Російські хакери використали бекдор для шпигунства за урядом України та ЗСУ

Олександр Гайдамашко

Хакери атакують Україну / Magnific

Угруповання Turla, яке пов'язують з російською ФСБ, розгорнуло масштабну кібершпигунську кампанію проти українських державних і військових структур. Зловмисники використовують складний бекдор STOCKSTAY, що маскується під звичайні програми та обходить антивірусний захист.

Що відомо про атаку та вірус STOCKSTAY?

Фахівці Google Threat Intelligence Group (GTIG) викрили нову шпигунську кампанію, спрямовану проти українських урядових і військових організацій, а також дипломатичних структур Італії. Як повідомляє Cyberpress, за цими атаками стоять хакери з угруповання Turla.

Дивіться також Російські хакери використали стару вразливість для атаки на українські організації

STOCKSTAY – це багатокомпонентний бекдор, написаний на платформі .NET з використанням фреймворку Windows Forms. Спочатку цей вірус маскувався під програму для перегляду біржових даних, проте останні його варіанти ховаються під виглядом звичайних PDF-рідерів та калькуляторів.

Бекдор – це тип шкідливої програми, яка таємно створює для хакерів прихований канал доступу до зараженого комп'ютера, дозволяючи їм віддалено керувати системою та викрадати дані.

Взаємодія між внутрішніми компонентами вірусу в зараженій системі відбувається через спеціальний канал міжпроцесного обміну даними (IPC) шляхом надсилання повідомлень типу WM_COPYDATA. Інфраструктура вірусу складається з первинного завантажувача та трьох основних модулів:

STOCKSTAY.MARKETMAKER – первинний завантажувач, який розгортає та запускає всю іншу систему в мережі.
STOCKSTAY.STOCKBROKER – мережевий тунельник, який працює через проксі-сервери та встановлює стабільне шифроване з'єднання з сервером зловмисників.
STOCKSTAY.STOCKTRADER – головний функціональний бекдор. Він відповідає за збір конфіденційної інформації та виконання команд. Його функціонал дозволяє хакерам повністю контролювати пристрій жертви: видаляти й створювати папки, зчитувати та перезаписувати реєстр Windows, робити знімки екрана, завантажувати сторонні файли та запускати будь-які нові процеси в ОС.
STOCKSTAY.STOCKMARKET – керуючий "оркестратор", який аналізує конфігураційні файли, встановлює інтервали активності та дні, коли вірус має "спати", щоб уникнути виявлення антивірусними системами.

Як хакери проникають у системи?

Хакери проникають у мережі за допомогою ретельно підготовлених фішингових листів. Зловмисники використовують документи-приманки на дипломатичну, академічну або військову тематику. Наприклад, під час операцій у листопаді 2025 року вони надсилали електронні листи українською мовою, які нібито містили звіти про військові дрони. До листів прикріплювалися шкідливі RAR-архіви.

Ці архіви експлуатували критичну вразливість у популярному архіваторі WinRAR, яка відстежується як CVE-2025-8088. Це так звана вразливість "path traversal" (обхід каталогу).

Уявіть, що програмі дозволено розпаковувати файли лише у визначену папку, але через помилку в коді хакер може прописати шлях так, щоб файл зберігся в системних папках Windows.

Саме так вірус STOCKSTAY непомітно потрапляв прямо в папку автозавантаження (Windows Startup), забезпечуючи собі запуск при кожному увімкненні комп'ютера. Цю ж уразливість активно експлуатували й інші російські спецслужби, зокрема угруповання Sandworm, Gamaredon та RomCom.

Протягом 2025 року хакери використовували й інші методи доставки віруса:

На початку 2025 року масово розсилали шкідливі файли конфігурації RDP (Remote Desktop Protocol), які при відкритті з'єднували комп'ютер жертви з підконтрольною хакерам інфраструктурою.
Використовували шкідливі інсталятори MSI.
Розміщували ZIP-архіви із компонентами вірусу на зламаних сайтах під управлінням WordPress.

Як вірус ховається від антивірусів та де зберігає сервери?

Для зв'язку зі своїми командними серверами бекдор використовує безпечне з'єднання WebSocket. Це технологія, яка дозволяє підтримувати постійний двосторонній зв'язок між програмою та сервером. На відміну від звичайних запитів, вона працює непомітніше для багатьох систем захисту.

Щоб злитися з легітимним трафіком, хакери маршрутизують свої комунікації через популярні платформи для розробників, такі як GitHub і сервіс вебхостингу Render. Крім того, обидві родини шкідливих програм (STOCKSTAY та KAZUAR) використовують унікальний механізм обфускації (заплутування) рядків під назвою K1MORPHER, щоб приховати свою активність від антивірусного софту.

На пізніх етапах атаки шкідливе ПЗ застосовує так звану "прив'язку до середовища". Цей механізм гарантує, що вірус розшифрується та запуститься лише в тому випадку, якщо виявить специфічне доменне ім'я або ім'я хоста цільової української мережі. Це заважає дослідникам з кібербезпеки проаналізувати інструмент у своїх ізольованих лабораторіях.

Аналітики Google також виявили відкритий репозиторій на GitHub під назвою ChikenFresh/google-ai-labs-it, де зберігався керуючий серверний код STOCKSTAY, написаний на мові Python. Сервер побудований так, що оператори захисних платформ не можуть дешифрувати вхідні повідомлення та відстежити точне розташування серверів хакерів.

Дослідники зазначають, що STOCKSTAY має значні функціональні та кодові збіги зі старішим набором інструментів KAZUAR (який складається з компонентів Kernel, Bridge та Worker). Це вказує на те, що обидва інструменти розроблялися однією командою програмістів.

У мережах українських відомств новий бекдор STOCKSTAY зазвичай розгортали на фінальних етапах операції – після того, як інфраструктура вже була детально розвідана за допомогою Kazuar. Це свідчить про те, що хакери тестують нові рішення на випадок блокування їхніх старих точок доступу українськими кіберспеціалістами.