Los investigadores de seguridad cibernética revelaron hoy una puerta trasera y un ladrón de documentos previamente no documentados que se ha implementado contra objetivos específicos desde 2015 hasta principios de 2020.
Con el nombre en código «Crutch» por los investigadores de ESET, el malware ha sido atribuido a Turla (también conocido como Venomous Bear o Snake), un grupo de piratas informáticos avanzados con sede en Rusia conocido por sus extensos ataques contra gobiernos, embajadas y organizaciones militares a través de varios pozos de agua y lanzas. campañas de phishing
“Estas herramientas fueron diseñadas para exfiltrar documentos confidenciales y otros archivos a cuentas de Dropbox controladas por operadores de Turla”, dijo la firma de ciberseguridad en un análisis compartido con The Hacker News.
Los implantes de puerta trasera se instalaron en secreto en varias máquinas pertenecientes al Ministerio de Relaciones Exteriores en un país no identificado de la Unión Europea.
Además de identificar fuertes vínculos entre una muestra de Crutch de 2016 y otra puerta trasera de segunda etapa de Turla llamada Gazer, el último malware en su diverso conjunto de herramientas apunta al enfoque continuo del grupo en el espionaje y el reconocimiento contra objetivos de alto perfil.
Crutch se entrega a través de la suite Skipper, un implante de primera etapa previamente atribuido a Turla, o un agente posterior a la explotación llamado PowerShell Empire, con dos versiones diferentes del malware detectadas antes y después de mediados de 2019.
Mientras que el primero incluía una puerta trasera que se comunica con una cuenta de Dropbox codificada utilizando la API HTTP oficial para recibir comandos y cargar los resultados, la variante más nueva («Crutch v4») evita la configuración de una nueva función que puede cargar automáticamente los archivos que se encuentran en unidades locales y extraíbles a Dropbox mediante la utilidad Wget de Windows.
«La sofisticación de los ataques y los detalles técnicos del descubrimiento fortalecen aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso», dijo Matthieu Faou, investigador de ESET.
«Además, Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura legítima, aquí, Dropbox, para mezclarse con el tráfico normal de la red mientras extrae documentos robados y recibe comandos de sus operadores».
