网络安全研究人员于周三披露了先前无记录可查的后门程序与文件窃取器,自2015年至2020年初,该恶意软件已被部署用来锁定特定目标。
网络安全公司ESET研究人员以“Crutch”代码来称呼这个恶意软件,并认为其背后是Turla(又名毒熊Venomous Bear或毒蛇Venomous Snake)组织所为,它是位于俄罗斯的先进黑客组织,特别以通过各种水坑式攻击(Watering Hole)和鱼叉式网络钓鱼(Spear-fishing)手法与恶意活动,来对政府、大使馆和军事组织发动大规模攻击而闻名。
这家网络安全公司在一份分析报告中指出:“这些工具旨在将机密敏感文件和其他文件外泄到被Turla黑客所控制的Dropbox账号中。”这个后门植入工具被秘密地安装在欧盟某一未具名国家外交部所属的几台机器上。
除了确定2016年的Crutch样本与Turla另一只名为Gazer的第二阶段后门程序之间存在紧密关联之外,在他们多样恶意工具集中的这只最新恶意软件更显示出,该组织持续关注对高调目标进行间谍活动和侦察。
Crutch的散播不是通过Skipper组件(由Turla开发的第一阶段植入工具),就是经由PowerShell Empire这只漏洞攻击后(Post-Exploitation)代理程序来进行,这两种不同版本的恶意软件是在2019年中期前后发现的。
前者包括一个后门,可以通过官方HTTP API而与硬编码的Dropbox账号进行通信,以接收命令并上传结果,而较新的版本(“Crutch v4”)避开了一项新功能的设置,该功能可以通过Windows Wget公用程序,自动将本地端及移动硬盘中发现的文件上传到Dropbox上。
“该攻击的复杂性和发现的技术细节进一步强化了这样的看法,也即Turla黑客组织拥有大量的资源来运行如此庞大而多样的军火库。”ESET研究人员Matthieu Faou表示。“此外,Crutch能够滥用合法基础设施(也即本文中讲到的Dropbox)来绕过某些安全防护层,以便融入正常的网络流量中,同时将窃到手的文件外泄出去,并接收主控者发出的命令。”
(首图来源:pixabay)