6 декабря 2020 
adminGWP 
С пoмoщью Crutch xaкeры Turla пoxищaли кoнфидeнциaльныe дoкумeнты и другиe фaйлы у прaвитeльствeнныx oргaнизaций.
Спeциaлисты кoмпaнии ESET рaсскaзaли o рaнee нeдoкумeнтирoвaннoм бэкдoрe Crutch, испoльзoвaвшeмся в 2015-гo пo 2020 гoд в aтaкax нa oпрeдeлeнныe цeли.
Пo словам специалистов, вредоносное Вдоль использовалось «продвинутой» хакерской группировкой Turla (другое шапка Venomous Bear), известной своими агрессивными атаками в правительства, посольства и военные организации с использованием целенаправленного фишинга и техники, известной (языко watering hole. С помощью Crutch хакеры похищали конфиденциальные документы и кое-кто файлы и сохраняли их в своих учетных записях Dropbox.
В частности, бэкдор-закладки были крадучись установлены на нескольких компьютерах, принадлежащих Министерству иностранных дел одной с стран Евросоюза.
Crutch доставляется нате атакуемую систему либо после пакет Skipper (закладку первой стадии), перед также связываемый с Turla, либо по вине пост-эксплуатационный агент PowerShell Empire. Присутствие этом киберпреступники использовали двум версии бэкдора – одну впредь до середины 2019 года и вторую по времени. Для получения команд и загрузки похищенных файлов основополагающий вариант бэкдора подключался к вшитым учетными записями Dropbox с через легитимного HTTP API. Во втором варианте где бы настройки используется новая тотиент загрузки файлов, похищенных с локальных и съемных жестких дисков, в Dropbox с через утилиты Windows Wget.
Crutch горазд обходить некоторые уровни безопасности, злоупотребляя законной инфраструктурой (в данном случае Dropbox) для того того, чтобы слиться с обычным сетевым трафиком, подле этом похищая документы и получая команды ото своих операторов.
«Сложность атак и технические детали нашего открытия до сей поры больше укрепляют представление о волюм, что Turla обладает значительными ресурсами во (избежание работы с таким большим и разнообразным арсеналом», – сообщил изучатель ESET Матье Фау (Matthieu Faou).
Фонтан
Рубрика: