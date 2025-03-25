اكتشَف فريق IBM X-Force مجموعة من البرامج الضارة (بوابة Sheriff الخلفية) غير المعروفة سابقًا، والتي استُخدمت في هجوم تجسس إلكتروني استهدف جهةً تابعةً لقطاع الدفاع الأوكراني في النصف الأول من عام 2024. استخدم عنصر التهديد بوابة إخبارية شهيرة في أوكرانيا، ukr.net، لاستضافة الباب الخلفي باسم Sheriff. يمكن للباب الخلفي المعياري تنفيذ الأوامر الموجهة من قبل العنصر الفاعل، وجمع لقطات الشاشة، واستخراج بيانات الضحايا سرًا باستخدام واجهة برمجة تطبيقات التخزين السحابي Dropbox. في أثناء التحقيق، حددت X-Force نشاط تهديد مشابهًا لتهديدات CloudWizard APT وTurla (المعروف أيضًا باسم ITG12)، وكلاهما من مجموعات التهديد المرتبطة بروسيا التي استهدفت الكيانات الأوكرانية.
في أثناء التحقيق، أعادت X-Force بناء سلسلة الإصابات التالية:
العينة التي تم تحليلها هي x86 DLL، تحتوي على تصدير واحد "MyFunt". تحتوي على مسار نسبي مبرمج إلى وحدة تنزيل الوحدة النمطية الخاصة بـ Sheriff Downloader Module DLL في مورد باللغة الروسية باسم "LoaderPath". المسار المشفر هو
والتي ترتبط بالمسار التالي: “%USERPROFILE%\AppData\”.
يستخدم DLL بعد ذلك واجهة برمجة التطبيقات CLRCreateInstance لاستضافة وقت تشغيل اللغة المشتركة (CLR) لـ .NET. يتم تنفيذ دالة DLL لوحدة Sheriff Downloader Loader.MainCycle.Run عبر طريقة ExecuteInDefaultAppDomain.
تم شرح هذه التقنية مؤخرًا بالتفصيل في منشور مدونة X-Force كتقنية للفريق الأحمر.
يوفر Deputy Loader أيضًا مسارات لكل من مكتبات DLL كوسيطات مفصولة بفاصلات منقوطة (";").
الوحدة النمطية Sheriff Downloader عبارة عن ملف x86 .NET DLL، والذي يحتوي على مكتبة (dotnetzip.dll) معباة في مورد باستخدم Fody Costura.
تحتوي فئة "MainCycle" على الدالة الرئيسية "Run"، والتي تبدأ باسترجاع أربع قيم مخزنة في الموارد اللغوية الروسية للبرنامج الثنائي:
باستخدام هذه، تحاول العينة تنزيل ملف من
في المجلد
إذا كان الملف موجودًا بالفعل، فسيتم تخطي سلوك التنزيل، وستعمل البرامج الضارة كمحمل فقط.
بعد ذلك، يقوم بفك تشفير الحمولة عبر مكتبة "SymmetricCrypt" المخصصة وكلمة المرور "BS7imxwRXueassn". يبدو أن الخوارزمية متطابقة لتشفير AES المدمج في.NET (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs).
يتم استخراج ملف ZIP الناتج في الذاكرة ليكشف عن ملفين على الأقل يتم فرزهما حسب حجم الملف. وأخيرًا، يتم تحميل الملف الأول (وحدة Sheriff الرئيسية) بشكل عكسي كتجميع .NET، ما يستدعي طريقة "MainClass.Run". تتم قراءة الملف الأخير (ملف Sheriff Init) سطرًا تلو الآخر وتوفيره إلى التجميع المنفّذ كوسيطة كائن قائمة، جنبًا إلى جنب مع مسارات Deputy Loader DLL وSheriff Downloader DLL والحمولة التي يتم تنزيلها "RDZXVh".
