Crutch Malware
Crutch Malware er et nyligt opdaget bagdør malware-værktøj, der har været en del af operationerne i den berygtede Turla APT-gruppe (Advanced Persistent Threat). Ifølge infosec-forskerne, der analyserede truslen, har Crutch været i udnyttelse fra 2015 til mindst tidligt i 2020. Truslen er blevet opdaget, der lurer inde i computersystemerne i et udenrigsministerium i et land, der er en del af Den Europæiske Union. Ligesom de fleste malware-værktøjer i Turlas arsenal ser Crutch ud til at være en skræddersyet malware-trussel, der kun anvendes mod udvalgte mål.
Selvom det ikke er bevist, bærer Crutch tegn på en malware-trussel efter kompromis. Dette betyder, at det leveres til målet, efter at den indledende kompromisvektor er blevet etableret med succes. Et potentielt scenario, der er blevet observeret, er implementeringen af krykke måneder efter, at det målrettede system blev inficeret med et første trin implantat ved navn SKipper. En anden metode involverer brugen af PowerShell Empire-rammen.
Hovedmålet med Crutch Malware er at udføre spionageaktiviteter ved at høste følsomme dokumenter fra de inficerede maskiner, komprimere dem og exfiltrere filerne til Turla. I løbet af sin livscyklus så Crutch Malware sine kapaciteter og operationelle rutiner gennemgå alvorlige ændringer med flere forskellige versioner af truslen, der blev skabt af hackerne. For eksempel måtte Crutch i de oprindelige versioner modtage specifikke kommandoer fra Turla-operatører, før de udførte nogen af dens truende aktiviteter. Persistens blev opnået gennem DLL-kapring på Chrome, Firefox eller OneDrive. I denne periode inkluderede Cruch en anden binær, der var ansvarlig for overvågning af eventuelle flytbare medier for filtyper, der repræsenterede særlig interesse for hackerne, herunder MS Word-dokumenter, PDF'er, RTF'er osv.
I version 4 af truslen, eller hvad forskere mener at være den fjerde version, mistede Crutch sin evne til at udføre eventuelle bagdørskommandoer. I stedet blev trusselens aktiviteter helt automatiseret. Det kunne nu uafhængigt eksfiltrere filer af interesse fundet på lokale og flytbare drev ved at udnytte Windows-versionen af Wget-værktøjet.
Et aspekt, der konsekvent har været en del af Crutch Malware, er destinationen for de stjålne filer. Gennem de forskellige versioner er alle høstede data leveret til Dropbox-lagerkonti under kontrol af Turla-hackerne. Brug af legitime tjenester, Dropbox, i dette tilfælde hjælper hackere med lettere at undgå afsløring ved at blande den unormale trafik skabt af deres værktøjer blandt ofrets sædvanlige netværksaktiviteter.
