
Turla情报收集工具集的又一块拼图:STOCKSTAY后门分析

国家级APT组织Turla的后门工具STOCKSTAY,伪装成股票行情软件,从2022年持续更新至今,专门针对乌克兰政府和欧洲外交机构。核心问题在于,这类定制化后门通过模块化架构、环境密钥绑定和合法云平台托管C2,能长期潜伏在目标网络中不被发现。
解法是把后门拆成三个独立组件:tunneler(STOCKBROKER)、orchestrator(STOCKMARKET)和backdoor(STOCKTRADER),彼此通过WM_COPYDATA通信。通信走WebSocket,用4096位RSA+AES混合加密,配置文件中混入真实的加密货币交易所地址做伪装。更聪明的是环境密钥——只有特定主机名、用户名或域名的机器才能解密配置,确保分析环境跑不出IOC。代码与Turla另一王牌工具KAZUAR有重叠,共享K1MORPHER字符串混淆器,开发脉络清晰。
对抗这类高级威胁,光靠签名检测已经不够。防御者需要盯着WebSocket外连和进程间IPC行为,尤其是在非业务时段的可疑连接。Turla把C2架在Render、Glitch等廉价云平台,甚至用GitHub公开仓库托管控制端代码——这种“合法服务寄生”手法越来越普遍。对安全团队来说,追踪工具之间的代码复用(比如STOCKSTAY和KAZUAR共享的混淆模块),可能比单个样本分析更有长期价值。


