Son dönemde Ukrayna’daki hükümet ve askeri kurumlara yönelik siber casusluk saldırılarında yeni bir Windows arka kapısı tespit edildi: STOCKSTAY. Bu zararlı yazılım, İtalyan dış politika alanında faaliyet gösteren bazı kuruluşları da hedef alıyor. STOCKSTAY, uzun süredir kullanılan Kazuar zararlısıyla pek çok ortak özelliği paylaşıyor ve geliştirme sürecinin Aralık 2022’ye kadar uzandığı anlaşılıyor.
STOCKSTAY’ın Teknik Mimarisine Yakından Bakış
.NET platformunda geliştirilen STOCKSTAY, Windows Forms tabanlı bir arka kapı ve komut kontrolü için güvenli WebSocket bağlantısı kullanıyor. Farklı bileşenleri, Windows’un IPC mekanizması olan WM_COPYDATA mesajlarıyla iletişim kuruyor. İşin ilginç tarafı, zararlının başlangıçta bir borsa veri görüntüleme aracı gibi görünmek üzere tasarlanması, ancak sonrasında PDF okuyucu veya hesap makinesi gibi masum programlar görünümüne büründürülmesi.
İndirme ve kurulum süreci, STOCKSTAY.MARKETMAKER adlı bir downloader bileşeniyle başlıyor. Ardından üç modül devreye giriyor: STOCKSTAY.STOCKBROKER, ağ iletişimini sağlayan proxy farkındalıklı bir tünel oluşturucu; STOCKSTAY.STOCKTRADER, bilgi toplama görevini üstlenen ana arka kapı; ve STOCKSTAY.STOCKMARKET ise zararlının çalışma parametrelerini yöneten kontrol merkezi görevi görüyor.
Saldırı Yöntemleri ve Hedefler
STOCKSTAY dağıtımında genellikle akademik ve diplomatik temalı oltalama e-postaları tercih ediliyor. Aralık 2024 ve 2025 başlarında, özellikle Ukrayna’da hedeflenen operasyonlarda, zararlı RDP dosyalarıyla yayıldı. Bu dosyalar kurban cihaz ile saldırgan altyapısı arasında bağlantı kuruyor ve ek kötü amaçlı yazılımların yüklenmesine olanak tanıyor.
Kasım 2025’te ise CVE-2025-8088 kodlu WinRAR açığı kullanılarak RAR arşivleri yoluyla saldırılar gerçekleştirildi. Bu zafiyet, daha önce Sandworm, Gamaredon ve RomCom gibi Rusya kaynaklı tehdit gruplarınca da istismar edilmişti. Ayrıca, bazı kampanyalarda GitHub üzerinde barındırılan MSI yükleyiciler veya HTML Application (HTA) betikleri kullanıldı. HTA betikleri, STOCKSTAY.MARKETMAKER varyantını çalıştıracak şekilde tasarlanmıştı.
STOCKSTAY ve Kazuar Arasındaki İlişki
STOCKSTAY ile Kazuar arasındaki benzerlikler, her iki zararlının da görevlerini farklı modüllere bölerek yönetmesi ve .NET altyapısını kullanmasıyla göze çarpıyor. Kazuar’ın Kernel, Bridge ve Worker modüllerine karşılık STOCKSTAY, Broker, Trader ve Market bileşenlerinden oluşuyor. Bu durum, iki zararlının aynı geliştirici veya ekip tarafından yaratılmış olabileceği ihtimalini güçlendiriyor.
STOCKSTAY çoğunlukla operasyonların son aşamalarında kullanılıyor. Yani saldırganlar, hedef ortamda zaten erişim sağladıktan sonra belirli makinelerde zararlıyı çalıştırıyor. Bu, saldırganın ağdaki kritik varlıkları ve makineleri iyi tanıdığını gösteriyor.
Saldırı Zinciri ve Savunma Önerileri
STOCKSTAY saldırılarının temel aşamaları şöyle özetlenebilir: İlk olarak, oltalama e-postası veya RDP dosyası ile kurbanın cihazına ulaşılır. Sonrasında downloader modülü aktif olur ve ana zararlı bileşenler hedefe yerleştirilir. C2 sunucusuyla WebSocket üzerinden şifreli iletişim kurulur. Zararlı, dosya yönetimi, ekran görüntüsü alma, kayıt defteri işlemleri ve komut çalıştırma gibi zengin işlevlere sahip.
Bu karmaşık yapı, SOC ekiplerinin olay müdahalesini zorlaştırıyor. Ayrıca, zararlının IP adreslerini ve altyapısını gizlemek için şifreleme kullanılması tespit süreçlerini sekteye uğratıyor.
Siber Güvenlik Ekipleri İçin Çalışma Rehberi
- Oltalama e-postalarını filtrelemek için güncel e-posta güvenliği çözümleri kullanın.
- CVE-2025-8088 ve benzeri WinRAR açıklarını kapatmak için düzenli yama yönetimi uygulayın.
- EDR ve SIEM sistemlerinde WebSocket bağlantılarını izleyerek anormal iletişim trafiğini tespit edin.
- RDP erişimlerini kısıtlayın ve MFA zorunlu hale getirin.
- WordPress gibi içerik yönetim sistemlerinin güvenliğini artırarak zombi sunucu riskini azaltın.
- Olay müdahale planlarını güncel tutun ve Kazuar/STOCKSTAY benzeri araçlar için özel imza tabanlı tespitler geliştirin.
STOCKSTAY, karmaşık yapısı ve çok aşamalı dağıtım yöntemiyle gelişmiş tehdit aktörlerinin yeni casusluk araçları arasında yer alıyor. Özellikle Ukrayna ve Avrupa’daki hedeflere yönelik bu tür saldırılar, bölgesel istihbarat ve kritik altyapı güvenliği açısından önem taşıyor. Şifreli iletişim ve modüler tasarım, savunma mekanizmalarını zorlaştırdığı için kurumların çok katmanlı güvenlik stratejilerini gözden geçirmesi gerekiyor.