网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者,该窃取者在2015年至2020年初针对特定目标进行了部署。
该恶意软件被ESET研究人员命名为“Crutch”,被归咎于Turla,这是一家总部位于俄罗斯的高级黑客组织,通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。
网络安全公司的分析报告显示:“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。”
这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。
除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外,他们多样化的工具集中的最新恶意软件表明,该组织持续专注针对知名目标的间谍和侦察活动。
Crutch要么通过Skipper套件(一种最初由Turla设计的植入程序)交付,要么由一个名为PowerShell Empire的后攻击代理(2019年发现的恶意软件)交付。
前者包括一个后门,可以使用官方的HTTP API与硬编码Dropbox帐户进行通信,以接收命令和上传结果,较新的变体(Crutch v4)避开了一个新功能,该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。
ESET研究人员Matthieu Faou说:“攻击的复杂性和发现的技术细节进一步强化了这样一种看法,即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。”
“此外,Crutch能够通过滥用合法的基础设施(这里指Dropbox)绕过一些安全层,以混入正常的网络流量,同时窃取文件和接收来自其运营商的命令。”
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册