Crutch Malware

De Crutch Malware is een recent ontdekte backdoor-malwaretool die deel uitmaakte van de activiteiten van de beruchte Turla APT-groep (Advanced Persistent Threat). Volgens de infosec-onderzoekers die de dreiging hebben geanalyseerd, is Crutch in uitbuiting geweest van 2015 tot in ieder geval begin 2020. De dreiging is ontdekt op de loer in de computersystemen van een ministerie van Buitenlandse Zaken van een land dat deel uitmaakt van de Europese Unie. Precies zoals de meeste malwaretools in het arsenaal van Turla, lijkt Crutch een op maat gemaakte malwarebedreiging te zijn die alleen tegen geselecteerde doelen wordt ingezet.

Hoewel het niet is bewezen, draagt Crutch de tekenen van een malwarebedreiging na het compromitteren. Dit betekent dat het op het doel wordt afgeleverd nadat de aanvankelijke compromisvector met succes tot stand is gebracht. Een mogelijk scenario dat is waargenomen, is de inzet van Crutch maanden nadat het beoogde systeem was geïnfecteerd met een implantaat in de eerste fase genaamd SKipper. Een andere methode is het gebruik van het PowerShell Empire-framework.

Het belangrijkste doel van Crutch Malware is om spionageactiviteiten uit te voeren door gevoelige documenten van de geïnfecteerde machines te oogsten, deze te comprimeren en de bestanden naar Turla te exfiltreren. Tijdens zijn levenscyclus zag Crutch Malware zijn mogelijkheden en operationele routines ingrijpende veranderingen ondergaan, waarbij verschillende versies van de dreiging door de hackers werden gecreëerd. In de eerste versies moest Crutch bijvoorbeeld specifieke commando's ontvangen van Turla-agenten voordat hij een van zijn bedreigende activiteiten uitvoerde. Persistentie werd bereikt door DLL-kaping in Chrome, Firefox of OneDrive. Tijdens deze periode nam Cruch een tweede binair bestand op dat verantwoordelijk was voor het controleren van verwijderbare media op bestandstypen die bijzonder interessant waren voor de hackers, inclusief MS Word-documenten, PDF's, RTF's, enz.

In versie 4 van de dreiging, of wat volgens onderzoekers de vierde versie is, verloor Crutch zijn vermogen om achterdeurcommando's uit te voeren. In plaats daarvan werden de activiteiten van de dreiging volledig geautomatiseerd. Het kon nu zelfstandig interessante bestanden op lokale en verwisselbare schijven exfiltreren door gebruik te maken van de Windows-versie van het Wget-hulpprogramma.

Een aspect dat consequent onderdeel is gebleven van de Crutch Malware, is de bestemming van de gestolen bestanden. Via de verschillende versies zijn alle verzamelde gegevens geleverd aan Dropbox-opslagaccounts onder controle van de Turla-hackers. Het gebruik van legitieme services, Dropbox, helpt in dit geval de hackers om detectie gemakkelijker te vermijden door het abnormale verkeer dat door hun tools wordt gecreëerd, te combineren met de gebruikelijke netwerkactiviteiten van het slachtoffer.