网络间谍组织 Turla 使用名为 Crutch 的新恶意软件工具集

与俄罗斯有关联的APT组织Turla使用了一款名为Crutch的恶意软件工具集，用于针对知名目标的网络间谍活动，这些目标包括某个欧盟国家的外交部。

Turla APT组织至少自2007年以来一直活跃，目标是中东、亚洲、欧洲、北美和南美以及前苏联集团国家的外交和政府组织以及私营企业。

先前已知的受害者名单很长，还包括瑞士国防公司RUAG，美国国务院和美国中央司令部。

自2015年以来，Crutch框架就开始在攻击中使用，以窃取敏感数据并将其转移到由俄罗斯黑客组织控制的Dropbox帐户中。研究人员推测Crutch不是第一阶段的后门程序，而运营商只有在获得目标网络的访问权限后才部署它。

“在我们的研究过程中，我们能够确定2016年的 Crutch dropper与Gazer之间的紧密联系 。后者也称为WhiteBear，是Turla在2016-2017年使用的第二阶段后门。” 读取报告。

研究人员基于相似性将Crutch链接到与俄罗斯链接的APT Turla（2017年9月，样本均以五天的间隔放置在同一台计算机上，他们丢弃了包含恶意软件组件的CAB文件和共享相同PDP路径的加载程序，并且使用相同的RC4密钥tp解密有效负载。

专家们还在一台机器上同时观察到FatDuke和Crutch的存在。FatDuke是归因于Dukes / APT29的第三阶段后门，专家认为，与俄罗斯有联系的APT团体独立地破坏了同一台机器。

对上载到Dropbox帐户的506个ZIP存档的时间戳的时间戳进行分析，其中包含2018年10月至2019年7月之间被盗的数据，揭示了攻击者的工作时间，即UTC + 3时区（俄罗斯）。

专家认为，Turla攻击者使用Crutch作为第二阶段的后门程序，而APT组织使用的第一阶段植入程序包括Skipper（2017）和开源PowerShell Empire后开发框架（2017年以来）

2015年至2019年中使用的Crutch版本使用后门渠道通过官方HTTP API和驱动器监视工具与硬编码的Dropbox帐户进行通信，这些工具可以搜索某些感兴趣的文档。

在2019年7月，专家们发现了不再支持后门命令的新版Crutch（跟踪为“版本4”），并添加了具有联网功能的可移动驱动器监视器。

“主要区别在于它不再支持后门命令。另一方面，它可以使用Windows版本的Wget实用程序将在本地驱动器和可移动驱动器上找到的文件自动上传到Dropbox存储。” 继续分析。

与以前的版本一样，版本4使用DLL劫持来在Chrome，Firefox或OneDrive上的受感染设备上获得持久性。

“ Crutch显示，该组织并不缺少新的或当前未记录的后门。这一发现进一步增强了人们对Turla集团拥有大量资源来运营如此庞大而多样化的军火库的看法。” 报告的结论也为攻击提供了IoC。