聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個之前沒有文件記錄的后門和文件竊取者，該竊取者在2015年至2020年初針對特定目標(biāo)進(jìn)行了部署。

該惡意軟件被ESET研究人員命名為“Crutch”，被歸咎于Turla，這是一家總部位于俄羅斯的高級黑客組織，通過各種水坑和魚叉釣魚活動對政府、大使館和軍事組織發(fā)動廣泛攻擊。

網(wǎng)絡(luò)安全公司的分析報告顯示：“這些工具旨在將敏感文件和其他文件泄露給Turla運營商控制的Dropbox賬戶中?！?/p>

這些后門植入程序被秘密安裝在歐盟一個未透露國家名稱的外交部的幾臺機器上。

除了發(fā)現(xiàn)2016年的一個Crutch樣本與Turla另一個名為Gazer的第二階段后門程序之間的緊密聯(lián)系外，他們多樣化的工具集中的最新惡意軟件表明，該組織持續(xù)專注針對知名目標(biāo)的間諜和偵察活動。

Crutch要么通過Skipper套件（一種最初由Turla設(shè)計的植入程序）交付，要么由一個名為PowerShell Empire的后攻擊代理（2019年發(fā)現(xiàn)的惡意軟件）交付。

前者包括一個后門，可以使用官方的HTTP API與硬編碼Dropbox帳戶進(jìn)行通信，以接收命令和上傳結(jié)果，較新的變體（Crutch v4）避開了一個新功能，該功能可以使用Windows Wget實用程序自動將本地和可移動驅(qū)動器上的文件上傳到Dropbox。

ESET研究人員Matthieu Faou說：“攻擊的復(fù)雜性和發(fā)現(xiàn)的技術(shù)細(xì)節(jié)進(jìn)一步強化了這樣一種看法，即Turla組織擁有相當(dāng)多的資源來運營如此龐大和多樣化的武器庫?！?/p>

“此外，Crutch能夠通過濫用合法的基礎(chǔ)設(shè)施（這里指Dropbox）繞過一些安全層，以混入正常的網(wǎng)絡(luò)流量，同時竊取文件和接收來自其運營商的命令?！?/p>

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/