网络间谍组织 Turla 使用名为 Crutch 的新恶意软件工具集

Andrew 2020-12-03
专栏 - 事件 发布于 2020-12-03 11:55:17 阅读 205 评论 0

与俄罗斯有关联的APT组织Turla使用了一款名为Crutch的恶意软件工具集,用于针对知名目标的网络间谍活动,这些目标包括某个欧盟国家的外交部。

Turla APT组织至少自2007年以来一直活跃,目标是中东、亚洲、欧洲、北美和南美以及前苏联集团国家的外交和政府组织以及私营企业。

先前已知的受害者名单很长,还包括瑞士国防公司RUAG,美国国务院和美国中央司令部。

自2015年以来,Crutch框架就开始在攻击中使用,以窃取敏感数据并将其转移到由俄罗斯黑客组织控制的Dropbox帐户中。研究人员推测Crutch不是第一阶段的后门程序,而运营商只有在获得目标网络的访问权限后才部署它。

“在我们的研究过程中,我们能够确定2016年的 Crutch dropper与Gazer之间的紧密联系 。后者也称为WhiteBear,是Turla在2016-2017年使用的第二阶段后门。” 读取报告。

研究人员基于相似性将Crutch链接到与俄罗斯链接的APT Turla(2017年9月,样本均以五天的间隔放置在同一台计算机上,他们丢弃了包含恶意软件组件的CAB文件和共享相同PDP路径的加载程序,并且使用相同的RC4密钥tp解密有效负载。

专家们还在一台机器上同时观察到FatDuke和Crutch的存在。FatDuke是归因于Dukes / APT29的第三阶段后门,专家认为,与俄罗斯有联系的APT团体独立地破坏了同一台机器。

对上载到Dropbox帐户的506个ZIP存档的时间戳的时间戳进行分析,其中包含2018年10月至2019年7月之间被盗的数据,揭示了攻击者的工作时间,即UTC + 3时区(俄罗斯)。

专家认为,Turla攻击者使用Crutch作为第二阶段的后门程序,而APT组织使用的第一阶段植入程序包括Skipper(2017)和开源PowerShell Empire后开发框架(2017年以来)

2015年至2019年中使用的Crutch版本使用后门渠道通过官方HTTP API和驱动器监视工具与硬编码的Dropbox帐户进行通信,这些工具可以搜索某些感兴趣的文档。

在2019年7月,专家们发现了不再支持后门命令的新版Crutch(跟踪为“版本4”),并添加了具有联网功能的可移动驱动器监视器。

“主要区别在于它不再支持后门命令。另一方面,它可以使用Windows版本的Wget实用程序将在本地驱动器和可移动驱动器上找到的文件自动上传到Dropbox存储。” 继续分析。

拐杖恶意软件平台

与以前的版本一样,版本4使用DLL劫持来在Chrome,Firefox或OneDrive上的受感染设备上获得持久性。

“ Crutch显示,该组织并不缺少新的或当前未记录的后门。这一发现进一步增强了人们对Turla集团拥有大量资源来运营如此庞大而多样化的军火库的看法。” 报告的结论也为攻击提供了IoC。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!