يثير عنوان URL الخاص بالتنزيل المخاوف على الفور، حيث إن المضيف ukr.net يحتل المرتبة الرابعة من حيث عدد الزيارات في أوكرانيا وفقًا لموقع Semrush. Ukr.net هو أيضًا مزود خدمة إنترنت (ISP)، ومزود بريد إلكتروني مشهور يستضيف واحدة من أكبر البوابات الإخبارية في أوكرانيا، حيث يزور موقعه الإلكتروني أكثر من 100 مليون زائر شهريًا. على الرغم من أن ukr.net يبدو أنه يوفر خدمات الاستضافة أيضًا، فإنه من غير الممكن للمستخدمين بشكل عام استضافة الملفات على أدلة الجذر العشوائية على خادم الويب الرئيسي. ومن ثَمَّ فمن المرجح أن يكون عنصر التهديد قد اخترق موقع ukr.net من أجل تنظيم حمولة الباب الخلفي المشفّر بالنسبة إلى Sheriff في أوائل مارس 2024.
في وقت التحقيق، لم تكن الحمولة متاحة، ولم تتمكن X-Force من تحديد الحمولات الضارة الأخرى المستضافة على ukr.net. من الممكن أن يكون وصول عنصر التهديد محدودًا في نطاقه، أو متاحًا لفترة قصيرة فقط، أو تم استخدامه عمدًا بشكل محدود. إن وصول عنصر التهديد إلى أكبر بوابة إخبارية في أوكرانيا من شأنه أن يجعلها قادرة على تنفيذ مجموعة من الهجمات عالية التأثير والعمل في ظل التعتيم المعزز. في هذه الحادثة بالتحديد، قد يكون عنصر التهديد قد أساء استخدام النطاق الموثوق به لتنظيم برنامج ضار من دون إثارة الشكوك.
الوحدة الرئيسية الخاصة بـ Sheriff هي x86 .NET DLL، والتي يحتوي مرة أخرى على مكتبة (dotnetzip.DLL) معبأة في موارد باستخدام Costura.
عند تنفيذ وظيفة "Run" لأول مرة في الجلسة الرئيسية، تبدأ بقراءة الوسيطات المستلمة كقائمة من ملف تهيئة Sheriff. حيث إنها تعيِّن القيم التالية:
يسرد الجدول أدناه شرحًا لكل من الوسيطات:
الاسم
التفسير
|_symKey
|مفتاح التشفير المتقدم (AES) المستخدم لفك تشفير التكوين
ConfName
اسم ملف التكوين
ModulsFolder
اسم المجلد المستخدم لتنزيل المزيد من الوحدات النمطية
UploadLocalFolder
اسم المجلد المستخدم للبيانات المتسربة
_defaultZipExt
الملحق الافتراضي المستخدم لتحديد ملفات ZIP
refreshToken
رمز تحديث التفويض المفتوح (OAuth) للمصادقة باستخدام واجهة برمجة تطبيقات Dropbox
_guid
تُستخدم السلسلة مع الرقم التسلسلي كمعرف للضحية
_asymPrivKey
المفتاح الخاص RSA المستخدم لفك تشفير الوحدات التي تم تنزيلها
_asymPubKey
مفتاح RSA العام المستخدم لتشفير البيانات قبل الاستخراج
تأتي المفاتيح غير المتماثلة من مجموعتين مختلفتين من المفاتيح، ما منع فك تشفير البيانات المتسربة في أثناء التحقيقات.
بعد ذلك، ينشئ Sheriff مجلدات التحميل والتنزيل المحلية. إذا لم يكن موجودًا، فستتم كتابة ملف التكوين MLvn.cfg عند تنفيذ وحدة Sheriff النمطية الرئيسية لأول مرة. وبعد ذلك، يمكن قراءتها وتعديلها للحفاظ على تكوينات منفصلة لكل وحدة. يحتوي ملف التكوين الذي تم فك تشفيره على القيم التالية للوحدة "الرئيسية"، مفصولة بفاصلات منقوطة ("؛"):
لم يتم العثور على وحدة "key" في أثناء التحقيق. ربما كانت هذه الوحدة مسؤولة عن إنشاء الاستمرارية لـ Deputy Loader DLL، والتي تكتب مفتاح التسجيل التالي:
يحتوي المفتاح على الأمر اللازم لتنفيذ تصدير MyFunc الخاص بـ Deputy Loader:
تتم إدارة اتصالات الأوامر والتحكم من خلال فئة "DbApiV2"، والتي تستخدم واجهة برمجة تطبيقات Dropbox لإنشاء الملفات والمجلدات البعيدة على Dropbox والبحث عنها وتنزيلها وتحميلها ونقلها وتحليلها. يستخدم رمز التحديث للحصول على رمز وصول مؤقت للمصادقة عبر عنوان URL التالي:
تُستخدم نقاط نهاية وجهة برمجة التطبيقات هذه لإدارة الملفات والمجلدات البعيدة:
قبل محاولة تنزيل الملفات، تقوم وحدة Sheriff النمطية الرئيسية بتحميل رسالة سجل تحتوي على عنوان IP (بروتوكول الإنترنت) العام للضحية وقائمة الوحدات النمطية المحملة. يتم تشفير السجل باستخدام XOR باستخدام معرف الضحية المكون من GUID (من الوسيطات أو يتم إنشاؤه عشوائيًا) والرقم التسلسلي. بعد التشفير، يتم تحميل السجل إلى مجلد Dropbox باسم يتطابق مع معرف الضحية.
