러시아 연계 APT 그룹 Turla, 새로운 악성코드 툴셋인 'Crutch' 사용

Russia-linked APT Turla used a new malware toolset named Crutch

 

러시아와 연계된 APT 그룹인 Turla가 이전에 발견되지 않았던 악성코드 툴셋인 ’Crutch’를 사용해 유럽 연합 국가의 외무부를 포함한 고 가치 타깃을 노린 것으로 나타났습니다.

 

Turla APT 그룹(Snake, Uroburos, Waterbug, Venomous Bear, KRYPTON으로도 알려짐)은 최소 2007년부터 활동해 왔으며 중동, 아시아, 유럽, 북미, 남미, 구 소련 국가의 외교 및 정부 기관, 민간 기업을 노린 것으로 알려졌습니다.

 

Crutch 프레임워크는 2015년부터 공격에 사용되어 민감 데이터를 훔쳐 러시아 해킹 그룹이 관리하는 Dropbox 계정으로 전송되었습니다.

 

ESET 연구원들은 Crutch에 대해 1단계 백도어는 아니며, 공격자가 타깃 네트워크에 대한 접근 권한을 얻은 후에 Crutch를 배포한 것으로 보인다고 밝혔습니다.

 

“연구를 진행하던 중, 우리는 Crutch 드롭퍼와 2016년 Gazer의 사이의 강력한 연결 고리를 찾을 수 있었습니다. WhiteBear라고도 알려진 Gazer는 Turla가 2016년~2017년 사이에 사용한 2단계 백도어였습니다.”

 

ESET 연구원들은 이 둘의 유사성을 기반으로 Crutch와 러시아 APT인 Turla와 연결시켰습니다.

 

또한 연구원들은 한 기기에서 FatDuke와 Crutch가 동시에 존재함을 확인했습니다. FatDuke는 Dukes/APT29의 소행으로 알려진 3단계 백도어입니다. 전문가들은 러시아와 연결된 이 두 APT 그룹이 각각 동일한 기기를 해킹한 것으로 추측했습니다.

 

2018년 10월 ~ 2019년 7월 도난당한 데이터를 포함한 ZIP 압축 파일이 Dropbox 계정에 업로드된 시간을 분석한 결과 공격자의 근무 시간대를 러시아에서 사용하는 UTC+3으로 추정할 수 있었습니다.

 

연구원들은 Turla 공격자가 Crutch를 2단계 백도어로 사용했으며, 이 APT 그룹이 사용하는 1단계 임플란트에는 Skipper(2017), 오픈 소스 PowerShell Empire 포스트 익스플로잇 프레임워크(2017~)이 포함되어 있다고 밝혔습니다.

 

2015년부터 2019년 중반까지 사용된 Crutch 버전은 백도어 채널을 사용해 공식 HTTP API를 통해 하드코딩된 Dropbox 계정과 통신하고, 관심있는 특정 문서를 찾을 수 있는 드라이브 모니터링 툴을 사용했습니다.

 

2019년 7월, 전문가들은 Crutch의 새로운 버전(4)을 발견했습니다. 이는 더 이상 백도어 명령을 지원하지 않으며, 네트워킹 기능이 있는 이동식 드라이브 모니터를 추가했습니다.

 

 

<이미지 출처: https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/>

 

이전 버전과 마찬가지로, 새로운 버전 4 또한 DLL 하이재킹을 통해 해킹된 기기의 Chrome, Firefox, OneDrive에서 지속성을 확보합니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/111813/apt/turla-crutch-malware-platform.html

https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/