斯洛伐克安全企業ESET本周披露了一個全新的木馬惡意程序家族Crutch,相信它是由俄羅斯APT黑客集團Turla所打造,雖然未曾被發現/記錄過,但Crutch從2015年就開始活動,一直到今年初。
ESET是在歐盟其中一個國家的外交部計算機上發現了Crutch的蹤跡,由於它與Turla過去所使用的另一個木馬程序Gazer有太多的關聯,諸如它們的樣本都放在同一臺機器上,或是所拋出的CAB文件都包括各種惡意程序組件,加載程序都位於類似的PDB路徑,還用同樣的RC4密鑰來解密酬載,因此相信Crutch也是來自Turla。
Turla一向自行打造木馬程序,而且不與其它黑客集團分享,也讓Crutch得以藏匿在安全雷達之下。
根據ESET的分析,Crutch主要功能在於竊取機密文件與文件,並將它們上傳到由Turla所控制的Dropbox帳號上,Crutch迄今已發展出4個版本,最新版本除了具備偵察、橫向行動與間諜能力之外,還能自動將受害系統及外置硬體的文件上傳到Dropbox上。
有趣的是,ESET在受害計算機上不只發現了Crutch,也發現了來自另一個俄羅斯APT黑客集團Dukes/APT29所植入的FatDuke木馬程序。