Российские хакеры использовали бэкдор для шпионажа за правительством Украины и ВСУ

Александр Гайдамашко

Хакеры атакуют Украину / Magnific

Группировка Turla, которую связывают с российской ФСБ, развернула масштабную кибершпионскую кампанию против украинских государственных и военных структур. Злоумышленники используют сложный бэкдор STOCKSTAY, который маскируется под обычные программы и обходит антивирусную защиту.

Что известно об атаке и вирусе STOCKSTAY?

Специалисты Google Threat Intelligence Group (GTIG) раскрыли новую шпионскую кампанию, направленную против украинских правительственных и военных организаций, а также дипломатических структур Италии. Как сообщает Cyberpress, за этими атаками стоят хакеры из группировки Turla.

STOCKSTAY – это многокомпонентный бэкдор, написанный на платформе .NET с использованием фреймворка Windows Forms. Изначально этот вирус маскировался под программу для просмотра биржевых данных, однако последние его варианты скрываются под видом обычных PDF-ридеров и калькуляторов.

Бэкдор – это тип вредоносной программы, которая тайно создает для хакеров скрытый канал доступа к зараженному компьютеру, позволяя им удаленно управлять системой и похищать данные.

Взаимодействие между внутренними компонентами вируса в заражённой системе происходит через специальный канал межпроцессного обмена данными (IPC) посредством отправки сообщений типа WM_COPYDATA. Инфраструктура вируса состоит из первичного загрузчика и трёх основных модулей:

STOCKSTAY.MARKETMAKER – первичный загрузчик, который развертывает и запускает всю остальную систему в сети.
STOCKSTAY.STOCKBROKER – сетевой туннелер, который работает через прокси-серверы и устанавливает стабильное зашифрованное соединение с сервером злоумышленников.
STOCKSTAY.STOCKTRADER – главный функциональный бэкдор. Он отвечает за сбор конфиденциальной информации и выполнение команд. Его функционал позволяет хакерам полностью контролировать устройство жертвы: удалять и создавать папки, считывать и перезаписывать реестр Windows, делать снимки экрана, загружать сторонние файлы и запускать любые новые процессы в ОС.
STOCKSTAY.STOCKMARKET – управляющий "оркестратор", который анализирует конфигурационные файлы, устанавливает интервалы активности и дни, когда вирус должен "спать", чтобы избежать обнаружения антивирусными системами.

Как хакеры проникают в системы?

Хакеры проникают в сети с помощью тщательно подготовленных фишинговых писем. Злоумышленники используют документы-приманки на дипломатическую, академическую или военную тематику. Например, в ходе операций в ноябре 2025 года они рассылали электронные письма на украинском языке, которые якобы содержали отчеты о военных дронах. К письмам прикреплялись вредоносные RAR-архивы.

Эти архивы эксплуатировали критическую уязвимость в популярном архиваторе WinRAR, которая отслеживается как CVE-2025-8088. Это так называемая уязвимость "path traversal" (обход каталога).

Представьте, что программе разрешено распаковывать файлы только в определённую папку, но из-за ошибки в коде хакер может прописать путь так, чтобы файл сохранился в системных папках Windows.

Именно так вирус STOCKSTAY незаметно попадал прямо в папку автозагрузки (Windows Startup), обеспечивая себе запуск при каждом включении компьютера. Эту же уязвимость активно эксплуатировали и другие российские спецслужбы, в частности группировки Sandworm, Gamaredon и RomCom.

В течение 2025 года хакеры использовали и другие методы доставки вируса:

В начале 2025 года массово рассылали вредоносные файлы конфигурации RDP (Remote Desktop Protocol), которые при открытии соединяли компьютер жертвы с подконтрольной хакерам инфраструктурой.
Использовали вредоносные установщики MSI.

Размещали ZIP-архивы с компонентами вируса на взломанных сайтах под управлением WordPress.

Как вирус скрывается от антивирусов и где хранит серверы?

Для связи со своими командными серверами бэкдор использует безопасное соединение WebSocket. Это технология, которая позволяет поддерживать постоянную двустороннюю связь между программой и сервером. В отличие от обычных запросов, она работает незаметнее для многих систем защиты.

Чтобы смешаться с легитимным трафиком, хакеры маршрутизируют свои коммуникации через популярные платформы для разработчиков, такие как GitHub и сервис веб-хостинга Render. Кроме того, оба семейства вредоносных программ (STOCKSTAY и KAZUAR) используют уникальный механизм обфускации (запутывания) строк под названием K1MORPHER, чтобы скрыть свою активность от антивирусного ПО.

На поздних этапах атаки вредоносное ПО применяет так называемую "привязку к среде". Этот механизм гарантирует, что вирус расшифруется и запустится только в том случае, если обнаружит конкретное доменное имя или имя хоста целевой украинской сети. Это мешает исследователям в области кибербезопасности проанализировать инструмент в своих изолированных лабораториях.

Аналитики Google также обнаружили открытый репозиторий на GitHub под названием ChikenFresh/google-ai-labs-it, где хранился управляющий серверный код STOCKSTAY, написанный на языке Python. Сервер построен таким образом, что операторы защитных платформ не могут дешифровать входящие сообщения и отследить точное расположение серверов хакеров.

Исследователи отмечают, что STOCKSTAY имеет значительные функциональные и кодовые совпадения с более старым набором инструментов KAZUAR (состоящим из компонентов Kernel, Bridge и Worker). Это указывает на то, что оба инструмента разрабатывались одной командой программистов.

В сетях украинских ведомств новый бэкдор STOCKSTAY обычно развертывался на заключительных этапах операции – после того, как инфраструктура уже была детально изучена с помощью Kazuar. Это свидетельствует о том, что хакеры тестируют новые решения на случай блокировки их старых точек доступа украинскими киберспециалистами.