Злоумышленники маскируют вредоносные программы под легитимные утилиты В Google Threat Intelligence Group обнаружили новый шпионский .NET-бекдор STOCKSTAY. Инструмент, используемый российскими правительственными хакерами Turla, развернут против военных и госучреждений Украины, а также европейских дипломатических ведомств.Об этом информирует РБК-Украина со ссылкой на свежий отчет Google .Архитектура STOCKSTAY и механизмы маскировкиПо информации экспертов, STOCKSTAY является многокомпонентным бэкдором, написанным на платформе .NET с использованием фреймворка Windows Forms.Для связи с командным сервером (C2) приложение применяет защищенное соединение WebSocket через открытую библиотеку websocket-sharp.Взаимодействие между модулями внутри зараженной системы происходит через специальный канал межпроцессного обмена данными (IPC) путем отправки сообщений типа WM_COPYDATA.Инфраструктура вредоносного комплекса состоит из загрузчика и трех основных модулей:STOCKSTAY.MARKETMAKER: первичный загрузчик, разворачивающий и запускающий всю другую систему.STOCKSTAY.STOCKBROKER: сетевой туннельник, работающий через прокси-серверы и устанавливающий стабильное шифрованное соединение с сервером злоумышленников.STOCKSTAY.STOCKTRADER: главный функциональный бэкдор, отвечающий за непосредственный сбор конфиденциальной информации и исполнение команд.STOCKSTAY.STOCKMARKET: управляющий "оркестратор", анализирующий конфигурационные файлы, устанавливает интервалы активности и дни, когда вирус должен "спать", чтобы избежать обнаружения.Функционал модуля STOCKTRADER позволяет хакерам полностью контролировать устройство:удалять и создавать папки,считывать и перезаписывать реестр Windows,делать снимки экрана,загружать посторонние файлы,запускать какие-либо новые процессы в операционной системе. Обзор архитектуры вредоносного программного обеспечения STOCKSTAY (схема: Google)Читайте больше : Российские приложения исчезли из App Store: Apple убрала VK, Дзен и ОдноклассникиМетоды проникновения и связи с платформой KazuarКомпании по распространению STOCKSTAY базируются на методах социальной инженерии с использованием фишинговых писем на академическую или дипломатическую тематику.В начале 2025 года хакеры массово рассылали вредоносные файлы конфигурации RDP, которые при открытии соединяли компьютер жертвы с подконтрольной инфраструктурой врага.Уже в ноябре 2025 года была зафиксирована новая волна фишинга против Украины - вирус доставлялся в архивах RAR из-за эксплуатации уязвимости CVE-2025-8088.Эту же уязвимость утилиты WinRAR активно использовали и другие российские спецслужбы, в частности, группы Sandworm, Gamaredon и RomCom.В других случаях злоумышленники использовали установщики MSI или сломанные сайты на базе WordPress для размещения ZIP-архивов с компонентами вируса.Аналитики Google обнаружили открытый репозиторий на GitHub под названием ChikenFresh/google-ai-labs-it, где хранился управляющий серверный код STOCKSTAY, написанный на языке Python.Важно: сервер построен таким образом, что операторы защитных платформ не могут дешифровать входящие сообщения и отследить точное расположение серверов хакеров. Хронология наблюдений внедрения бэкдора STOCKSTAY (схема: Google)Сходство распределения ролей между модулями STOCKSTAY и структурой Kazuar (состоящее из компонентов Kernel, Bridge и Worker) указывает на то, что оба инструмента разрабатывались одной командой программистов.В сетях украинских ведомств новый бэкдор обычно разворачивали на финальных этапах сделки, когда инфраструктура уже была подробно разведана с помощью Kazuar.Специалисты считают, что испытание нового инструмента в реальных боевых условиях свидетельствует о попытке хакеров протестировать свежие решения на случай, если их старые точки доступа будут заблокированы украинскими киберспециалистами.Еще больше интересного :Миллионы постов в поле зрения ИИ: Meta запускает новую функцию FacebookРоссия хотела обмануть ИИ: что раскрыл "Проект 2026"