Российские хакеры использовали бэкдор для шпионажа за правительством Украины и ВСУ
Специалисты Google Threat Intelligence Group (GTIG) раскрыли новую шпионскую кампанию, направленную против украинских правительственных и военных организаций, а также дипломатических структур Италии. Как сообщает Cyberpress, за этими атаками стоят хакеры из группировки Turla.
Смотрите также: Российские хакеры использовали старую уязвимость для атаки на украинские организации
STOCKSTAY – это многокомпонентный бэкдор, написанный на платформе .NET с использованием фреймворка Windows Forms. Изначально этот вирус маскировался под программу для просмотра биржевых данных, однако последние его варианты скрываются под видом обычных PDF-ридеров и калькуляторов.
Бэкдор – это тип вредоносной программы, которая тайно создает для хакеров скрытый канал доступа к зараженному компьютеру, позволяя им удаленно управлять системой и похищать данные.
Взаимодействие между внутренними компонентами вируса в заражённой системе происходит через специальный канал межпроцессного обмена данными (IPC) посредством отправки сообщений типа WM_COPYDATA. Инфраструктура вируса состоит из первичного загрузчика и трёх основных модулей:
Хакеры проникают в сети с помощью тщательно подготовленных фишинговых писем. Злоумышленники используют документы-приманки на дипломатическую, академическую или военную тематику. Например, в ходе операций в ноябре 2025 года они рассылали электронные письма на украинском языке, которые якобы содержали отчеты о военных дронах. К письмам прикреплялись вредоносные RAR-архивы.
Эти архивы эксплуатировали критическую уязвимость в популярном архиваторе WinRAR, которая отслеживается как CVE-2025-8088. Это так называемая уязвимость "path traversal" (обход каталога).
Представьте, что программе разрешено распаковывать файлы только в определённую папку, но из-за ошибки в коде хакер может прописать путь так, чтобы файл сохранился в системных папках Windows.
Именно так вирус STOCKSTAY незаметно попадал прямо в папку автозагрузки (Windows Startup), обеспечивая себе запуск при каждом включении компьютера. Эту же уязвимость активно эксплуатировали и другие российские спецслужбы, в частности группировки Sandworm, Gamaredon и RomCom.
В течение 2025 года хакеры использовали и другие методы доставки вируса:
Для связи со своими командными серверами бэкдор использует безопасное соединение WebSocket. Это технология, которая позволяет поддерживать постоянную двустороннюю связь между программой и сервером. В отличие от обычных запросов, она работает незаметнее для многих систем защиты.
Чтобы смешаться с легитимным трафиком, хакеры маршрутизируют свои коммуникации через популярные платформы для разработчиков, такие как GitHub и сервис веб-хостинга Render. Кроме того, оба семейства вредоносных программ (STOCKSTAY и KAZUAR) используют уникальный механизм обфускации (запутывания) строк под названием K1MORPHER, чтобы скрыть свою активность от антивирусного ПО.
На поздних этапах атаки вредоносное ПО применяет так называемую "привязку к среде". Этот механизм гарантирует, что вирус расшифруется и запустится только в том случае, если обнаружит конкретное доменное имя или имя хоста целевой украинской сети. Это мешает исследователям в области кибербезопасности проанализировать инструмент в своих изолированных лабораториях.
Аналитики Google также обнаружили открытый репозиторий на GitHub под названием ChikenFresh/google-ai-labs-it, где хранился управляющий серверный код STOCKSTAY, написанный на языке Python. Сервер построен таким образом, что операторы защитных платформ не могут дешифровать входящие сообщения и отследить точное расположение серверов хакеров.
Исследователи отмечают, что STOCKSTAY имеет значительные функциональные и кодовые совпадения с более старым набором инструментов KAZUAR (состоящим из компонентов Kernel, Bridge и Worker). Это указывает на то, что оба инструмента разрабатывались одной командой программистов.
В сетях украинских ведомств новый бэкдор STOCKSTAY обычно развертывался на заключительных этапах операции – после того, как инфраструктура уже была детально изучена с помощью Kazuar. Это свидетельствует о том, что хакеры тестируют новые решения на случай блокировки их старых точек доступа украинскими киберспециалистами.
- Последние
- Популярные
Новости по дням
29 июня 2026
