جوجل تكشف باب STOCKSTAY الخلفي الجديد من Turla في هجمات تجسس بأوكرانيا

مقدمة تحليلية

كشفت مجموعة جوجل Threat Intelligence Group (GTIG) عن تفاصيل خطيرة حول باب خلفي جديد غير موثق سابقاً يُدعى STOCKSTAY، والذي يُنسب إلى المجموعة الروسية المدعومة من الدولة Turla. تم نشر هذا الباب الخلفي المصمم بلغة .NET ضد منظمات حكومية وعسكرية في أوكرانيا، بالإضافة إلى كيانات لها اهتمام بالسياسة الخارجية الإيطالية. يمثل هذا الكشف تطوراً جديداً في ترسانة التجسس السيبراني الروسية ويؤكد على الطبيعة المستمرة والمتقدمة للتهديدات التي تواجه البنى التحتية الحيوية على مستوى العالم. تشير جوجل إلى أن STOCKSTAY يشترك في العديد من أوجه التشابه الكودية والوظيفية مع Kazuar، وهو أحد الأدوات الأساسية التي تستخدمها Turla منذ عام 2017، مما يوحي باستمرارية في استراتيجيات التطوير والعمليات. بدأ نشاط تطوير البرمجيات الخبيثة هذا في ديسمبر 2022، مما يدل على فترة زمنية طويلة من التحضير والتطوير قبل الكشف عنه. يبرز STOCKSTAY كأداة متعددة المكونات مصممة لجمع المعلومات الحساسة وتمكين التحكم عن بعد في الأنظمة المخترقة، مما يجعله تهديداً كبيراً للأمن القومي للبلدان المستهدفة.

التحليل التقني

STOCKSTAY هو باب خلفي متعدد المكونات مكتوب بلغة .NET، ويستخدم إطار عمل Windows Forms. يتواصل هذا الباب الخلفي مع خادم القيادة والتحكم (C2) الخاص به عبر اتصال WebSocket آمن، مستخدماً مكتبة `websocket-sharp` مفتوحة المصدر. يتكون STOCKSTAY من عدة مكونات مميزة تتواصل فيما بينها عبر قناة اتصال بين العمليات (IPC)، بناءً على تبادل رسائل `WM_COPYDATA`. في البداية، تم تصميم الأداة لتقليد أداة لعرض بيانات سوق الأسهم، ولكن تم تكييفها لاحقاً للتنكر في شكل برامج غير ضارة أخرى مثل عارضي ملفات PDF وأدوات الحاسبة. نقطة البداية هي مكون تنزيل يحمل الاسم الرمزي STOCKSTAY.MARKETMAKER، والذي يقوم بتثبيت وتشغيل ثلاث وحدات إضافية:

• STOCKSTAY.STOCKBROKER: نفق يدعم الوكيل يسهل قدرات الاتصال بالشبكة لمجموعة STOCKSTAY الأوسع عن طريق إنشاء اتصال WebSocket آمن بخادم بعيد محدد.
• STOCKSTAY.STOCKTRADER: الباب الخلفي الرئيسي الذي يمكن من جمع المعلومات.
• STOCKSTAY.STOCKMARKET: منسق أو متحكم يقوم بتحليل تهيئة الباب الخلفي لتعيين عدة خيارات تتعلق بتنفيذ البرامج الضارة، مثل خادم WebSocket، الفاصل الزمني، والأيام التي لا يُفترض أن يعمل فيها. كما يتواصل مع STOCKSTAY.STOCKBROKER لتوفير تفاصيل الخادم وتلقي الرسائل عبر اتصال WebSocket المُنشأ، ومع STOCKSTAY.STOCKTRADER لإصدار الأوامر لتشغيلها على المضيف المخترق.

تتضمن بعض الأوامر المدعومة من STOCKSTAY.STOCKTRADER ما يلي:

• `Del`: لحذف الملفات المحددة.
• `Dir`: لتعداد الأدلة المحددة.
• `Get`: لجلب ملف واحد أو أكثر من الملفات المحددة المطابقة لملحقات معينة.
• `MkDir`: لإنشاء دليل واحد أو أكثر.
• `RmDir`: لحذف الأدلة المحددة.
• `Image`: لإجراء لقطة شاشة لجهاز الشاشة.
• `MultyTask`: لتشغيل قائمة مهام مفصولة بفاصلة منقوطة دفعة واحدة.
• `Put`: لتحميل ملف إلى الجهاز.
• `RegRead`: لقراءة قيمة سجل Windows.
• `RegDelete`: لحذف قيمة سجل Windows.
• `RegWrite`: لتعيين قيمة سجل Windows.
• `Run`: لتنفيذ عملية جديدة.
• `Sysinfo`: لجمع معلومات النظام.
• `UnpackArchive`: لاستخراج ملف ZIP المحدد إلى دليله الحالي.

كما كشفت جوجل عن مستودع GitHub متاح للعامة (`ChikenFresh/google-ai-labs-it`) يحتوي على تطبيق Python لوحدة التحكم في خادم WebSocket المواجه للضحية في STOCKSTAY، والذي يتولى معالجة الرسائل الواردة من عميل متصل وتسجيل عنوان IP الخاص به. تشير GTIG إلى أن هذا يساهم في إخفاء بنية المهاجمين التحتية، حيث يعيق عدم قدرة الخادم على فك تشفير الرسائل الواردة عمليات التفتيش من قبل مشغلي المنصة.

