根據ESET的分析,Crutch主要功能在於竊取機密文件與檔案,並將它們上傳到由Turla所控制的Dropbox帳號上,Crutch迄今已發展出4個版本,最新版本除了具備偵察、橫向行動與間諜能力之外,還能自動將受害系統及外接硬體的檔案上傳到Dropbox上。(圖片來源/ESET)

斯洛伐克資安業者ESET本周揭露了一個全新的木馬惡意程式家族Crutch,相信它是由俄羅斯APT駭客集團Turla所打造,雖然未曾被發現/紀錄過,但Crutch從2015年就開始活動,一直到今年初。

ESET是在歐盟其中一個國家的外交部電腦上發現了Crutch的蹤跡,由於它與Turla過去所使用的另一個木馬程式Gazer有太多的關聯,諸如它們的樣本都放在同一臺機器上,或是所丟擲的CAB檔案都包括各種惡意程式元件,載入程式都位於類似的PDB路徑,還用同樣的RC4金鑰來解密酬載,因此相信Crutch也是來自Turla。

Turla一向自行打造木馬程式,而且不與其它駭客集團分享,也讓Crutch得以藏匿在安全雷達之下。

根據ESET的分析,Crutch主要功能在於竊取機密文件與檔案,並將它們上傳到由Turla所控制的Dropbox帳號上,Crutch迄今已發展出4個版本,最新版本除了具備偵察、橫向行動與間諜能力之外,還能自動將受害系統及外接硬體的檔案上傳到Dropbox上。

有趣的是,ESET在受害電腦上不只發現了Crutch,也發現了來自另一個俄羅斯APT駭客集團Dukes/APT29所植入的FatDuke木馬程式。


熱門新聞

Advertisement