此前从没被纪录的后门和文档窃取者的行为被揭开了帷幕。这也是一场2015年至2020年初对于指定总体目标的恶意布署。
新的恶意软件被ESET科学研究工作人员取名为 "Crutch" (拐棍),而且被归功于俄国APT机构Turla(别名毒熊或毒蝎子)所为。Turla总位置于俄国,惯常根据各种各样水洼和鱼叉垂钓主题活动对政府部门、使馆和国防机构启动普遍进攻。
本次,除开发觉2016年的一个Crutch恶意软件样版与Turla另一个名叫Gazer的第二阶段后门程序流程相互间有密切联系外,多元化的恶意软件说明,Turla机构依然再次致力于对于著名总体目标开展特工和侦查主题活动。
"Crutch" 的目标就在于将比较敏感文本文档和别的文件传送给Turla营运商操纵的Dropbox账号。而后门假体被密秘安裝在欧盟国家一个不知名的国家外交部的多台设备上。
依据科学研究,Crutch要不根据Skipper suite交货,后面一种是此前属于Turla的第一阶段假体,要不是根据一个名叫PowerShell Empire的后进攻代理商。
在2019年年里前后左右还看到了两种不一样版本号的恶意软件。前面一种包含一个后门,它应用官方网HTTP API与硬编码的Dropbox账号开展通讯,以接受指令并上载結果,而较新的组合(“Crutch v4”)可以应用Windows Wget应用工具全自动将当地和可挪动控制器上的文档上载到Dropbox。
在科学研究工作人员来看,依据该机构繁杂的进攻和关键技术看来,Turla有着非常多的网络资源来运营如此巨大和多元化的军火库。而且Crutch还会继续根据乱用合理合法的基础设施建设(这儿是Dropbox)绕开一些安全性层,装扮成一切正常数据流量,便于窃取文本文档并从其营运商那边接受指令。
参照由来:thehackernews