Crutch Malware
Die Crutch Malware ist ein kürzlich entdecktes Backdoor-Malware-Tool, das Teil des Betriebs der berüchtigten Turla APT-Gruppe (Advanced Persistent Threat) war. Laut den Infosec-Forschern, die die Bedrohung analysiert haben, wurde Crutch von 2015 bis mindestens Anfang 2020 ausgebeutet. Die Bedrohung wurde in den Computersystemen eines Außenministeriums eines Landes entdeckt, das Teil der Europäischen Union ist. Genau wie die meisten Malware-Tools in Turlas Arsenal scheint Crutch eine maßgeschneiderte Malware-Bedrohung zu sein, die nur gegen ausgewählte Ziele eingesetzt wird.
Obwohl dies nicht bewiesen wurde, weist Crutch die Anzeichen einer Malware-Bedrohung nach dem Kompromiss auf. Dies bedeutet, dass es auf das Ziel geliefert wird, nachdem der anfängliche Kompromissvektor erfolgreich erstellt wurde. Ein mögliches Szenario, das beobachtet wurde, ist der Einsatz von Crutch Monate nach der Infektion des Zielsystems mit einem Implantat der ersten Stufe namens SKipper. Eine andere Methode beinhaltet die Verwendung des PowerShell Empire-Frameworks.
Das Hauptziel von Crutch Malware besteht darin, Spionageaktivitäten durchzuführen, indem vertrauliche Dokumente von den infizierten Computern gesammelt, komprimiert und die Dateien nach Turla exfiltriert werden. Während seines Lebenszyklus hat Crutch Malware festgestellt, dass seine Funktionen und Betriebsroutinen gravierende Änderungen erfahren haben, wobei verschiedene Versionen der Bedrohung von den Hackern erstellt wurden. In den ersten Versionen musste Crutch beispielsweise bestimmte Befehle von Turla-Mitarbeitern erhalten, bevor eine seiner bedrohlichen Aktivitäten ausgeführt werden konnte. Die Persistenz wurde durch DLL-Hijacking auf Chrome, Firefox oder OneDrive erreicht. Während dieser Zeit enthielt Cruch eine zweite Binärdatei, die für die Überwachung aller Wechselmedien auf Dateitypen verantwortlich war, die für die Hacker von besonderem Interesse waren, einschließlich MS Word-Dokumenten, PDFs, RTFs usw.
In Version 4 der Bedrohung oder nach Ansicht der Forscher als vierte Version verlor Crutch die Fähigkeit, Backdoor-Befehle auszuführen. Stattdessen wurden die Aktivitäten der Bedrohung vollständig automatisiert. Es kann nun Dateien von Interesse, die sich auf lokalen und Wechseldatenträgern befinden, unabhängig voneinander filtern, indem die Windows-Version des Dienstprogramms Wget ausgenutzt wird.
Ein Aspekt, der durchweg Teil der Crutch Malware geblieben ist, ist das Ziel der gestohlenen Dateien. Durch die verschiedenen Versionen wurden alle gesammelten Daten unter der Kontrolle der Turla-Hacker an Dropbox-Speicherkonten geliefert. Die Verwendung legitimer Dienste, in diesem Fall Dropbox, hilft den Hackern, eine Erkennung leichter zu vermeiden, indem der durch ihre Tools verursachte abnormale Datenverkehr unter die üblichen Netzwerkaktivitäten des Opfers gemischt wird.
