Rusya Bağlantılı Turla, Ukrayna Operasyonlarında STOCKSTAY’ı Konuşlandırmak için Riskli Altyapıyı Kullanıyor

Rusya bağlantılı tehdit grubu Turla, en az Aralık 2022 'den bu yana Ukrayna'daki hükümet ve askeri kuruluşları aktif olarak hedef alan STOCKSTAY adlı yeni bir arka kapıyla casusluk cephaneliğini sessizce genişletiyor. Kötü amaçlı yazılım .NET'te yerleşiktir ve operatörlerle güvenli bir WebSocket bağlantısı üzerinden iletişim kurarak normal ağ trafiğinde tespit edilmesini zorlaştırır. Kanıtlar, doğrudan Rus istihbaratına bağlı, iyi organize edilmiş, devlet destekli bir kampanyaya işaret ediyor. STOCKSTAY başlangıçta, günlük yazılımlarla uyum sağlamak için tasarlanmış sahte dosya adları ve yapılandırma verileriyle bir borsa veri görüntüleme aracı olarak gizlenmişti. 2025 yılına gelindiğinde, grubun sürekli olarak nasıl uyum sağladığını gösteren güncellenmiş varyantların PDF görüntüleyicileri ve hesap makinesi yardımcı programları olduğu tespit edildi. Turla, sürekli olarak Batı Dışişleri Bakanlıkları, savunma örgütleri ve Ukrayna askeri varlıklarına odaklanmış ve Rus devlet çıkarlarıyla uyum içinde olmuştur. STOCKSTAY kötü amaçlı yazılım mimarisine genel bakış (Kaynak – Google Cloud)

Google Threat Intelligence Group (GTIG) analistleri, Siber Güvenlik Haberleri (CSN) ile paylaşılan bir raporda kötü amaçlı yazılımı tanımladı ve belgeledi, bileşenlerinin, zaman çizelgesinin ve KAZUAR olarak bilinen başka bir Turla araç setiyle örtüşmelerinin ayrıntılı bir dökümünü sağladı. ZİRVE, Gizli Kar Fırtınası ve ZEHİRLİ AYI olarak da bilinen Turla, Rusya Federal Güvenlik Servisi'nin Merkez 16 'sına atfediliyor ve en az 2004' ten beri aktif. Kötü amaçlı yazılım Ukrayna, İtalya, Hollanda, Polonya ve Almanya dahil olmak üzere birçok ülkede dağıtıldı. Ukrayna'da Turla, yükü hazırlamak ve teslim etmek için devlet hizmetleri ve bir BT şirketinin sunucusu da dahil olmak üzere güvenliği ihlal edilmiş altyapıyı kullandı. Bu, grubun yerel ağ trafiğine karışmasını sağlayarak algılamayı oldukça zorlaştırır.