先前從未被記錄的后門和文件竊取者的行動(dòng)被揭開了帷幕。這是一場2015年至2020年初針對(duì)特定目標(biāo)的惡意部署。

新的惡意軟件被ESET研究人員命名為 "Crutch" (拐杖)，并且被歸因于俄羅斯APT組織Turla(又名毒熊或毒蛇)所為。Turla總部位于俄羅斯，慣常通過各種水坑和魚叉釣魚活動(dòng)對(duì)政府、大使館和軍事組織發(fā)動(dòng)廣泛攻擊。

此次，除了發(fā)現(xiàn)2016年的一個(gè)Crutch惡意軟件樣本與Turla另一個(gè)名為Gazer的第二階段后門程序之間存在緊密聯(lián)系外，多樣化的惡意軟件表明，Turla組織仍然繼續(xù)專注于針對(duì)知名目標(biāo)進(jìn)行間諜和偵察活動(dòng)。

"Crutch" 的目的在于將敏感文檔和其他文件傳輸給Turla運(yùn)營商控制的Dropbox帳戶。而后門植入物被秘密安裝在歐盟一個(gè)不知名的國家外交部的幾臺(tái)機(jī)器上。

根據(jù)研究，Crutch要么通過Skipper suite交付，后者是先前歸屬于Turla的第一階段植入物，要么是通過一個(gè)名為PowerShell Empire的后攻擊代理。

在2019年年中前后還發(fā)現(xiàn)了兩個(gè)不同版本的惡意軟件。前者包括一個(gè)后門，它使用官方HTTP API與硬編碼的Dropbox帳戶進(jìn)行通信，以接收命令并上載結(jié)果，而較新的變體(“Crutch v4”)可以使用Windows Wget實(shí)用程序自動(dòng)將本地和可移動(dòng)驅(qū)動(dòng)器上的文件上載到Dropbox。

在研究人員看來，根據(jù)該組織復(fù)雜的攻擊和技術(shù)細(xì)節(jié)來看，Turla擁有相當(dāng)多的資源來經(jīng)營如此龐大和多樣化的軍火庫。并且Crutch還會(huì)通過濫用合法的基礎(chǔ)設(shè)施(這里是Dropbox)繞過一些安全層，偽裝成正常網(wǎng)絡(luò)流量，以便竊取文檔并從其運(yùn)營商那里接收命令。

參考來源：thehackernews