最新发现的Turla恶意后门软件用于攻击政府部门

Turla至少从2006年起就活跃起来，也被称为Belugasturgeon，KRYPTON，Snake，Venousous Bear和Waterbug，最近被观察到针对欧洲政府的后门鸡尾酒。

在欧盟国家外交部的网络上也发现了最近被称为Crutch的后门。根据ESET的说法，该恶意软件只能用于非常特定的目标，这是许多Turla工具的常见功能。

Crutch后门似乎从2015年开始使用，直到至少2020年初。ESET能够找到该恶意软件的2016年投递器与网络间谍组织第二阶段后门Gazer（WhiteBear）之间的联系。在2016-2017年使用。

2017年9月，两个样本都被放置在同一台机器上的同一位置，相隔仅五天之间隔，两个样本都丢弃了打包在CAB文件中的恶意软件组件，并且由它们丢弃的加载器共享了明确相关的PDB路径并使用相同的RC4密钥解密他们的有效载荷。

ESET说： “考虑到这些因素，并且不知道Turla恶意软件家族会在不同组之间共享，我们相信Crutch是Turla武器库的一部分，是一个恶意软件家族。”

安全研究人员还发现Crutch和FatDuke（与Dukes / APT29相关的第三阶段有效负载）同时存在于同一台计算机上，但没有找到两个恶意软件家族之间相互作用的证据。

Crutch工具集旨在窃取攻击者控制的Dropbox帐户感兴趣的文档和其他数据，可在外交部前述网络中的多台计算机上找到。

操作员似乎专注于执行侦查，他们发送给恶意软件的一些命令表明。研究人员观察到数据的分段，压缩和泄漏，所有操作均基于手动执行的命令进行。

ESET还指出，Crutch似乎不是第一阶段的后门程序：在一种情况下，恶意软件是在受害者网络受到攻击后数月才部署的。研究人员还确定了该恶意软件的几种版本，表明其运营商致力于投资于威胁的演变。

“在过去的几年中，我们公开记录了Turla运营的多个恶意软件家族。Crutch表明，该组织并不缺少新的或当前未记录的后门。这一发现进一步增强了人们的看法，即Turla集团拥有大量资源来运营如此庞大而多样化的军火库。” ESET总结道。