Les chercheurs en cybersécurité ont aujourd’hui dévoilé une porte dérobée et un voleur de documents jusqu’alors non documentés qui ont été déployés contre des cibles spécifiques de 2015 au début de 2020.

Nom de code « Béquille« par les chercheurs d’ESET, le malware a été attribué à Turla (alias Venomous Bear ou Snake), un groupe de hackers avancé basé en Russie, connu pour ses attaques massives contre les gouvernements, les ambassades et les organisations militaires à travers diverses campagnes de point d’eau et de harponnage.

« Ces outils ont été conçus pour exfiltrer des documents sensibles et d’autres fichiers vers des comptes Dropbox contrôlés par les opérateurs Turla », a déclaré la société de cybersécurité dans une analyse partagée avec The Hacker News.

Les implants de porte dérobée ont été secrètement installés sur plusieurs machines appartenant au ministère des Affaires étrangères dans un pays anonyme de l’Union européenne.

En plus d’identifier des liens solides entre un échantillon de Crutch de 2016 et une autre porte dérobée de deuxième étape de Turla appelée Gazer, le dernier malware dans sa panoplie d’outils diversifiée souligne la concentration continue du groupe sur l’espionnage et la reconnaissance contre des cibles de premier plan.

La béquille est livrée soit via le Skipper suite, un implant de premier stade précédemment attribué à Turla, ou un agent de post-exploitation appelé Empire PowerShell, avec deux versions différentes du malware repérées avant et après mi-2019.

Alors que la première incluait une porte dérobée qui communique avec un compte Dropbox codé en dur utilisant l’API HTTP officielle pour recevoir des commandes et télécharger les résultats, la nouvelle variante (« Crutch v4 ») évite la configuration pour une nouvelle fonctionnalité qui peut télécharger automatiquement les fichiers trouvés sur lecteurs locaux et amovibles vers Dropbox à l’aide de l’utilitaire Windows Wget.

«La sophistication des attaques et les détails techniques de la découverte renforcent encore la perception que le groupe Turla dispose de ressources considérables pour exploiter un arsenal aussi vaste et diversifié», a déclaré Matthieu Faou, chercheur à ESET.

« De plus, Crutch est capable de contourner certaines couches de sécurité en abusant de l’infrastructure légitime – ici, Dropbox – afin de se fondre dans le trafic réseau normal tout en exfiltrant les documents volés et en recevant les commandes de ses opérateurs. »