网络安全研究人员于周三揭露了先前无纪录可查的后门程式与文件窃取器,自 2015 年至 2020 年初,该恶意软件已被部署用来锁定特定目标。
网络安全公司 ESET 研究人员以“Crutch”代码来称呼这个恶意软件,并认为其背后是 Turla(又名毒熊 Venomous Bear 或毒蛇 Venomous Snake)组织所为,它是位于俄罗斯的先进骇客组织,特别以透过各种水坑式攻击(Watering Hole)和鱼叉式网络钓鱼(Spear-fishing)手法与恶意活动,来对-、大使馆和军事组织发动大规模攻击而闻名。
这家网络安全公司在一份分析报告中指出:“这些工具旨在将机敏文件和其他档案外泄到被 Turla 骇客所控制的 Dropbox 账号中。”这个后门植入工具被秘密地安装在欧盟某一未具名国家外交部所属的几台机器上。
除了确定 2016 年的 Crutch 样本与 Turla 另一只名为 Gazer 的第二阶段后门程式之间存在紧密关联之外,在他们多元恶意工具集中的这只最新恶意软件更显示出,该组织持续关注对高调目标进行间谍活动和侦察。
Crutch 的散播不是透过 Skipper 套件(由 Turla 开发的第一阶段植入工具),就是经由 PowerShell Empire 这只漏洞攻击后(Post-Exploitation)代理程式来进行,这两种不同版本的恶意软件是在 2019 年中期前后发现的。
前者包括一个后门,可以透过官方 HTTP API 而与硬编码的 Dropbox 账号进行通讯,以接收命令并上传结果,而较新的版本(“Crutch v4”)避开了一项新功能的设置,该功能可以透过 Windows Wget 公用程式,自动将本地端及行动硬盘中发现的档案上传到 Dropbox 上。
“该攻击的复杂性和发现的技术细节进一步强化了这样的看法,亦即 Turla 骇客组织拥有大量的资源来运行如此庞大而多样的军火库。”ESET 研究人员 Matthieu Faou 表示。“此外,Crutch 能够滥用合法基础设施(亦即本文中讲到的 Dropbox)来绕过某些安全防护层,以便融入正常的网络流量中,同时将窃到手的文件外泄出去,并接收主控者发出的命令。”
- Experts Uncover ‘Crutch’ Russian Malware Used in APT Attacks for 5 Years
(首图来源:pixabay)
