網絡安全研究人員於周三披露了先前無記錄可查的後門程序與文件竊取器,自2015年至2020年初,該惡意軟體已被部署用來鎖定特定目標。
網絡安全公司ESET研究人員以「Crutch」代碼來稱呼這個惡意軟體,並認為其背後是Turla(又名毒熊Venomous Bear或毒蛇Venomous Snake)組織所為,它是位於俄羅斯的先進黑客組織,特別以通過各種水坑式攻擊(Watering Hole)和魚叉式網絡釣魚(Spear-fishing)手法與惡意活動,來對政府、大使館和軍事組織發動大規模攻擊而聞名。
這家網絡安全公司在一份分析報告中指出:「這些工具旨在將機密敏感文件和其他文件外洩到被Turla黑客所控制的Dropbox帳號中。」這個後門植入工具被秘密地安裝在歐盟某一未具名國家外交部所屬的幾臺機器上。
除了確定2016年的Crutch樣本與Turla另一隻名為Gazer的第二階段後門程序之間存在緊密關聯之外,在他們多樣惡意工具集中的這隻最新惡意軟體更顯示出,該組織持續關注對高調目標進行間諜活動和偵察。
Crutch的散播不是通過Skipper組件(由Turla開發的第一階段植入工具),就是經由PowerShell Empire這隻漏洞攻擊後(Post-Exploitation)代理程序來進行,這兩種不同版本的惡意軟體是在2019年中期前後發現的。
前者包括一個後門,可以通過官方HTTP API而與硬編碼的Dropbox帳號進行通信,以接收命令並上傳結果,而較新的版本(「Crutch v4」)避開了一項新功能的設置,該功能可以通過Windows Wget公用程序,自動將本地端及移動硬碟中發現的文件上傳到Dropbox上。
「該攻擊的複雜性和發現的技術細節進一步強化了這樣的看法,也即Turla黑客組織擁有大量的資源來運行如此龐大而多樣的軍火庫。」ESET研究人員Matthieu Faou表示。「此外,Crutch能夠濫用合法基礎設施(也即本文中講到的Dropbox)來繞過某些安全防護層,以便融入正常的網絡流量中,同時將竊到手的文件外洩出去,並接收主控者發出的命令。」
(首圖來源:pixabay)