Nhóm Turla đã âm thầm mở rộng kho vũ khí tấn công gián điệp của mình với một backdoor mới có tên STOCKSTAY, nhắm mục tiêu tích cực vào các tổ chức chính phủ và quân sự tại Ukraine từ ít nhất là tháng 12 năm 2022. Nguồn tin ban đầu cho thấy sự phát triển liên tục của các công cụ tấn công tinh vi, đặt ra mối đe dọa dai dẳng cho các tổ chức quốc phòng.
Tổng quan về STOCKSTAY
STOCKSTAY là một phần mềm độc hại được xây dựng trên nền tảng .NET. Nó thiết lập giao tiếp với máy chủ điều khiển và chỉ huy (C2) thông qua một kết nối WebSocket được mã hóa. Cách thức này giúp nó hòa mình vào lưu lượng mạng thông thường, gây khó khăn cho việc phát hiện bởi các biện pháp an ninh mạng truyền thống.
Kiến trúc và hoạt động
STOCKSTAY bao gồm ba thành phần phối hợp với nhau:
- STOCKMARKET: Chịu trách nhiệm điều phối các hoạt động tổng thể.
- STOCKBROKER: Quản lý giao tiếp mạng bằng WebSocket, đảm bảo kết nối an toàn và khó bị phát hiện.
- STOCKTRADER: Thực thi các lệnh trên các máy bị nhiễm, bao gồm thu thập tệp tin, sửa đổi registry và chụp ảnh màn hình.
Một đặc điểm đáng chú ý là STOCKSTAY chỉ hoạt động vào các ngày trong tuần, trong khoảng thời gian từ 9 giờ sáng đến 6 giờ chiều. Việc này được thiết kế để mô phỏng giờ làm việc hành chính, nhằm tránh gây nghi ngờ và giảm thiểu khả năng bị phát hiện trong môi trường mạng.
Che giấu và ngụy trang
Ban đầu, STOCKSTAY được ngụy trang dưới dạng một công cụ xem dữ liệu thị trường chứng khoán. Nó sử dụng các tên tệp giả và dữ liệu cấu hình được thiết kế để trông giống như phần mềm thông thường, giúp nó dễ dàng trà trộn vào hệ thống mục tiêu. Đến năm 2025, các biến thể mới hơn đã xuất hiện, giả dạng các trình xem PDF và tiện ích máy tính, cho thấy sự thích ứng liên tục của nhóm tấn công.
Phương thức tấn công và xâm nhập
Nhóm Turla đã triển khai STOCKSTAY thông qua nhiều phương thức tiếp cận ban đầu, chủ yếu dựa vào các chiến dịch lừa đảo (phishing).
Tấn công ban đầu qua Lừa đảo
Các chiến dịch tấn công ban đầu thường sử dụng tệp tin Remote Desktop Protocol (RDP) độc hại. Nạn nhân nhận được email, giả mạo các tổ chức đáng tin cậy như học viện đào tạo quốc phòng hoặc nền tảng giáo dục ngoại giao, yêu cầu truy cập vào một cổng đào tạo trực tuyến hoặc tệp đính kèm RDP.
Việc mở tệp đính kèm RDP sẽ kết nối nạn nhân đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Từ đó, họ triển khai bộ tải xuống STOCKSTAY.MARKETMAKER, sau đó lấy toàn bộ bộ công cụ STOCKSTAY từ máy chủ đã bị xâm nhập.
Một chiến dịch vào tháng 11 năm 2025 nhắm mục tiêu vào khoảng 20 cá nhân tại Ukraine. Sau đó, các nhà phân tích đã xác nhận các chủ sở hữu tài khoản Google bị ảnh hưởng đã nhận được thông báo cảnh báo tấn công do chính phủ hỗ trợ.
Khai thác hạ tầng bị xâm nhập
Một trong những khía cạnh được tính toán kỹ lưỡng nhất trong các hoạt động này là việc Turla sử dụng hạ tầng bị xâm nhập tại Ukraine. Nhóm này đã dàn dựng các payload trên một trang web thuộc Sở Cảnh sát Nhà nước Ukraine và trên một máy chủ WordPress được lưu trữ trong nước.
Việc sử dụng các nguồn đáng tin cậy tại địa phương để phân phối phần mềm độc hại giúp chúng vượt qua các biện pháp kiểm soát có thể chặn các hạ tầng nước ngoài. Cụ thể, một chiến dịch vào đầu năm 2025 đã sử dụng hạ tầng bị xâm nhập, bao gồm các dịch vụ chính phủ và máy chủ của một công ty IT, để dàn dựng và cung cấp payload. Điều này cho phép nhóm tấn công hòa lẫn vào lưu lượng mạng nội bộ, làm cho việc phát hiện trở nên khó khăn hơn đáng kể.