السياق وتأثير السوق

تستغل الهجمات التي توزع STOCKSTAY بشكل ثابت إغراءات ذات طابع أكاديمي أو دبلوماسي لاستهداف المنظمات الحكومية والعسكرية داخل أوكرانيا. وقد تم استخدام الإصدارات المبكرة من الباب الخلفي في هجمات استهدفت كيانات في إيطاليا، هولندا، بولندا، وألمانيا، على الرغم من عدم تحديد الكيانات الأوروبية المستهدفة بالضبط. هذا النطاق الواسع للاستهداف يؤكد على الأجندة الجيوسياسية لمجموعة Turla وقدرتها على التكيف. في إحدى الحالات التي لوحظت في أوائل عام 2025، استخدمت مجموعة Turla بريداً إلكترونياً للتصيد الاحتيالي يحتوي على مرفق ملف RDP خبيث. عند فتحه، يؤسس هذا الملف اتصالاً بين جهاز الضحية والبنية التحتية التي يتحكم فيها المهاجمون، مما يسمح بنشر حمولات إضافية، بما في ذلك STOCKSTAY. وفي نوفمبر 2025، اكتُشفت موجة تصيد إلكتروني تستهدف أوكرانيا، حيث تم تسليم الأداة عبر أرشيفات RAR تستغل الثغرة الأمنية CVE-2025-8088 في WinRAR، وهي ثغرة تم استغلالها من قبل عدد من مجموعات القرصنة الروسية الأخرى مثل Sandworm و Gamaredon و RomCom. شملت الحملات الأخرى استخدام مثبتات MSI (تم استضافة إحداها على GitHub) وملفات RAR تحتوي على نص برمجي لتطبيق HTML (HTA)، والذي تم تصميمه لتنفيذ متغير من STOCKSTAY.MARKETMAKER. يقوم المُنَزِّل بعد ذلك باسترداد أرشيف ZIP يحتوي على مكونات STOCKSTAY الرئيسية المستضافة على نسخة WordPress مخترقة. أحد الجوانب البارزة في هذه البرمجية الخبيثة هو أنها استُخدمت من قبل Turla في مراحل متعددة ومتميزة من عملياتهم: كوسيلة للحصول على وصول أولي إلى بيئات لم يتم تحديد ملفها الشخصي سابقاً، وخلال مرحلة ما بعد الاستغلال بعد الاستطلاع للتنفيذ على مضيف محدد. تشير جوجل إلى أن هذا التكوين يعني أن المهاجمين يعرفون بالضبط الجهاز المستهدف، على الأرجح من خلال الوصول الحالي إلى بيئة الهدف، كما لوحظ في الشبكات الأوكرانية حيث تم نشر STOCKSTAY في نهاية عملية كانت تعتمد بشكل كبير على أدوات المجموعة الأخرى مثل Kazuar.

رؤية Glitch4Techs

يعكس الكشف عن STOCKSTAY استراتيجية Turla المستمرة لتطوير أدوات تجسس متطورة، مستفيدة من تجاربها السابقة مع أدوات مثل Kazuar. يشير التشابه في تصميم المكونات وفصل المسؤوليات بين STOCKSTAY و Kazuar إلى أن نفس فريق التطوير قد يكون وراء كليهما. هذه الاستمرارية تبرز تحدياً كبيراً لمجتمع الأمن السيبراني، حيث يجب أن تتطور الدفاعات لمواجهة مجموعات تهديد لا تتوقف عن الابتكار والتكيف. تثير بنية الاتصال في STOCKSTAY، والتي تعتمد على `websocket-sharp` وقناة IPC عبر `WM_COPYDATA`، مخاوف أمنية إضافية. فبينما يوفر WebSocket اتصالاً آمناً ظاهرياً، فإن استخدام ثغرات معروفة مثل CVE-2025-8088 في WinRAR لتسليم الحمولة يؤكد على أن حتى أكثر البنى التحتية أماناً يمكن اختراقها عبر استغلال نقاط الضعف في البرامج الشائعة. عدم قدرة الخادم على فك تشفير الرسائل الواردة، كما لوحظ في مستودع GitHub، هو تكتيك متعمد لإعاقة التحليل ومنع تتبع البنية التحتية للمهاجمين. من المثير للقلق أن STOCKSTAY يستخدم في مراحل مختلفة من الهجوم، مما يشير إلى مرونته وقدرته على التكيف مع سيناريوهات الاستغلال الأولية وما بعد الاختراق. تقييم جوجل، وإن كان بثقة منخفضة، بأن STOCKSTAY قد يُنشر جنباً إلى جنب مع KAZUAR لاختبار قدرات جديدة في عمليات حقيقية، يوضح استراتيجية التجريب والمخاطرة التي تتبعها مجموعات التهديد المدعومة من الدول. هذا يعني أن الدفاعات يجب أن تكون متعددة الطبقات وقادرة على اكتشاف السلوكيات الشاذة وليس فقط التواقيع المعروفة. توصي Glitch4Techs بالتركيز الشديد على إدارة الثغرات الأمنية، والتحديث المنتظم للبرامج، وتدريب الموظفين على وعي التصيد الاحتيالي، بالإضافة إلى نشر حلول متقدمة للكشف عن نقاط النهاية والاستجابة لها (EDR) وأنظمة معلومات الأمان وإدارة الأحداث (SIEM) لمراقبة الأنشطة المشبوهة. كما يجب أن تركز الجهود الاستخباراتية على فهم الروابط التكتيكية والتقنية بين أدوات مثل STOCKSTAY و Kazuar لتوقع التطورات المستقبلية في تكتيكات Turla.