1. 极安网首页
  2. 网络安全新闻

最新发现的Turla恶意后门软件用于攻击政府部门

ESET的安全研究人员发现了另一种恶意软件,俄罗斯网络间谍组织Turla在攻击中使用了该恶意软件。

最新发现的Turla恶意后门软件用于攻击政府部门-极安网

Turla至少从2006年起就活跃起来,也被称为Belugasturgeon,KRYPTON,Snake,Venousous Bear和Waterbug,最近被观察到针对欧洲政府的后门鸡尾酒。

在欧盟国家外交部的网络上也发现了最近被称为Crutch的后门。根据ESET的说法,该恶意软件只能用于非常特定的目标,这是许多Turla工具的常见功能。

Crutch后门似乎从2015年开始使用,直到至少2020年初。ESET能够找到该恶意软件的2016年投递器与网络间谍组织第二阶段后门Gazer(WhiteBear)之间的联系。在2016-2017年使用。

2017年9月,两个样本都被放置在同一台机器上的同一位置,相隔仅五天之间隔,两个样本都丢弃了打包在CAB文件中的恶意软件组件,并且由它们丢弃的加载器共享了明确相关的PDB路径并使用相同的RC4密钥解密他们的有效载荷。

ESET说: “考虑到这些因素,并且不知道Turla恶意软件家族会在不同组之间共享,我们相信Crutch是Turla武器库的一部分,是一个恶意软件家族。”

安全研究人员还发现Crutch和FatDuke(与Dukes / APT29相关的第三阶段有效负载)同时存在于同一台计算机上,但没有找到两个恶意软件家族之间相互作用的证据。

Crutch工具集旨在窃取攻击者控制的Dropbox帐户感兴趣的文档和其他数据,可在外交部前述网络中的多台计算机上找到。

操作员似乎专注于执行侦查,他们发送给恶意软件的一些命令表明。研究人员观察到数据的分段,压缩和泄漏,所有操作均基于手动执行的命令进行。

ESET还指出,Crutch似乎不是第一阶段的后门程序:在一种情况下,恶意软件是在受害者网络受到攻击后数月才部署的。研究人员还确定了该恶意软件的几种版本,表明其运营商致力于投资于威胁的演变。

“在过去的几年中,我们公开记录了Turla运营的多个恶意软件家族。Crutch表明,该组织并不缺少新的或当前未记录的后门。这一发现进一步增强了人们的看法,即Turla集团拥有大量资源来运营如此庞大而多样化的军火库。” ESET总结道。

原创文章,作者: Admin ,转载请注明出处:https://www.secvery.com/4330.html