Los investigadores de ciberseguridad de hoy sacaron las envolturas de una puerta trasera y un ladrón de documentos previamente indocumentados que se ha implementado contra objetivos específicos desde 2015 hasta principios de 2020.

Con el nombre en clave de » Crutch » por los investigadores de ESET, el malware se ha atribuido a Turla (también conocido como Venomous Bear o Snake), un grupo de hackers avanzados con sede en Rusia conocido por sus extensos ataques contra gobiernos, embajadas y organizaciones militares a través de varios abrevaderos y lanzas. campañas de phishing.

«Estas herramientas fueron diseñadas para filtrar documentos confidenciales y otros archivos a cuentas de Dropbox controladas por los operadores de Turla», dijo la firma de ciberseguridad en un análisis compartido con The Hacker News.

Los implantes de puerta trasera se instalaron en secreto en varias máquinas pertenecientes al Ministerio de Relaciones Exteriores en un país anónimo de la Unión Europea.

Además de identificar fuertes vínculos entre una muestra de Crutch de 2016 y otra puerta trasera de segunda etapa de Turla llamada Gazer , el último malware en su conjunto de herramientas diverso apunta al enfoque continuo del grupo en el espionaje y el reconocimiento contra objetivos de alto perfil.

Crutch se entrega a través de la suite Skipper , un implante de primera etapa previamente atribuido a Turla, o un agente de post-explotación llamado PowerShell Empire , con dos versiones diferentes del malware detectadas antes y después de mediados de 2019.

Mientras que el primero incluía una puerta trasera que se comunica con una cuenta de Dropbox codificada mediante la API HTTP oficial para recibir comandos y cargar los resultados, la variante más nueva («Crutch v4») evita la configuración de una nueva función que puede cargar automáticamente los archivos encontrados en unidades locales y extraíbles a Dropbox mediante la utilidad Wget de Windows.

«La sofisticación de los ataques y los detalles técnicos del descubrimiento fortalecen aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso», dijo el investigador de ESET Matthieu Faou.

«Además, Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura legítima, en este caso, Dropbox, para integrarse en el tráfico normal de la red mientras filtra los documentos robados y recibe comandos de sus operadores».

Fuente y redacción: thehackernews.com

Compartir