El grupo de piratería Turla, respaldado por Rusia, ha utilizado un conjunto de herramientas de malware previamente indocumentado para implementar puertas traseras y robar documentos confidenciales en campañas de ciberespionaje dirigidas a objetivos de alto perfil, como el Ministerio de Relaciones Exteriores de los países de la Unión Europea.
El marco de malware previamente desconocido, llamado Crutch por sus autores, se utilizó en campañas que abarcan desde 2015 hasta al menos principios de 2020.
El malware Crutch de Turla fue diseñado para ayudar a recolectar y filtrar documentos confidenciales y varios otros archivos de interés a las cuentas de Dropbox controladas por el grupo de piratería ruso.
"La sofisticación de los ataques y los detalles técnicos del descubrimiento fortalecen aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso", dijo el investigador de ESET Matthieu Faou en un informe publicado hoy y compartido de antemano con BleepingComputer.
"Además, Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura legítima, en este caso, Dropbox, para integrarse en el tráfico de red normal mientras filtra los documentos robados y recibe comandos de sus operadores".
Borrar enlaces a otros programas maliciosos de Turla
Los investigadores de ESET pudieron vincular a Crutch con el grupo ruso de amenazas persistentes avanzadas (APT) de Turla basándose en similitudes con la puerta trasera Gazer de segunda etapa (también conocida como WhiteBear) que los actores de amenazas utilizaron entre 2016 y 2017.
El uso de la misma clave RC4 para descifrar cargas útiles, nombres de archivo idénticos mientras se colocaban en la misma máquina comprometida en septiembre de 2017 y rutas PDB casi idénticas son solo algunos de los vínculos fuertes entre los dos observados por ESET.
"Dados estos elementos y que no se sabe que las familias de malware Turla se compartan entre diferentes grupos, creemos que Crutch es una familia de malware que forma parte del arsenal de Turla", agregó Faou.
Además, según las marcas de tiempo de más de 500 archivos ZIP que contienen documentos robados y cargados en las cuentas de Dropbox de Turla entre octubre de 2018 y julio de 2019, las horas de trabajo de los operadores de Crutch se alinean con la zona horaria rusa UTC + 3.
Dropbox abusado como almacenamiento de datos robados
Turla entregó Crutch como una puerta trasera de segunda etapa en máquinas ya comprometidas que utilizan implantes de primera etapa como Skipper durante 2017, meses después del compromiso inicial en algunos casos, y el marco de post-explotación de PowerShell Empire de código abierto.
Las primeras versiones de Crutch (entre 2015 y mediados de 2019) usaban canales de puerta trasera para comunicarse con la cuenta de Dropbox codificada a través de la API HTTP oficial y herramientas de monitoreo de unidades sin capacidades de red que buscaban y archivaban documentos interesantes como archivos cifrados.
Una versión actualizada (rastreada como 'versión 4' por ESET) agregó un monitor de unidad extraíble con capacidades de red y eliminó las capacidades de puerta trasera.
Sin embargo, permite un enfoque más no intervenido, ya que es capaz de "cargar automáticamente los archivos que se encuentran en unidades locales y extraíbles al almacenamiento de Dropbox mediante la versión de Windows de la utilidad Wget".
Ambas versiones utilizan el secuestro de DLL para ganar persistencia en dispositivos comprometidos en Chrome, Firefox o OneDrive, y Crutch v4 se descarta como "un antiguo componente de Microsoft Outlook".
"Crutch muestra que al grupo no le faltan puertas traseras nuevas o actualmente indocumentadas", concluyó Faou.
"Este descubrimiento refuerza aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso".
Grupo de espionaje poco ortodox
En total, a lo largo de sus campañas de espionaje, Turla ha comprometido miles de sistemas pertenecientes a gobiernos, embajadas, así como instalaciones de educación e investigación de más de 100 países.
El grupo ruso Turla APT (también conocido como Waterbug y VENOMOUS BEAR ) ha estado detrás de campañas de espionaje y robo de información que se remontan a 1996.
Turla es el principal sospechoso de los ataques contra el Pentágono y la NASA , el Comando Central de Estados Unidos y el Ministerio de Relaciones Exteriores de Finlandia .
El grupo de piratería también hackeó los sistemas de una entidad gubernamental europea no revelada utilizando una combinación de troyanos de administración remota (RAT) recientemente actualizados y puertas traseras basadas en llamadas de procedimiento remoto (RPC), según un informe de octubre publicado por Accenture Cyber Threat Intelligence (ACTI).
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
