Компания ESET рассказала об обнаружении нового вредоноса Crutch, авторство которого приписывают хак-группе Turla. По данным исследователей, малварь использовалась хакерами с 2015 года  и до начала 2020 года.

Crutch был обнаружен в сети Министерства иностранных дел в неназванной стране ЕС, и эксперты полагают, что данная малварь применяется лишь против конкретных целей, как это обычно и бывает со многими инструментами Turla.

Судя по всему, Crutch был создан специально для сбора и хищения конфиденциальных документов и других файлов, которые могли представлять интерес для хакеров. Ворованную информацию малварь заливала в Dropbox, используя учетные записи, контролируемые хакерской группой.

«Crutch способен обходить некоторые уровни защиты, злоупотребляя законной инфраструктурой (в данном случае — Dropbox), чтобы влиться в обычный сетевой трафик, при этом похищая документы и получая команды от своих операторов», — говорят исследователи.

Авторство Crutch приписывают хак-группе Turla из-за его сходства с бэкдором Gazer (он же WhiteBear), который злоумышленники использовали в период с 2016 по 2017 год. Так, эксперты обнаружили, что хакеры применяли один и тот же ключ RC4 для расшифровки пейлоадов, идентичные имена файлов, почти идентичные пути PDB и так далее.

Кроме того, основываясь на временных метках 500 ZIP-архивов, которые содержали украденные документы и были загруженных Dropbox в период с октября 2018 года по июль 2019 года, эксперты выяснили, что рабочие часы хакеров соответствуют часовому поясу UTC +3 в России.

Отчет ESET гласит, что Turla применяла Crutch в качестве бэкдора второй стадии атаки, то есть использовала на уже скомпрометированных машинах, после имплантатов первой стадии, таких как Skipper. Причем в некоторых случаях Crutch применялся спустя месяцы после первоначального взлома.

Сообщается, что более ранние версии малвари связывались с жестко закодированной учетной записью Dropbox, используя официальный HTTP API для получения команд и загрузки результатов, но новый вариант (Crutch v4) может автоматически загружать файлы, найденные на локальных и съемных дисках, используя для этого Wget для Windows.

Архитектура Crutch v4

Оставить мнение