「Crutch」惡意軟體遭曝光!俄羅斯 Turla 駭客組織用於 APT 攻擊 5 年之久

作者 | 發布日期 2020 年 12 月 04 日 8:15 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


網路安全研究人員於週三揭露了先前無紀錄可查的後門程式與文件竊取器,自 2015 年至 2020 年初,該惡意軟體已被部署用來鎖定特定目標。 

網路安全公司 ESET 研究人員以「Crutch」代碼來稱呼這個惡意軟體,並認為其背後是 Turla(又名毒熊 Venomous Bear 或毒蛇 Venomous Snake)組織所為,它是位於俄羅斯的先進駭客組織,特別以透過各種水坑式攻擊(Watering Hole)和魚叉式網路釣魚(Spear-fishing)手法與惡意活動,來對政府、大使館和軍事組織發動大規模攻擊而聞名。

這家網路安全公司在一份分析報告中指出:「這些工具旨在將機敏文件和其他檔案外洩到被 Turla 駭客所控制的 Dropbox 帳號中。」這個後門植入工具被祕密地安裝在歐盟某一未具名國家外交部所屬的幾台機器上。

除了確定 2016 年的 Crutch 樣本與 Turla 另一隻名為 Gazer 的第二階段後門程式之間存在緊密關聯之外,在他們多元惡意工具集中的這隻最新惡意軟體更顯示出,該組織持續關注對高調目標進行間諜活動和偵察。

Crutch 的散播不是透過 Skipper 套件(由 Turla 開發的第一階段植入工具),就是經由 PowerShell Empire 這隻漏洞攻擊後(Post-Exploitation)代理程式來進行,這兩種不同版本的惡意軟體是在 2019 年中期前後發現的。

前者包括一個後門,可以透過官方 HTTP API 而與硬編碼的 Dropbox 帳號進行通訊,以接收命令並上傳結果,而較新的版本(「Crutch v4」)避開了一項新功能的設置,該功能可以透過 Windows Wget 公用程式,自動將本地端及行動硬碟中發現的檔案上傳到 Dropbox 上。

「該攻擊的複雜性和發現的技術細節進一步強化了這樣的看法,亦即 Turla 駭客組織擁有大量的資源來運行如此龐大而多樣的軍火庫。」ESET 研究人員 Matthieu Faou 表示。「此外,Crutch 能夠濫用合法基礎設施(亦即本文中講到的 Dropbox)來繞過某些安全防護層,以便融入正常的網路流量中,同時將竊到手的文件外洩出去,並接收主控者發出的命令。」

(首圖來源:pixabay