ESET 安全研究人员指出,疑似有俄方背景的黑客组织 Turla,正在利用前所未有的方式,存储恶意软件窃取来的相关数据。此前有研究称 Turla 涉嫌在欧盟外交机构部署了后门程序,并窃取了敏感文件。此外在 2015 到 2020 年初的活动中,该组织还利用了此前未知的 Crutch 恶意软件框架。
Crutch 恶意软件架构图(来自:ESET)
ESET 安全研究人员 Matthieu Faou 在今日公布的一份报告中称:“攻击的复杂性和已发现的技术细节,进一步增强了我们对 Turla 组织拥有大量资源来运营如此庞大而多样化的网络攻击武器库的看法”。
此外 Crutch 甚至能够滥用合法的基础架构(本文以 Dropbox 网盘为例)来绕过某些安全层,以便将自身隐于正常的网络流量,从操作者手上接收命令并窃取机密文档。
之所以怀疑 Turla 有俄方背景,是因为 ESET 研究人员发现 Crutch 与 2016~2017 年间的 Gazer 网络安全威胁有相似之处。
其使用了相同的 RC4 密钥来解密有效负载,且应用了与 2017 年 9 月的一台受感染的计算机上几乎相同的 PDB 路径和文件名。
基于此,Matthieu Faou 认为 Crutch 只是 Turla 网络攻击武器库家族的其中一部分。
此外根据 2018 年 10 月 ~ 2019 年 7 月间 500 多个被盗上传至 Dropbox 账户的 ZIP 存档文件时间戳,Crutch 幕后操作者的工作时间,也与俄罗斯地区的 UTC +3 时区保持一致。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理。
