網絡間諜組織 Turla 使用名為 Crutch 的新惡意軟件工具集

與俄羅斯有關聯的APT組織Turla使用了一款名為Crutch的惡意軟件工具集，用于針對知名目標的網絡間諜活動，這些目標包括某個歐盟國家的外交部。

Turla APT組織至少自2007年以來一直活躍，目標是中東、亞洲、歐洲、北美和南美以及前蘇聯集團國家的外交和政府組織以及私營企業。

先前已知的受害者名單很長，還包括瑞士國防公司RUAG，美國國務院和美國中央司令部。

自2015年以來，Crutch框架就開始在攻擊中使用，以竊取敏感數據并將其轉移到由俄羅斯黑客組織控制的Dropbox帳戶中。研究人員推測Crutch不是第一階段的后門程序，而運營商只有在獲得目標網絡的訪問權限后才部署它。

“在我們的研究過程中，我們能夠確定2016年的 Crutch dropper與Gazer之間的緊密聯系 。后者也稱為WhiteBear，是Turla在2016-2017年使用的第二階段后門。” 讀取報告。

研究人員基于相似性將Crutch鏈接到與俄羅斯鏈接的APT Turla（2017年9月，樣本均以五天的間隔放置在同一臺計算機上，他們丟棄了包含惡意軟件組件的CAB文件和共享相同PDP路徑的加載程序，并且使用相同的RC4密鑰tp解密有效負載。

專家們還在一臺機器上同時觀察到FatDuke和Crutch的存在。FatDuke是歸因于Dukes / APT29的第三階段后門，專家認為，與俄羅斯有聯系的APT團體獨立地破壞了同一臺機器。

對上載到Dropbox帳戶的506個ZIP存檔的時間戳的時間戳進行分析，其中包含2018年10月至2019年7月之間被盜的數據，揭示了攻擊者的工作時間，即UTC + 3時區（俄羅斯）。

專家認為，Turla攻擊者使用Crutch作為第二階段的后門程序，而APT組織使用的第一階段植入程序包括Skipper（2017）和開源PowerShell Empire后開發框架（2017年以來）

2015年至2019年中使用的Crutch版本使用后門渠道通過官方HTTP API和驅動器監視工具與硬編碼的Dropbox帳戶進行通信，這些工具可以搜索某些感興趣的文檔。

在2019年7月，專家們發現了不再支持后門命令的新版Crutch（跟蹤為“版本4”），并添加了具有聯網功能的可移動驅動器監視器。

“主要區別在于它不再支持后門命令。另一方面，它可以使用Windows版本的Wget實用程序將在本地驅動器和可移動驅動器上找到的文件自動上傳到Dropbox存儲。” 繼續分析。

與以前的版本一樣，版本4使用DLL劫持來在Chrome，Firefox或OneDrive上的受感染設備上獲得持久性。

“ Crutch顯示，該組織并不缺少新的或當前未記錄的后門。這一發現進一步增強了人們對Turla集團擁有大量資源來運營如此龐大而多樣化的軍火庫的看法。” 報告的結論也為攻擊提供了IoC。