斯洛伐克安全企业ESET本周披露了一个全新的木马恶意程序家族Crutch,相信它是由俄罗斯APT黑客集团Turla所打造,虽然未曾被发现/记录过,但Crutch从2015年就开始活动,一直到今年初。
ESET是在欧盟其中一个国家的外交部计算机上发现了Crutch的踪迹,由于它与Turla过去所使用的另一个木马程序Gazer有太多的关联,诸如它们的样本都放在同一台机器上,或是所抛出的CAB文件都包括各种恶意程序组件,加载程序都位于类似的PDB路径,还用同样的RC4密钥来解密酬载,因此相信Crutch也是来自Turla。
Turla一向自行打造木马程序,而且不与其它黑客集团分享,也让Crutch得以藏匿在安全雷达之下。
根据ESET的分析,Crutch主要功能在于窃取机密文件与文件,并将它们上传到由Turla所控制的Dropbox账号上,Crutch迄今已发展出4个版本,最新版本除了具备侦察、横向行动与间谍能力之外,还能自动将受害系统及外置硬件的文件上传到Dropbox上。
有趣的是,ESET在受害计算机上不只发现了Crutch,也发现了来自另一个俄罗斯APT黑客集团Dukes/APT29所植入的FatDuke木马程序。