先前從未被記錄的后門和文件竊取者的行動被揭開了帷幕。這是一場2015年至2020年初針對特定目標的惡意部署。

新的惡意軟件被ESET研究人員命名為 "Crutch" (拐杖)，并且被歸因于俄羅斯APT組織Turla(又名毒熊或毒蛇)所為。Turla總部位于俄羅斯，慣常通過各種水坑和魚叉釣魚活動對政府、大使館和軍事組織發動廣泛攻擊。

此次，除了發現2016年的一個Crutch惡意軟件樣本與Turla另一個名為Gazer的第二階段后門程序之間存在緊密聯系外，多樣化的惡意軟件表明，Turla組織仍然繼續專注于針對知名目標進行間諜和偵察活動。

"Crutch" 的目的在于將敏感文檔和其他文件傳輸給Turla運營商控制的Dropbox帳戶。而后門植入物被秘密安裝在歐盟一個不知名的國家外交部的幾臺機器上。

根據研究，Crutch要么通過Skipper suite交付，后者是先前歸屬于Turla的第一階段植入物，要么是通過一個名為PowerShell Empire的后攻擊代理。

在2019年年中前后還發現了兩個不同版本的惡意軟件。前者包括一個后門，它使用官方HTTP API與硬編碼的Dropbox帳戶進行通信，以接收命令并上載結果，而較新的變體(“Crutch v4”)可以使用Windows Wget實用程序自動將本地和可移動驅動器上的文件上載到Dropbox。

在研究人員看來，根據該組織復雜的攻擊和技術細節來看，Turla擁有相當多的資源來經營如此龐大和多樣化的軍火庫。并且Crutch還會通過濫用合法的基礎設施(這里是Dropbox)繞過一些安全層，偽裝成正常網絡流量，以便竊取文檔并從其運營商那里接收命令。

參考來源：thehackernews