تُسترجع جميع الملفات من مجلد Dropbox في /<victim_id>/ Dow / ويتم تنزيلها إلى المجلد المحلي "ModlsFold" المبرمج بشكل ثابت على "/ DxyVS1". بعد التنزيل، تُحذف جميع الملفات على الفور من Dropbox. بعد ذلك، سنناقش معالجة الملفات التي تم تنزيلها بواسطة الوحدة النمطية الرئيسية.
تبدأ عملية التحميل بإحصاء جميع الملفات المحلية في "UploadLocalFolder"، وفي هذه الحالة تمت برمجتها بشكل ثابت على شكل "/gyTufW". بناءً على امتداداتها، يتم تصنيفها إلى ثلاث فئات:
ستقوم دالة "PreparingForUpload" بعد ذلك بضغط جميع الملفات النصية الواضحة في ملف ZIP جديد. يتم تشفير جميع ملفات ZIP لاحقًا باستخدام مفتاح AES الذي تم إنشاؤه عشوائيا، والذي يتم تشفيره بدوره باستخدام مفتاح RSA العام وربطه بالملف المشفر. في أثناء التنفيذ، تحذف الدالة جميع الملفات المتبقية من المجلد حتى يتم ترك الملفات المضغوطة والمشفرة بالكامل فقط. ثم يتم رفع هذه الرسائل إلى مجلد Dropbox في /<victim_id>/Up/ بينما يتم حذفها محليًا.
يتم تنفيذ كل من وظيفتي التحميل والتنزيل بشكل غير متزامن وتشغيلهما بمؤقت مشفر حتى 30 ثانية في العينة التي تم تحليلها.
في وقت التحقيق، لم يعد حساب Dropbox يستضيف أي ملفات، كما يتضح من معدل استخدام المساحة:
يعرض حساب Dropbox المرتبط المعلومات التالية:
تتمثل مهمة وحدة Sheriff الرئيسية في العمل كمنسق لإطلاق الوحدات المختلفة وإدارتها. يمكن تنزيل هذه الوحدات عبر العملية الموضحة أعلاه، والتي تم اكتشاف إحداها في أثناء التحقيقات ("./DxyVS1/dowtuxZml").
تتكرر دالة "LoadModul" من خلال الملفات التي تم تنزيلها وفك تشفيرها باستخدام المفتاح الخاص RSA ومفتاح AES الناتج. يحتوي ملف ZIP الذي تم فك تشفيره على سلسلة تعليق والتي تُستخدم لتحليل الوحدة النمطية:
يتم تقسيم التعليق إلى عدة قيم عبر رمز الأنبوب ("|") ثم إلى قيم فرعية مفصولة بفاصلات منقوطة (";").
فيما يلي وصف للقيم بعد التحليل:
يقبل Sheriff الأوامر التالية:
الأمر والوصف
يوضح الجدول الثاني قائمة الأوامر التي يمكن قراءتها كملف نصي باستخدام الأمر "C":
نمط الأمر
الوصف
(tree)
<path_1>
<path_2>
...
تحميل الملفات من قائمة المسارات المحددة.
(treedel)
<path_1>
<path_2>
...
