s0538-crutch - RunkIntel

# Crutch > Tipo: **malware** · S0538 · [MITRE ATT&CK](https://attack.mitre.org/software/S0538) ## Descrição [[s0538-crutch|Crutch]] é um backdoor sofisticado de segunda etapa projetado para roubo sistemático de documentos, utilizado exclusivamente pelo grupo de espionagem russo [[g0010-turla|Turla]] desde pelo menos 2015. Atribuído pelo ESET em 2020, o Crutch representa uma das ferramentas mais avançadas do arsenal do Turla, complementando outros implants do grupo como [[s0265-kazuarv2|Kazuar]] e [[snake|Snake]] em operações de espionagem de longo prazo contra alvos governamentais e diplomáticos europeus. A cadeia de ataque do [[s0538-crutch|Crutch]] é notavelmente furtiva: o malware utiliza o Dropbox como canal de comando e controle via [[t1102-002-bidirectional-communication|comunicação bidirecional]], o que permite ao [[g0010-turla|Turla]] misturar o tráfego de exfiltração com comúnicações legítimas corporativas. O roubo de dados ocorre de forma automatizada - incluindo de dispositivos removíveis via [[t1025-data-from-removable-media|Data from Removable Media]] - com os arquivos arquivados via [[t1560-001-archive-via-utility|utilitários de compressão]] antes da exfiltração para o [[t1567-002-exfiltration-to-cloud-storage|armazenamento em nuvem]]. A persistência é mantida via [[t1053-005-scheduled-task|Scheduled Task]], disfarçada como serviço legítimo via [[t1036-004-masquerade-task-or-service|Masquerade Task]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1025-data-from-removable-media|T1025 - Data from Removable Media]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Referências - [MITRE ATT&CK - S0538](https://attack.mitre.org/software/S0538)