het slachtoffer gerichte STOCKSTAY WebSocket-servercontroller die verantwoordelijk is voor het verwerken van inkomende berichten van een verbonden client en het loggen van het IP-adres ervan.

“Het onvermogen van de server om inkomende berichten te ontsleutelen verhindert introspectie door platformexploitanten en vertroebelt verder de locatie van de specifieke infrastructuur van de bedreigingsacteur”, aldus GTIG. “Deze architectuur lijkt enigszins op Turla’s multi-hop Kazuar C2-infrastructuur.”

Bij aanvallen waarbij STOCKSTAY wordt verspreid, wordt consequent gebruik gemaakt van kunstaas met een academisch of diplomatiek thema om regerings- en militaire organisaties in Oekraïne aan te vallen, waarbij vroege versies van de achterdeur worden gebruikt bij aanvallen gericht op entiteiten in Italië, Nederland, Polen en Duitsland. Dat gezegd hebbende, is het onbekend welke Europese entiteiten bij deze aanvallen werden uitgekozen.

In ten minste één geval dat begin 2025 werd waargenomen, zouden de Turla-actoren een phishing-e-mail hebben gebruikt met een kwaadaardige RDP-bestandsbijlage die, wanneer deze wordt geopend, een verbinding tot stand brengt tussen het apparaat van het slachtoffer en de door de actor gecontroleerde infrastructuur, waardoor extra payloads, waaronder STOCKSTAY, kunnen worden ingezet.

Nog in november 2025 werd ontdekt dat een e-mailphishinggolf gericht op Oekraïne het implantaat afleverde via RAR-archieven die misbruik maken van CVE-2025-8088, een WinRAR-kwetsbaarheid die is uitgebuit door een aantal Russische hackgroepen zoals Sandworm, Gamaredon en RomCom.

Andere campagnes maakten gebruik van MSI-installatieprogramma’s (in één geval gehost op GitHub) en RAR-bestanden met een HTML Application (HTA)-script, waarvan de laatste is ontworpen om een ​​variant van STOCKSTAY.MARKETMAKER uit te voeren. De downloader haalt vervolgens een ZIP-archief op met de belangrijkste STOCKSTAY-componenten die worden gehost op een gecompromitteerde WordPress-instantie.

Een opmerkelijk aspect van de malware is dat Turla deze in meerdere verschillende stadia van hun activiteiten heeft gebruikt, één als een manier om initiële toegang te verkrijgen tot omgevingen die nog niet eerder zijn geprofileerd en tijdens post-exploitatie na verkenning voor uitvoering op een specifieke host.

“Deze configuratie houdt in dat de actor in dit stadium precies weet welke machine het doelwit is, waarschijnlijk via bestaande toegang tot de doelomgeving”, legt GTIG uit. Dit werd gezien binnen Oekraïense netwerken waar STOCKSTAY werd ingezet tegen het einde van een operatie die voorheen sterk afhankelijk was van de andere instrumenten van de groep, zoals Kazuar.

De overlap van STOCKSTAY met Kazuar komt voort uit de overeenkomsten in de manier waarop de verantwoordelijkheden tussen de verschillende componenten zijn afgebakend. Kazuar’s gebruik van Kernel-, Bridge- en Worker-modules binnen Kazuar werd vorige maand uitgebreid beschreven door het Microsoft Threat Intelligence-team. De scheiding van verschillende, op rollen gebaseerde componenten in STOCKSTAY werd voor het eerst gedetecteerd in een voorbeeld dat in december 2023 vanuit Nederland naar VirusTotal werd geüpload.

Deze overeenkomsten hebben de mogelijkheid doen ontstaan ​​dat zowel STOCKSTAY als Kazuar gedeeltelijk door dezelfde ontwikkelaar of hetzelfde team zijn ontwikkeld en onderhouden.

“Wij zijn van mening dat STOCKSTAY wordt ontwikkeld naar het beeld van KAZUAR, waarbij verschillende ontwerpbeslissingen waarschijnlijk voortkomen uit de rijke ervaring van de bedreigingsacteur bij het uitvoeren van operaties met behulp van deze al lang bestaande toolkit”, aldus Google. “Beide ecosystemen zijn sterk afhankelijk van .NET-ontwikkeling en er is waargenomen dat ze gecompromitteerde WordPress-sites gebruikten tijdens verschillende stadia van hun activiteiten.”

“We zijn er met weinig vertrouwen van overtuigd dat onze observaties dat STOCKSTAY naast KAZUAR wordt ingezet tijdens actieve operaties het gevolg kunnen zijn van het feit dat de dreigingsactoren nieuwe capaciteiten willen testen tijdens actieve operaties, vooral wanneer ze verwachten dat hun bestaande toegang in de nabije toekomst zal worden hersteld.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Het Mythos-tijdperk overleven: Richard Bejtlich over de zaak voor NDR

Microsoft waarschuwt voor Photo ZIP Phishing-campagne gericht op hotels met Node.js-implantaat

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]