Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Crutch
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Crutch
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Crutch

Crutch is a backdoor designed for document theft that has been used by Turla since at least 2015.(Citation: ESET Crutch December 2020)
ID: S0538
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 04 Dec 2020
Last Modified: 22 Dec 2020

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Crutch has conducted C2 communications with a Dropbox account using the HTTP API.(Citation: ESET Crutch December 2020)
Enterprise T1560 .001 Archive Collected Data: Archive via Utility

Crutch has used the WinRAR utility to compress and encrypt stolen files.(Citation: ESET Crutch December 2020)
Enterprise T1074 .001 Data Staged: Local Data Staging

Crutch has staged stolen files in the C:\AMD\Temp directory.(Citation: ESET Crutch December 2020)
Enterprise T1567 .002 Exfiltration Over Web Service: Exfiltration to Cloud Storage

Crutch has exfiltrated stolen data to Dropbox.(Citation: ESET Crutch December 2020)
Enterprise T1574 .001 Hijack Execution Flow: DLL Search Order Hijacking

Crutch can persist via DLL search order hijacking on Google Chrome, Mozilla Firefox, or Microsoft OneDrive.(Citation: ESET Crutch December 2020)
Enterprise T1036 .004 Masquerading: Masquerade Task or Service

Crutch has established persistence with a scheduled task impersonating the Outlook item finder.(Citation: ESET Crutch December 2020)
Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

Crutch has the ability to persist using scheduled tasks.(Citation: ESET Crutch December 2020)
Enterprise T1102 .002 Web Service: Bidirectional Communication

Crutch can use Dropbox to receive commands and upload stolen data.(Citation: ESET Crutch December 2020)

Groups That Use This Software
ID Name References
G0010 Turla

(Citation: ESET Crutch December 2020) (Citation: Talos TinyTurla September 2021)

References

  1. Faou, M. (2020, December 2). Turla Crutch: Keeping the “back door” open. Retrieved December 4, 2020.
  2. Cisco Talos. (2021, September 21). TinyTurla - Turla deploys new malware to keep a secret backdoor on victim machines. Retrieved December 2, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.