Crutch Malware

Il Malware Crutch è uno strumento malware backdoor scoperto di recente che ha fatto parte delle operazioni del famigerato gruppo Turla APT (Advanced Persistent Threat). Secondo i ricercatori di Infosec che hanno analizzato la minaccia, Crutch è stata sfruttata dal 2015 almeno all'inizio del 2020. La minaccia è stata scoperta in agguato nei sistemi informatici di un Ministero degli Affari Esteri di un paese che fa parte dell'Unione Europea. Esattamente come la maggior parte degli strumenti malware nell'arsenale di Turla, Crutch sembra essere una minaccia malware personalizzata che viene distribuita solo contro obiettivi selezionati.

Sebbene non sia stato dimostrato, Crutch porta i segni di una minaccia malware post-compromissione. Ciò significa che viene erogato sul bersaglio dopo che il vettore di compromesso iniziale è stato stabilito con successo. Un potenziale scenario che è stato osservato è il dispiegamento di Crutch mesi dopo che il sistema mirato è stato infettato da un impianto di prima fase denominato SKipper. Un altro metodo prevede l'uso del framework PowerShell Empire.

L'obiettivo principale di Crutch Malware è svolgere attività di spionaggio raccogliendo documenti sensibili dalle macchine infette, comprimendoli ed esfiltrando i file su Turla. Durante il suo ciclo di vita, Crutch Malware ha visto le sue capacità e le routine operative subire gravi cambiamenti con diverse versioni della minaccia creata dagli hacker. Ad esempio, nelle versioni iniziali, Crutch doveva ricevere comandi specifici dagli agenti Turla prima di eseguire qualsiasi delle sue attività minacciose. La persistenza è stata ottenuta tramite il dirottamento della DLL su Chrome, Firefox o OneDrive. Durante questo periodo, Cruch ha incluso un secondo binario che era responsabile del monitoraggio di qualsiasi supporto rimovibile per i tipi di file che rappresentavano un interesse particolare per gli hacker, inclusi documenti MS Word, PDF, RTF, ecc.

Nella versione 4 della minaccia, o quella che i ricercatori ritengono essere la quarta versione, Crutch ha perso la sua capacità di eseguire qualsiasi comando backdoor. Invece, le attività della minaccia erano completamente automatizzate. Ora potrebbe esfiltrare in modo indipendente i file di interesse trovati su unità locali e rimovibili sfruttando la versione Windows dell'utilità Wget.

Un aspetto che è rimasto costantemente parte del Malware Crutch è la destinazione dei file rubati. Attraverso le diverse versioni, tutti i dati raccolti sono stati consegnati agli account di archiviazione Dropbox sotto il controllo degli hacker di Turla. L'utilizzo di servizi legittimi, Dropbox, in questo caso, aiuta gli hacker a evitare più facilmente il rilevamento mescolando il traffico anomalo creato dai loro strumenti tra le solite attività di rete della vittima.