تحذف الملفات من قائمة المسارات المحددة وتحمل رسالة سجل "تم حذف الملفات: <number_of_files>"
(cmd);
ينفّذ كل قيمة كأمر منفصل في عملية جديدة "cmd.exe /c <value>"، ويقرأ stdout وstderr، ويُحمِّله كملف RSA مشفر إلى Dropbox.
[modname];
تدرج السلسلة الكاملة في ملف التكوين. لاحظ أن "modname" مطابق لعلامة الوحدة النمطية.
{modname};
إذا كان "modname" هو "Suicide"، فسوف يقوم Sheriff بالقضاء على جميع الوحدات النمطية وحذف جميع الملفات وتشغيل برنامج نصي للتنظيف. إذا كان "modname" يتطابق مع وحدة نمطية مُحمَّلة، فسوف يستدعي "KillMethod" ويحذف الملف المقابل لها.
بعد تحميل جميع الوحدات النمطية، ستتكرر وظيفة "تشغيل" الوحدة النمطية الرئيسية خلال كل وحدة نمطية محملة وتستدعي "ConfigMethod"، مع توفير إعدادات الوحدة النمطية المقابلة كما تم تحليلها من ملف التكوين الأصلي. من المحتمل أن يسمح هذا للمشغلين بتحديث تكوينات متعددة للوحدات النمطية بسهولة في أثناء تشغيلها.
إحدى الوحدات التي تم استردادها في أثناء التحقيق هي وحدة لقطة الشاشة. عندما يتم تحميل الوحدة، فإنها تتلقى الوسيطات التالية من الوحدة الرئيسية:
لا تزال الوحدة النمطية تحتوي على قيمة افتراضية "tgr" لـ "virtualZip"، والتي يتم استبدالها في تلك المرحلة. باستخدام "ConfigMethod" الخاصة بالوحدة النمطية، يمكن للوحدة الرئيسية أيضًا تحديد قيم التكوين التالية:
بمجرد بدء التشغيل، ستتحقق الوحدة كل 5 ثوان (TimerCount) إذا كان بإمكانها التقاط لقطة شاشة. لالتقاط لقطة شاشة، يجب أن يكون أحد الشروط التالية صحيحًا:
خلال كل لقطة، إذا وصل عدد اللقطات إلى "ImageCount"، فستضاف لقطات الشاشة الموجودة إلى ملف ZIP منسق بالصيغة {0:yyyy.MM.dd_HH.mm.ss}.jpg باستخدام كائن "DateTime" في لقطة الشاشة.
يتم تنسيق اسم ملف ZIP بالصيغة {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> باستخدام الكائن "DateTime" الذي تم إنشاء ملف ZIP فيه. يحصل ملف ZIP أيضًا على تعليق يتكون من علامة الوحدة النمطية ("scr") كما هو موضح في لقطة الشاشة أدناه.
تحتوي الوحدة الرئيسية الخاصة بـ Sheriff أيضًا على دالة Suicide، والتي يمكن استدعاؤها عن بُعد. توقف الدالة كل أنشطة التنزيل والتحميل، ثم تكرر كل وحدة لاستدعاء "KillMethod" المقابل. ثم تشرع في حذف الدليل بأكمله الذي يحتوي على الوحدة الرئيسية والمجلد العالمي على Dropbox المستخدم في اتصال C2. بعد ذلك، تبحث الدالة عن مسار ملف DLL بمحمل المرحلة الأولى (Deputy Loader) داخل مفاتيح التسجيل الفرعية أدناه:
سيتم بعد ذلك حذف أي مفاتيح فرعية تحتوي على المسار.
وأخيرًا، يُدرِج Sheriff مسارات "Loader" (وحدة Sheriff Downloader) و"LoadDll" (Deputy Loader) في ملف BAT التالي، يُسقِطه في %TMP% وينفذه:
سيحذف البرنامج النصي أعلاه ملفات كل من وحدة Sheriff Downloader وDeputy Loader بالإضافة إلى الدلائل الخاصة بهما قبل حذف نفسه.
