大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
谷歌云威胁情报团队GTIG最新披露,有着20年作案史俄FSB关联APT组织Turla(又称秘密暴雪、Venomous Bear)推出全新自研.NET后门StockStay,专攻乌克兰军政、欧洲外交机构,依托正规云服务隐匿通信链路,模块化隐蔽架构大幅提升潜伏能力,成为当前东欧地缘网络间谍主力武器。
一、团伙背景:深耕全球谍战的老牌国家级APT
Turla溯源至2004年,多国情报机构实锤隶属俄联邦安全局FS,足迹覆盖全球50+国家,长期盯各国政府、军方、外交、军工科研单位。
经典武器库包含Snake根木马、Kazuar后门、Lunar间谍套件,擅长数月乃至数年无痕迹潜伏,此次StockStay是其2022年底持续迭代的新一代情报收集专用载荷,代码与老牌Kazuar存在同源特征,开发团队高度统一。
二、StockStay三层模块化架构,分工完成全链路窃密
该恶意软件采用三组件拆分设计,进程间通过WM_COPYDATA隐秘通信,单组件失效不影响整体潜伏:
1. StockMarket调度中心
全局配置解析器,自定义休眠周期、任务队列,采用环境密钥加密配置文件,仅在目标真实环境可解密,沙箱、离线样本无法还原攻击参数,大幅提升逆向分析门槛。
2. StockBroker隧道组件
核心隐蔽通信模块,搭建加密WebSocket通道,中转链路滥用GitHub、被攻陷WordPress站点作跳板,流量完全混入正常云访问日志,防火墙难以区分恶意行为。
3. StockTrader核心后门
全功能情报采集单元,具备系统指纹抓取、LSASS凭证导出、全屏截屏、批量文件窃取、注册表篡改、远程命令执行全套间谍能力,可批量搜刮涉密公文、军务资料、外交往来文档。
三、多渠道入侵入口,老旧漏洞+钓鱼双管齐下
Turla投放StockStay采用多重突破手段,针对性打击政务办公场景:
1. 漏洞投递:大规模利用CVE-2025-8088 WinRAR路径遍历漏洞,制作伪装法院传票、军务清单的恶意RAR包,解压静默写入开机启动项;
2. 钓鱼社工:盗用乌克兰高校、监管机构邮箱群发钓鱼邮件,附带恶意RDP配置文件诱导连接黑客受控服务器;
3 供应链侧击:劫持行业交流网盘、政务共享平台植入带毒项目包,批量感染公职人员终端。
四、两大隐蔽杀手锏,传统杀毒极易漏报
1. 定制加密体系
全程4096位RSA非对称加密通信,窃取文件分段加密外传,无固定恶意特征码;
2. 环境锁隔离技术
配置文件绑定目标主机硬件、域环境特征,安全研究员离线拿到样本也无法解密运行逻辑,大幅延缓威胁溯源速度。
五、重点受害行业与攻击目标
1. 乌克兰全境政府、军队、国防科研单位(核心打击对象,投放样本数量最多);
2. 意大利、东欧各国外交部门、驻外办事机构;
3. 军工、能源、航空涉密研发机构,重点窃取作战方案、装备图纸、外交涉密材料。
六、企业/机构防御落地措施
1. 全网统一升级WinRAR至7.13及以上版本,拦截CVE-2025-8088漏洞利用载体;
2. 终端监控异常WebSocket长连接、无名后台.NET进程、定时静默截屏行为;
3. 拦截内网终端主动外联GitHub非常规静态资源、境外无名WordPress站点;
4. 邮件网关隔离带路径遍历特征的RAR5压缩包,政务类附件强制沙箱深度检测;
5. 定期巡检开机目录、计划任务、注册表Run项,清理陌生.NET启动程序。
结语
Turla持续迭代轻量化、云隐匿型间谍工具,放弃重型根木马,转向StockStay这类易投放、难溯源模块化后门,针对政企长期潜伏窃密已成常态化作战模式。军政、涉外单位需同步补齐终端行为监控与邮件深度检测能力,阻断依托公有云隐蔽的APT通信通道。
你所在单位是否监测过依托GitHub、云存储中转的恶意流量?评论区交流防御思路
加入知识星球,可获取权益
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。



二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

