您现在的位置是:首页 > 文章详情

外交部计算机被植入后门,俄罗斯APT长达5年的 "Crutch"行动揭秘

日期:2020-12-03点击:411

先前从未被记录的后门和文件窃取者的行动被揭开了帷幕。这是一场2015年至2020年初针对特定目标的恶意部署。


新的恶意软件被ESET研究人员命名为 "Crutch" (拐杖),并且被归因于俄罗斯APT组织Turla(又名毒熊或毒蛇)所为。Turla总部位于俄罗斯,惯常通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。

此次,除了发现2016年的一个Crutch恶意软件样本与Turla另一个名为Gazer的第二阶段后门程序之间存在紧密联系外,多样化的恶意软件表明,Turla组织仍然继续专注于针对知名目标进行间谍和侦察活动。

"Crutch" 的目的在于将敏感文档和其他文件传输给Turla运营商控制的Dropbox帐户。而后门植入物被秘密安装在欧盟一个不知名的国家外交部的几台机器上。

根据研究,Crutch要么通过Skipper suite交付,后者是先前归属于Turla的第一阶段植入物,要么是通过一个名为PowerShell Empire的后攻击代理。

在2019年年中前后还发现了两个不同版本的恶意软件。前者包括一个后门,它使用官方HTTP API与硬编码的Dropbox帐户进行通信,以接收命令并上载结果,而较新的变体(“Crutch v4”)可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上载到Dropbox。

在研究人员看来,根据该组织复杂的攻击和技术细节来看,Turla拥有相当多的资源来经营如此庞大和多样化的军火库。并且Crutch还会通过滥用合法的基础设施(这里是Dropbox)绕过一些安全层,伪装成正常网络流量,以便窃取文档并从其运营商那里接收命令。

参考来源:thehackernews

【责任编辑: 赵宁宁 TEL:(010)68476606】

原文链接:http://netsecurity.51cto.com/art/202012/633686.htm
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章