網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)之前沒有文件記錄的后門和文件竊取者，該竊取者在2015年至2020年初針對(duì)特定目標(biāo)進(jìn)行了部署。

該惡意軟件被ESET研究人員命名為“Crutch”，被歸咎于Turla，這是一家總部位于俄羅斯的高級(jí)黑客組織，通過各種水坑和魚叉釣魚活動(dòng)對(duì)政府、大使館和軍事組織發(fā)動(dòng)廣泛攻擊。

網(wǎng)絡(luò)安全公司的分析報(bào)告顯示：“這些工具旨在將敏感文件和其他文件泄露給Turla運(yùn)營(yíng)商控制的Dropbox賬戶中?！?/p>

這些后門植入程序被秘密安裝在歐盟一個(gè)未透露國(guó)家名稱的外交部的幾臺(tái)機(jī)器上。

除了發(fā)現(xiàn)2016年的一個(gè)Crutch樣本與Turla另一個(gè)名為Gazer的第二階段后門程序之間的緊密聯(lián)系外，他們多樣化的工具集中的最新惡意軟件表明，該組織持續(xù)專注針對(duì)知名目標(biāo)的間諜和偵察活動(dòng)。

Crutch要么通過Skipper套件（一種最初由Turla設(shè)計(jì)的植入程序）交付，要么由一個(gè)名為PowerShell Empire的后攻擊代理（2019年發(fā)現(xiàn)的惡意軟件）交付。

前者包括一個(gè)后門，可以使用官方的HTTP API與硬編碼Dropbox帳戶進(jìn)行通信，以接收命令和上傳結(jié)果，較新的變體（Crutch v4）避開了一個(gè)新功能，該功能可以使用Windows Wget實(shí)用程序自動(dòng)將本地和可移動(dòng)驅(qū)動(dòng)器上的文件上傳到Dropbox。

ESET研究人員Matthieu Faou說：“攻擊的復(fù)雜性和發(fā)現(xiàn)的技術(shù)細(xì)節(jié)進(jìn)一步強(qiáng)化了這樣一種看法，即Turla組織擁有相當(dāng)多的資源來運(yùn)營(yíng)如此龐大和多樣化的武器庫(kù)?！?/p>

“此外，Crutch能夠通過濫用合法的基礎(chǔ)設(shè)施（這里指Dropbox）繞過一些安全層，以混入正常的網(wǎng)絡(luò)流量，同時(shí)竊取文件和接收來自其運(yùn)營(yíng)商的命令?！?/p>

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/