資安業者ESET揭露全新木馬惡意程式Crutch

• 發布日期：109-12-31
• 發布單位：刑事警察大隊

參考網站：
資安業者ESET揭露全新木馬惡意程式Crutch
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16489

資安業者ESET揭露全新木馬惡意程式Crutch，該惡意程式由俄羅斯駭侵組織Turla研發，自2015年起，開始使用於進階持續性攻擊行動，直至2020年才被發現。
資安業者ESET研究人員於歐盟成員國家外交機構電腦，發現新木馬惡意程式Crutch。經深入分析發現，該木馬程式之安裝元件、載入程式之PDB路徑及加解密使用之RC4金鑰等受害偵測指標，皆與俄羅斯駭侵組織Turla過去常使用之Gazer木馬惡意程式類似或相同，因此認為Crutch木馬惡意程式亦為駭侵組織Turla自行研發之惡意程式。位於俄羅斯之駭侵組織Turla，以透過水坑式攻擊(Watering Hole)與魚叉式網路釣魚(Spear Fishing)等攻擊手法，針對歐盟各國政府、大使館及軍事組織發動大規模攻擊而聞名。
根據資安業者ESET分析，Crutch木馬惡意程式主要功能為竊取機密檔案文件，並將資料上傳至由Turla組織所控制之Dropbox帳號以供後續使用。迄今已知4種版本Crutch木馬惡意程式，最新版本同時具有偵察、內部橫向移動及自動化資訊竊取等功能。由於Crutch利用合法雲端服務Dropbox繞過資安防護機制，藉此融入至正常網路流量，同時竊取機密檔案文件，並接收駭客發出之指令，提升攻擊複雜度與降低被發現之可能性。ESET已將Crutch木馬惡意程式相關受害偵測指標置於該公司GitHub帳號，提供資安人員參考與進行資安防護使用。

資料來源：
https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/
https://www.scmagazine.com/home/security-news/apts-cyberespionage/backdoor-and-document-stealer-tied-to-russias-turla-group/
https://threatpost.com/turla-backdoor-dropbox-espionage-attacks/161777/