俄罗斯恶意软件Crutch用于APT攻击时间5年之久

安全人员发现一个未被记录在案的新型样本，该恶意软件被ESET命名为Crutch，认定其属于俄罗斯黑客组织Turla。

安全人员分析发现Crutch是一款后门和文件恶意窃取软件，该恶意软件在2015年至2020年初对特定目标进行了部署。

安全人员在欧盟一个为透露国家名称的外交部的几个电脑上发现了这款被秘密安装的Crutch后门植入恶意软件程序。

网络安全公司分析报告显示：Crutch恶意软件可以将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。

安全人员认为，Crutch恶意软件要么通过Skipper套件植入程序交付，要么由PowerShell Empire的后攻击代理交付。

Skipper套件是Turla设计的恶意植入程序，其包括一个可使用官方HTTP API与硬编码Dropbox帐户进行通信的后门。

而最新的Crutch 4版本迭代后可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。

不管是使用官方HTTP API还是Windows Wget实用程序，其最终的目的都是接收命令和上传结果，只是后者更先进。

安全人员表示：攻击的复杂性和发现的技术细节在不断证实Turla组织拥有很多的资源来运营庞大和多样化的武器库。

如Crutch可滥用Dropbox此类基础设施绕过一些安全层，以混入正常网络流量，同时窃取文件和接收运营商的命令。

最后科普俄罗斯高级黑客组织Turla：其主要通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。

安全专家之所以将Crutch和Turla联系在一起，是因为2016年发现Gazer第二阶段的后门程序与Crutch存在紧密联系。

而Turla组织多样化的工具集中的最新恶意软件表明，该黑客组织仍然在持续专注于针对知名目标的间谍和侦察活动。