ESET ontdekt Turla Crutch aanvallen op ministerie van Buitenlandse Zaken in EU-land

04-12-2020 | door: Redactie

ESET ontdekt Turla Crutch aanvallen op ministerie van Buitenlandse Zaken in EU-land

ESET-onderzoekers hebben een onbekende backdoor en document stealer ontdekt die wordt gebruikt voor cyberspionage. ESET heeft het programma, genaamd Crutch, kunnen toeschrijven aan de beruchte Turla APT groep. De malware was in gebruik vanaf 2015 tot in ieder geval begin 2020.

ESET vond Crutch in het netwerk van een ministerie van Buitenlandse Zaken in een land van de Europese Unie, wat suggereert dat deze malware-familie alleen wordt gebruikt als het gaat om zeer specifieke doelwitten. De tools werden ontworpen om gevoelige documenten en andere bestanden te exfiltreren naar Dropbox-accounts beheerd door Turla-operators.

"De belangrijkste kwaadwillende activiteit is exfiltratie van documenten en andere gevoelige bestanden. De verfijning van de aanvallen en de technische details van de vondst versterken de perceptie dat de Turla-groep over aanzienlijke middelen beschikt om zo'n groot en divers arsenaal te exploiteren", aldus Matthieu Faou, die als ESET-onderzoeker betrokken is bij onderzoek naar de Turla APT-groep. "Bovendien is Crutch in staat om een aantal beveiligingslagen te omzeilen door misbruik te maken van de legitieme infrastructuur - in dit geval Dropbox - om zich te mengen in het normale netwerkverkeer en tegelijkertijd gestolen documenten te exfiltreren en commando's van zijn operators te ontvangen".

Om een ruwe indicatie te hebben van de werkuren van de operators, exporteerde ESET de uren waarop ze ZIP-bestanden hebben geüpload naar de door hen beheerde Dropbox-accounts. De onderzoekers verzamelden hiervoor 506 verschillende tijdstempels, variërend van oktober 2018 tot juli 2019. Dit zou moeten aantonen wanneer de operators aan het werk waren en niet wanneer de machines van de slachtoffers operationeel waren. De operators opereren waarschijnlijk in de UTC+3-tijdzone.

Het onderzoeksteam van ESET identificeerde sterke banden tussen een Crutch dropper uit 2016 en Gazer. De laatste, ook wel bekend als WhiteBear, is een tweetraps backdoor die in 2016-2017 door Turla werd gebruikt.

Turla is een APT groep die al meer dan 10 jaar actief is op het gebied van cyberspionage. Het heeft vele regeringen, en met name diplomatieke entiteiten, over de hele wereld gecompromitteerd door een groot malware-arsenaal te exploiteren - een arsenaal dat de afgelopen jaren door ESET is gedocumenteerd.

Voor meer technische details over hoe Turla Crutch aanvalt en gevoelige informatie verzamelt, lees de blogpost “Turla Crutch: Keeping the ‘back door’ open” op WeLiveSecurity.com.

Terug naar nieuws overzicht
Security