外交部电脑被植入后门,俄罗斯APT长达5年的“拐杖”行动揭开了后门的秘密和此前从未被记录的文件窃取者的行动。这是从2015年到2020年初针对特定目标的恶意部署。这种新恶意软件已被ESET研究人员命名为“Crutch”(拐杖),并归因于俄罗斯APT组织Turla(又名PoisonBear或Viper)。众所周知,Turla总部设在俄罗斯,通过各种水坑和鱼叉式网络钓鱼活动对政府、大使馆和军事组织发动广泛攻击。这一次,除了发现2016年Crutch恶意软件样本与另一个名为Gazer的Turla第二阶段后门之间的密切联系外,多样化的恶意软件表明Turla组织继续专注于针对众所周知的目标。间谍和侦察活动。“拐杖”的目的是将敏感文档和其他文件传输到Turla操作员控制的Dropbox帐户。后门植入物被秘密安装在欧盟一个未具名国家外交部的几台机器上。根据研究,Crutch要么通过Skipper套件(之前归因于Turla的第一阶段植入物)提供,要么通过名为PowerShellEmpire的后开发代理提供。2019年中期左右还发现了该恶意软件的两个不同版本。前者包括一个后门,它使用官方HTTPAPI与硬编码的Dropbox帐户通信以接收命令和上传结果,而较新的变体(“Crutchv4”)可以使用WindowsWget实用程序自动转换本地和可移动上的文件驱动器已上传到Dropbox。在研究人员看来,基于该组织复杂的攻击和技术细节,Turla拥有相当多的资源来操作如此庞大和多样化的武器库。并且Crutch还通过滥用合法基础设施(在本例中为Dropbox)绕过某些安全层,伪装成正常的网络流量以窃取文件并从其运营商处接收订单。参考来源:thehackernews