Khai thác lỗ hổng WinRAR
Một chiến dịch khác đã sử dụng các kho lưu trữ RAR độc hại, khai thác một lỗ hổng traversal trong WinRAR được theo dõi là CVE-2025-8088. Lỗ hổng này cho phép kẻ tấn công vượt qua các cơ chế bảo mật của WinRAR để thực thi mã độc.
Phạm vi và mục tiêu
STOCKSTAY đã được triển khai trên nhiều quốc gia, bao gồm Ukraine, Ý, Hà Lan, Ba Lan và Đức. Mục tiêu chính của nhóm Turla luôn tập trung vào các Bộ Ngoại giao phương Tây, các tổ chức quốc phòng và các đơn vị quân sự Ukraine, phản ánh sự liên kết với lợi ích nhà nước.
Sự tương đồng với KAZUAR
Một chủ đề nhất quán trong các cuộc điều tra này là sự tương đồng chặt chẽ giữa STOCKSTAY và KAZUAR, bộ công cụ gián điệp hoạt động lâu dài hơn của Turla. Cả hai đều sử dụng kiến trúc đa thành phần, cơ chế khóa môi trường để bảo vệ cấu hình và các trang web WordPress bị xâm nhập trong quá trình hoạt động.
Các nhà phân tích của Google Threat Intelligence Group (GTIG) đánh giá với độ tin cậy vừa phải rằng cả hai công cụ có khả năng được phát triển bởi một nhóm chung làm việc song song. Việc này được củng cố bởi việc vào tháng 4 năm 2025, STOCKSTAY đã áp dụng một phương pháp làm rối mã mới dựa trên thuật toán giả ngẫu nhiên gọi là Squirrel3 (được gọi là K1MORPHER). Đến tháng 6 năm 2025, cùng mã nguồn này đã xuất hiện trong các mẫu KAZUAR.
Chỉ số xâm nhập (IoCs)
Các nhóm tấn công tiên tiến thường thay đổi các chỉ số xâm nhập để tránh bị phát hiện. Dưới đây là một số chỉ số được ghi nhận:
- Tên tệp độc hại: STOCKSTAY.MARKETMAKER, STOCKSTAY.exe
- Tên tiến trình giả mạo: chrome.exe, svchost.exe
- Tên biến thể: K1MORPHER
- Các tên miền và địa chỉ IP C2: (Thông tin cụ thể cần được tham khảo từ các báo cáo bảo mật chuyên sâu và được xử lý cẩn thận trong môi trường an toàn).
Lưu ý: Các địa chỉ IP và tên miền được cung cấp có thể bị làm mất hiệu lực (ví dụ: [.] thay vì .) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngẫu nhiên. Việc định dạng lại chỉ nên thực hiện trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Phòng chống và cập nhật bản vá
Việc các nhóm tấn công như Turla liên tục phát triển và triển khai các công cụ tinh vi như STOCKSTAY nhấn mạnh tầm quan trọng của việc duy trì một chiến lược bảo mật chủ động. Các tổ chức cần tập trung vào việc:
- Cập nhật bản vá kịp thời: Đảm bảo tất cả hệ thống và phần mềm, đặc biệt là các phần mềm dễ bị tấn công như WinRAR, luôn được cập nhật lên phiên bản mới nhất để vá các lỗ hổng đã biết, bao gồm cả các lỗ hổng CVE.
- Giám sát lưu lượng mạng: Triển khai các giải pháp giám sát mạng có khả năng phát hiện lưu lượng bất thường hoặc các kết nối WebSocket đáng ngờ.
- Đào tạo nhận thức về an ninh mạng: Nâng cao nhận thức của nhân viên về các kỹ thuật lừa đảo, đặc biệt là các email và tệp đính kèm đáng ngờ.
- Phân tích và phát hiện mối đe dọa: Sử dụng các công cụ phân tích hành vi và phát hiện xâm nhập (IDS/IPS) để xác định các hoạt động độc hại dựa trên các chỉ số IoC.
Việc nhóm Turla tiếp tục tinh chỉnh STOCKSTAY khẳng định vị thế của nó như một trong những tác nhân gián điệp có năng lực kỹ thuật cao nhất hiện nay, đòi hỏi các biện pháp an ninh mạng liên tục được cải thiện.
