An ninh mạng

Google cảnh báo về STOCKSTAY: Backdoor .NET mới trong chiến dịch gián điệp của Turla

Nhóm tin tặc Turla đang sử dụng một loại backdoor .NET tinh vi có tên STOCKSTAY để tấn công các tổ chức chính phủ và quân sự tại Ukraine, với kiến trúc mô phỏng theo mã độc Kazuar nổi...

Nguyen Hung
26 Tháng 6, 2026 2 Min Read
3 0

Google Threat Intelligence Group (GTIG) vừa công bố báo cáo chi tiết về STOCKSTAY, một loại backdoor .NET chưa từng được ghi nhận trước đây, đang được nhóm tin tặc Turla (được cho là có sự hậu thuẫn từ Nga) sử dụng trong các chiến dịch gián điệp mạng. Mục tiêu chính của loại mã độc này là các tổ chức chính phủ, quân sự tại Ukraine và các thực thể có liên quan đến chính sách đối ngoại của Ý.

Kiến trúc đa thành phần của STOCKSTAY

STOCKSTAY được phát triển dựa trên framework Windows Forms và có nhiều điểm tương đồng về mã nguồn cũng như chức năng với Kazuar – một công cụ tấn công đã được Turla sử dụng từ năm 2017. Mã độc này vận hành thông qua nhiều thành phần giao tiếp với nhau bằng cơ chế inter-process communication (IPC) thông qua thông điệp WM_COPYDATA.

Quy trình lây nhiễm bắt đầu bằng downloader STOCKSTAY.MARKETMAKER, sau đó triển khai ba module chính:

  • STOCKSTAY.STOCKBROKER: Đóng vai trò là tunneler hỗ trợ proxy, thiết lập kết nối WebSocket bảo mật tới server điều khiển (C2).
  • STOCKSTAY.STOCKTRADER: Module backdoor chính thực hiện thu thập thông tin và thực thi các lệnh từ kẻ tấn công.
  • STOCKSTAY.STOCKMARKET: Bộ điều phối (orchestrator) phân tích cấu hình, quản lý thời gian hoạt động và điều phối liên lạc giữa các module.

Các khả năng của STOCKSTAY bao gồm quản lý file (xóa, liệt kê, tải lên/xuống), chụp ảnh màn hình, thực thi tiến trình, đọc/ghi Windows Registry và thu thập thông tin hệ thống.

Phương thức phát tán và chiến thuật tấn công

Turla sử dụng nhiều kỹ thuật tinh vi để phát tán STOCKSTAY, bao gồm:

  • Phishing: Sử dụng email giả mạo với tệp đính kèm RDP độc hại hoặc các tệp RAR khai thác lỗ hổng CVE-2025-8088 trong WinRAR.
  • Lợi dụng hạ tầng: Sử dụng các trình cài đặt MSI hoặc tệp HTA. Đáng chú ý, kẻ tấn công thường sử dụng các trang WordPress bị chiếm quyền để lưu trữ các tệp ZIP chứa mã độc.

Google nhận định rằng STOCKSTAY không chỉ được dùng để truy cập ban đầu mà còn được triển khai trong giai đoạn hậu khai thác (post-exploitation). Việc STOCKSTAY xuất hiện cùng với Kazuar trong các chiến dịch gần đây cho thấy khả năng Turla đang thử nghiệm các công cụ mới trong môi trường thực tế.

Các chuyên gia an ninh mạng khuyến cáo các tổ chức cần tăng cường giám sát các kết nối WebSocket bất thường và kiểm tra kỹ các tệp tin thực thi, đặc biệt là các tệp được ngụy trang dưới dạng công cụ tài chính hoặc tiện ích văn phòng để phòng tránh nguy cơ từ loại mã độc này.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept