Crutch Malware

Le Crutch Malware est un outil malveillant de porte dérobée récemment découvert qui a fait partie des opérations du tristement célèbre groupe Turla APT (Advanced Persistent Threat). Selon les chercheurs d'Infosec qui ont analysé la menace, Crutch a été en exploitation de 2015 au moins début 2020. La menace a été découverte se cachant dans les systèmes informatiques d'un ministère des Affaires étrangères d'un pays faisant partie de l'Union européenne. Tout comme la majorité des outils malveillants de l'arsenal de Turla, Crutch semble être une menace malveillante personnalisée qui n'est déployée que contre des cibles sélectionnées.

Bien que cela n'ait pas été prouvé, Crutch porte les signes d'une menace de malware post-compromission. Cela signifie qu'il est délivré sur la cible après que le vecteur de compromis initial a été établi avec succès. Un scénario potentiel qui a été observé est le déploiement de Crutch des mois après que le système ciblé a été infecté par un implant de premier stade appelé SKipper. Une autre méthode implique l'utilisation du framework PowerShell Empire.

L'objectif principal de Crutch Malware est de mener des activités d'espionnage en collectant des documents sensibles sur les machines infectées, en les compressant et en exfiltrant les fichiers vers Turla. Au cours de son cycle de vie, Crutch Malware a vu ses capacités et ses routines opérationnelles subir de profonds changements avec plusieurs versions différentes de la menace créées par les pirates. Par exemple, dans les versions initiales, Crutch devait recevoir des commandes spécifiques des agents de Turla avant d'exécuter l'une de ses activités menaçantes. La persistance a été obtenue grâce au détournement de DLL sur Chrome, Firefox ou OneDrive. Pendant cette période, Cruch a inclus un deuxième binaire qui était chargé de surveiller tout support amovible pour les types de fichiers représentant un intérêt particulier pour les pirates, y compris les documents MS Word, PDF, RTF, etc.

Dans la version 4 de la menace, ou ce que les chercheurs pensent être la quatrième version, Crutch a perdu sa capacité à exécuter des commandes de porte dérobée. Au lieu de cela, les activités de la menace ont été entièrement automatisées. Il pouvait désormais exfiltrer indépendamment les fichiers d'intérêt trouvés sur les lecteurs locaux et amovibles en exploitant la version Windows de l'utilitaire Wget.

Un aspect qui a toujours fait partie du logiciel malveillant Crutch est la destination des fichiers volés. À travers les différentes versions, toutes les données récoltées ont été livrées aux comptes de stockage Dropbox sous le contrôle des hackers Turla. L'utilisation de services légitimes, Dropbox, dans ce cas, aide les pirates à éviter plus facilement la détection en mélangeant le trafic anormal créé par leurs outils parmi les activités réseau habituelles de la victime.