Обнаружен ранее неизвестный бэкдор, использовавшийся APT-группой в течение 5 лет

Специалисты компании ESET рассказали о ранее недокументированном бэкдоре Crutch, использовавшемся в 2015-го по 2020 год в атаках на определенные цели.

По словам специалистов, вредоносное ПО использовалось «продвинутой» хакерской группировкой Turla (другое название Venomous Bear), известной своими агрессивными атаками на правительства, посольства и военные организации с использованием целенаправленного фишинга и техники, известной как watering hole. С помощью Crutch хакеры похищали конфиденциальные документы и другие файлы и сохраняли их в своих учетных записях Dropbox.

В частности, бэкдор-закладки были тайно установлены на нескольких компьютерах, принадлежащих Министерству иностранных дел одной из стран Евросоюза.

Crutch доставляется на атакуемую систему либо через пакет Skipper (закладку первой стадии), ранее также связываемый с Turla, либо через пост-эксплуатационный агент PowerShell Empire. При этом киберпреступники использовали две версии бэкдора – одну до середины 2019 года и вторую после. Для получения команд и загрузки похищенных файлов первый вариант бэкдора подключался к вшитым учетными записями Dropbox с помощью легитимного HTTP API. Во втором варианте вместо настройки используется новая функция загрузки файлов, похищенных с локальных и съемных жестких дисков, в Dropbox с помощью утилиты Windows Wget.

Crutch способен обходить некоторые уровни безопасности, злоупотребляя законной инфраструктурой (в данном случае Dropbox) для того, чтобы слиться с обычным сетевым трафиком, при этом похищая документы и получая команды от своих операторов.

«Сложность атак и технические детали нашего открытия еще больше укрепляют представление о том, что Turla обладает значительными ресурсами для работы с таким большим и разнообразным арсеналом», - сообщил исследователь ESET Матье Фау (Matthieu Faou).