俄罗斯黑客组织Turla使用Crutch恶意软件进行长达五年的APT攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在全球网络安全威胁中，俄罗斯黑客组织Turla（又名Venomous Bear或Snake）因其高超的攻击技术和频繁的间谍活动而广为人知。最近，安全研究人员揭示了该组织所使用的一种名为“Crutch”的恶意软件，这一工具被用于针对政府、使馆和军事机构的长达五年的攻击活动。

什么是Crutch？

Crutch 是一款高级后门程序和文件窃取工具，主要被用于从2015年到2020年期间对特定目标进行攻击。根据知名安全公司ESET的分析，这款恶意软件被植入到欧洲某国外交部的多台计算机上，用于窃取敏感文件和数据。

Turla 的操作手法通常通过水坑攻击和鱼叉式网络钓鱼入侵目标，而 Crutch 被用于后续阶段的攻击，以便从受害者的系统中盗取文件，并将其上传至由Turla黑客控制的Dropbox账户。

Crutch的独特攻击方式

Crutch 的一大特点是它通过合法的云存储服务Dropbox进行数据传输，这使得它能够隐藏在合法的网络流量中，规避许多安全监控系统。ESET 研究人员指出，Crutch利用Dropbox的官方HTTP API接收命令并上传窃取的数据，从而有效地绕过了某些网络安全防御。

在2019年后，Crutch恶意软件被进一步升级，新版本能够自动扫描本地和可移动磁盘上的文件，并通过Windows系统的Wget实用工具将数据上传至Dropbox。这种自动化的文件上传功能，使得黑客能够以更高效、更隐秘的方式进行数据窃取。

Turla集团的技术实力

Turla集团一向以其复杂的攻击手法和丰富的恶意软件工具库闻名。除了Crutch，Turla还开发了多种后门程序和攻击工具，用于对高价值目标进行网络间谍活动。通过运用如Crutch这样的工具，Turla展示了其雄厚的技术实力以及对目标长期持续监控的能力。

ESET的研究员Matthieu Faou表示：“Turla组织在过去几年中的持续攻击显示了他们具备足够的资源来维护如此庞大且多样化的武器库。”

Crutch的危害与应对

Crutch的出现再次提醒我们，国家背景的黑客组织对全球政治、军事和外交的威胁不容小觑。通过利用合法的云服务进行隐秘的数据传输，Turla有效地躲过了许多网络安全监控。这使得企业和政府机构在面对高级持续性威胁（APT）时，必须不断升级防御手段，强化对数据传输的监控，尤其是对合法服务的异常使用进行深入审查。

结语

Crutch的曝光再次证明，网络攻击手段的复杂性和隐蔽性正日益增强。面对如此高级的攻击，全球企业和政府需要加强合作，利用先进的安全技术手段抵御国家背景的网络威胁。同时，个人用户也应提高安全意识，避免成为黑客攻击链条上的一环。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯黑客组织Turla使用“Crutch”恶意软件进行长达五年的APT攻击