俄罗斯骇客以全新Crutch木马来渗透欧盟国家

斯洛伐克资安业者ESET本周揭露了一个全新的木马恶意程式家族Crutch，相信它是由俄罗斯APT骇客集团Turla所打造，虽然未曾被发现/纪录过，但Crutch从2015年就开始活动，一直到今年初。

ESET是在欧盟其中一个国家的外交部电脑上发现了Crutch的踪迹，由于它与Turla过去所使用的另一个木马程式Gazer有太多的关联，诸如它们的样本都放在同一台机器上，或是所丢掷的CAB档案都包括各种恶意程式元件，载入程式都位于类似的PDB路径，还用同样的RC4金钥来解密酬载，因此相信Crutch也是来自Turla。

Turla一向自行打造木马程式，而且不与其它骇客集团分享，也让Crutch得以藏匿在安全雷达之下。

根据ESET的分析，Crutch主要功能在于窃取机密文件与档案，并将它们上传到由Turla所控制的Dropbox账号上，Crutch迄今已发展出4个版本，最新版本除了具备侦察、横向行动与间谍能力之外，还能自动将受害系统及外接硬件的档案上传到Dropbox上。

有趣的是，ESET在受害电脑上不只发现了Crutch，也发现了来自另一个俄罗斯APT骇客集团Dukes/APT29所植入的FatDuke木马程式。