Le groupe de piratage russe Turla a utilisé un ensemble d’outils malveillants jusqu’alors non documentés pour déployer des portes dérobées et voler des documents sensibles dans le cadre de campagnes de cyberespionnage ciblées visant des cibles de premier plan telles que le ministère des Affaires étrangères des pays de l’Union européenne.

Le cadre de logiciels malveillants auparavant inconnu, nommé Crutch par ses auteurs, a été utilisé dans des campagnes allant de 2015 au moins au début de 2020.

Le logiciel malveillant Turla’s Crutch a été conçu pour aider à collecter et à exfiltrer des documents sensibles et divers autres fichiers d’intérêt pour les comptes Dropbox contrôlés par le groupe de piratage russe.

«La sophistication des attaques et les détails techniques de la découverte renforcent encore la perception que le groupe Turla dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié», a déclaré le chercheur d’ESET Matthieu Faou dans un rapport publié aujourd’hui et partagé à l’avance avec BleepingComputer.

« De plus, Crutch est capable de contourner certaines couches de sécurité en abusant de l’infrastructure légitime – ici, Dropbox – afin de se fondre dans le trafic réseau normal tout en exfiltrant les documents volés et en recevant les commandes de ses opérateurs. »

Effacer les liens vers d’autres logiciels malveillants Turla

Les chercheurs d’ESET ont pu relier Crutch au groupe russe de menaces persistantes avancées Turla (APT) sur la base de similitudes avec la porte dérobée Gazer de deuxième étape (alias WhiteBear) utilisée par les acteurs de la menace entre 2016 et 2017.

L’utilisation de la même clé RC4 pour déchiffrer les charges utiles, des noms de fichiers identiques lors de la suppression sur la même machine compromise en septembre 2017 et des chemins PDB presque identiques ne sont que quelques-uns des liens forts entre les deux observés par ESET.

«Compte tenu de ces éléments et du fait que les familles de malwares Turla ne sont pas connues pour être partagées entre différents groupes, nous pensons que Crutch est une famille de malwares qui fait partie de l’arsenal Turla», a ajouté Faou.

En outre, basé sur les horodatages de plus de 500 ZIP …