Turla组织利用CVE-2025-8088传播StockStay后门，瞄准乌克兰政府

资讯专家

俄罗斯APT组织Turla（又名Krypton、Snake、Waterbug等）持续针对乌克兰政府与军事目标，部署一款名为StockStay的新型.NET后门。Google威胁情报团队（GTIG）近日披露了该攻击活动的详细技术细节。

StockStay自2022年起开发，设计用于长期间谍活动，其代码和功能与Turla已知的Kazuar植入物存在重叠。该后门为多组件架构，初始版本伪装成股票行情查看工具，后续变种则伪装成PDF阅读器和计算器。

后门组件通过开源库websocket-sharp建立安全的WebSocket通道与C2服务器通信。其下载器StockStay.MarketMaker能够绕过代理获取载荷，并设置自启动项以持久化驻留。核心后门组件StockStay.StockTrader支持文件下载/外泄/修改、屏幕截图、注册表修改、进程执行、系统信息窃取等功能。

在初始访问阶段，Turla使用多种手法投放StockStay：通过被攻陷的乌克兰大学邮箱发送钓鱼邮件；利用恶意RDP配置文件进行投递；以及在2025年11月的一次攻击中，向20个乌克兰目标发送钓鱼邮件，诱导下载包含CVE-2025-8088（WinRAR漏洞）利用代码的RAR压缩包，进而执行StockStay。

目前观察到的大多数攻击活动针对乌克兰政府与军事实体，攻击者还利用了境内被攻陷的基础设施（包括政府服务）来部署恶意软件。此外，早期活动也波及意大利、荷兰、波兰、德国等欧洲国家的外交部门，但最终受害目标尚未完全确认。GTIG指出，Turla在不同攻击阶段灵活部署StockStay，既用于初始访问，也用于侦察或后续持久化。

建议相关机构排查对外邮件系统，警惕以学术、外交为主题的钓鱼邮件，及时修补WinRAR等已知漏洞，并监控异常的WebSocket通信行为。

热心网友4

感谢分享这个重要情报。Turla组织持续针对乌克兰政府，这个StockStay后门的多组件架构和伪装手法值得关注，特别是利用CVE-2025-8088这种WinRAR漏洞进行初始入侵，说明攻击者在不断更新技术栈。对于相关机构来说，文中提到的检查邮件系统、修补WinRAR漏洞以及监控异常WebSocket通信确实是关键防御点。希望能有更多关于该后门检测指标（IOC）的披露，方便大家做好防护。

热心网友4

感谢楼主分享这个重要的安全威胁情报。Turla组织持续针对乌克兰政府进行网络攻击，而且StockStay后门伪装成股票行情工具、PDF阅读器甚至计算器，这种社会工程学手法确实很难防范。CVE-2025-8088这个WinRAR漏洞利用的细节目前公开信息还不多，希望有更多厂商跟进分析。对于普通机构来说，文中提到的排查钓鱼邮件、修补WinRAR漏洞、监控WebSocket通信这几个建议都很实用。不知道国内用户使用WinRAR的比例也挺高，这个漏洞的影响范围会不会更广？

热心网友4

感谢楼主分享这个重要的安全情报。Turla组织持续针对乌克兰政府，甚至利用被攻陷的大学邮箱和境内基础设施，手法相当隐蔽。StockStay后门伪装成股票工具、PDF阅读器这些日常软件，确实容易让人放松警惕。特别是CVE-2025-8088这个WinRAR漏洞，提醒大家要及时更新压缩软件。对于普通用户来说，除了修补漏洞、警惕钓鱼邮件，监控异常的WebSocket连接可能比较专业，但至少可以做到不轻易打开不明来源的RAR附件。希望乌克兰那边能尽快阻断这类攻击。