外交部计算机被植入后门，俄罗斯APT长达5年的“Crutch”行动揭秘

先前从未被记录的后门和文件窃取者的行动被揭开了帷幕。这是一场2015年至2020年初针对特定目标的恶意部署。

新的恶意软件被ESET研究人员命名为 "Crutch" (拐杖)，并且被归因于俄罗斯APT组织Turla(又名毒熊或毒蛇)所为。Turla总部位于俄罗斯，惯常通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。

此次，除了发现2016年的一个Crutch恶意软件样本与Turla另一个名为Gazer的第二阶段后门程序之间存在紧密联系外，多样化的恶意软件表明，Turla组织仍然继续专注于针对知名目标进行间谍和侦察活动。

"Crutch" 的目的在于将敏感文档和其他文件传输给Turla运营商控制的Dropbox帐户。而后门植入物被秘密安装在欧盟一个不知名的国家外交部的几台机器上。

根据研究，Crutch要么通过Skipper suite交付，后者是先前归属于Turla的第一阶段植入物，要么是通过一个名为PowerShell Empire的后攻击代理。

在2019年年中前后还发现了两个不同版本的恶意软件。前者包括一个后门，它使用官方HTTP API与硬编码的Dropbox帐户进行通信，以接收命令并上载结果，而较新的变体(“Crutch v4”)可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上载到Dropbox。

在研究人员看来，根据该组织复杂的攻击和技术细节来看，Turla拥有相当多的资源来经营如此庞大和多样化的军火库。并且Crutch还会通过滥用合法的基础设施(这里是Dropbox)绕过一些安全层，伪装成正常网络流量，以便窃取文档并从其运营商那里接收命令。

参考来源：thehackernews