文章总结: 俄罗斯高级持续性威胁组织Turla针对乌克兰政府机构和军方部署新型后门StockStay,该后门采用.NET框架模块化设计,伪装成股票行情工具或PDF阅读器以降低检测概率,通过加密WebSocket通信实现隐蔽数据传输,并利用乌克兰境内被攻陷的合法服务器作为分发基础设施。安全专家建议加强电子邮件防护、部署EDR系统并监测异常WebSocket通信以提升检测能力。 综合评分: 90 文章分类: 威胁情报,恶意软件,漏洞分析,红队,安全运营
俄罗斯高级威胁组织(APT)部署“StockStay”后门攻击乌克兰目标
原创
何威风 何威风
豫说网数安
2026年7月3日 00:00 河南
在小说阅读器读本章
去阅读
Google Threat Intelligence Group(GTIG)近日发布最新威胁报告称,俄罗斯国家支持高级持续性威胁(APT)组织Turla正在针对乌克兰政府机构和军方部署一款名为StockStay的新型后门程序,以实施长期网络间谍活动。研究人员表示,StockStay自2022年开始开发,经过多次迭代,目前已成为Turla针对高价值目标的重要攻击工具。
Turla(又称Snake、Waterbug、Venomous Bear、Krypton、UAC-0194)是全球最活跃、技术实力最强的国家级APT组织之一,自2004年以来持续开展网络间谍活动。美国政府于2023年正式将该组织归因于俄罗斯联邦安全局(FSB)。长期以来,Turla主要针对政府、外交机构、军工企业、国际组织及科研机构窃取敏感情报,其攻击目标遍布欧洲、中东及北约成员国。
GTIG分析显示,StockStay是一款采用.NET框架开发的模块化后门,与Turla早期使用的Kazuar后门在代码结构和功能设计上存在明显相似性,说明该组织正在持续演进其恶意软件平台,而非重新开发全新的攻击框架。为了降低被发现的概率,早期版本的StockStay伪装成股票行情查看工具,近期版本则改为冒充PDF阅读器、计算器等常见应用程序,诱导目标用户执行恶意程序。
从技术架构来看,StockStay采用模块化设计,由多个组件协同运行。其中,MarketMaker负责下载和安装恶意载荷,并建立开机自启动;StockBroker负责通过开源websocket-sharp库建立加密WebSocket通信,实现与攻击者命令控制(C2)服务器之间的隐蔽数据传输;StockMarket则作为调度模块,对整个恶意软件运行流程进行统一管理。各组件之间通过进程间通信(IPC)交换数据,并使用加密配置文件保存运行参数,从而提升隐蔽性和灵活性。
部门和军事机构,攻击者甚至利用位于乌克兰境内、此前已被攻陷的合法服务器作为恶意软件分发基础设施,以降低攻击流量被识别的概率。研究人员同时发现,StockStay早期样本还曾出现在意大利、德国、荷兰和波兰等欧洲国家,部分目标涉及外交和外交政策相关机构,不过这些攻击是否最终成功尚未得到确认。
安全专家认为,StockStay再次反映出国家级APT组织正持续向模块化、长期潜伏和隐蔽通信方向演进。相比传统恶意软件,新一代APT后门更加注重可扩展性和持久化能力,可根据任务需求动态加载功能模块,并利用加密通信、合法网络协议及受害国本地基础设施隐藏攻击痕迹,增加取证和检测难度。
业内人士指出,随着俄乌冲突持续,乌克兰政府、军方及关键基础设施仍将是俄罗斯网络间谍活动的重点目标,而欧洲外交机构和与乌克兰事务相关的组织也可能继续受到波及。Google建议各组织加强电子邮件安全防护、部署终端检测与响应(EDR)系统、监测异常WebSocket通信,并结合威胁情报持续开展威胁狩猎,以提升对新型APT后门的发现和响应能力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:豫说网数安 何威风 何威风《俄罗斯高级威胁组织(APT)部署“StockStay”后门攻击乌克兰目标》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论