按Enter到主內容區

資安業者ESET揭露全新木馬惡意程式Crutch

  • 發布日期:109-12-31
  • 發布單位:刑事警察大隊

參考網站:
資安業者ESET揭露全新木馬惡意程式Crutch
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16489


資安業者ESET揭露全新木馬惡意程式Crutch,該惡意程式由俄羅斯駭侵組織Turla研發,自2015年起,開始使用於進階持續性攻擊行動,直至2020年才被發現。
資安業者ESET研究人員於歐盟成員國家外交機構電腦,發現新木馬惡意程式Crutch。經深入分析發現,該木馬程式之安裝元件、載入程式之PDB路徑及加解密使用之RC4金鑰等受害偵測指標,皆與俄羅斯駭侵組織Turla過去常使用之Gazer木馬惡意程式類似或相同,因此認為Crutch木馬惡意程式亦為駭侵組織Turla自行研發之惡意程式。位於俄羅斯之駭侵組織Turla,以透過水坑式攻擊(Watering Hole)與魚叉式網路釣魚(Spear Fishing)等攻擊手法,針對歐盟各國政府、大使館及軍事組織發動大規模攻擊而聞名。
根據資安業者ESET分析,Crutch木馬惡意程式主要功能為竊取機密檔案文件,並將資料上傳至由Turla組織所控制之Dropbox帳號以供後續使用。迄今已知4種版本Crutch木馬惡意程式,最新版本同時具有偵察、內部橫向移動及自動化資訊竊取等功能。由於Crutch利用合法雲端服務Dropbox繞過資安防護機制,藉此融入至正常網路流量,同時竊取機密檔案文件,並接收駭客發出之指令,提升攻擊複雜度與降低被發現之可能性。ESET已將Crutch木馬惡意程式相關受害偵測指標置於該公司GitHub帳號,提供資安人員參考與進行資安防護使用。


資料來源:
https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/
https://www.scmagazine.com/home/security-news/apts-cyberespionage/backdoor-and-document-stealer-tied-to-russias-turla-group/
https://threatpost.com/turla-backdoor-dropbox-espionage-attacks/161777/