في أثناء التحليل، تشير العديد من المؤشرات الأولية إلى جهات عناصر التهديد المتمركزة في روسيا، بما في ذلك:
تقيم X-Force أن باب Sheriff الخلفي هو على الأرجح أداة مصممة للتجسس السيبراني وجمع المعلومات الاستخبارية في مقابل الجرائم الإلكترونية ذات الدوافع المالية. يركز البرنامج الضار على استخراج البيانات والتقاط لقطات شاشة مع الحفاظ على ملف منخفض مصمم للاختراقات المطولة. وقد تم تطويره بهدف واضح يتمثل في البقاء سريًا قدر الإمكان، لضمان استمرار تشفير الاتصالات ومعظم القطع الأثرية التي يتم إسقاطها على القرص. تظل اتصال الشبكة خفية من خلال إساءة استخدام واجهة برمجة تطبيقات Dropbox الشرعية وكذلك موقع ukr.net، وهو موقع إلكتروني مشهور في أوكرانيا، والذي يُستخدم لتنظيم البرامج الضارة. ينفذ Sheriff أيضًا العديد من وظائف التدمير الذاتي لحذف الآثار بعد التنفيذ. وأخيرًا، تشير التعليمات البرمجية المنظمة جيدًا وبنية المجلدات والتنفيذ المعياري والتسجيل والوظائف الشاملة وقابلية التكوين إلى مستوى إضافي من التطور كما هو متوقع من مجموعة ترعاها الدولة.
كشف التحقيق أيضًا عن العديد من التداخلات الطفيفة مع الحملات الموثقة سابقًا المنسوبة إلى مجموعة التهديد الروسية المعروفة باسم Turla (والمعروفة ايضًا باسم ITG12). على سبيل المثال، يعرض الباب الخلفي Kazuar .NET الخاص بالمجموعة العديد من أوجه الشبه مع Sheriff، بما في ذلك:
الجدير بالملاحظة أن الباب الخلفي Crutch المنسوب إلى Turla من قبل ESET يستخدم أيضًا واجهة برمجة تطبيقات Dropbox للاتصال C2 بطريقة مشابهة خاصة بـ Sheriff، على الرغم من أنه لا يعتمد على .NET.
كشف البحث الإضافي أيضًا عن تداخل Sheriff مع البوابة الخلفية لعملية Groundbait’s Prikormka، بما في ذلك:
وثقت Kaspersky Labs لاحقًا تداخلاً قويًا بين Prikormka وCloudWizard APT. لاحظت X-Force أيضًا العديد من أوجه الشبه بين Sheriff وCloudWizard، بما في ذلك:
يعتقد X-Force أن الباب الخلفي باسم Sheriff قد استُخدم كجزء من عملية مستهدفة. من المحتمل أن يكون البرنامج الضار مرتبطًا ببرنامج CloudWizard APT المتوافق مع روسيا، والذي عُرف عنه أنه كان يستهدف كيانات في أوكرانيا في الماضي. هناك احتمال أقل للاتصال بمجموعة التهديد Turla (ITG12) بسبب التداخلات الطفيفة بين TTPs والبرامج الضارة.
يعرض الباب الخلفي باسم Sheriff واستخدامه في عمليات التجسس الإلكتروني المفصلة في هذا التقرير العديد من الميزات المثيرة للاهتمام. أولاً، الباب الخلفي باسم Sheriff عبارة عن أداة تجسس معيارية مصممة جيدًا تتيح الوصول على المدى الطويل إلى بيئة الضحية. ثانيًا، يسلط هيكلها المعياري وميزات التدمير الذاتي التي تتسم بها على اهتمام المطورين باكتشاف أدواتهم وتحليلها. بعد ذلك، فإن القدرة على تنظيم البرامج الضارة على ukr.net هي أيضًا قدرات متقدمة لعنصر التهديد.
توصي X-Force الأفراد والكيانات المرتبطة بالقطاع الحكومي أو العسكري أو القطاع الدفاعي في أوكرانيا بالبقاء في حالة أمن دفاعي مشدد:
لجعل الإسناد أكثر شفافية وتشجيع المزيد من التعاون بين الباحثين، تم تحميل العينات إلى VirusTotal بواسطة IBM X-Force.
المؤشر
نوع المؤشر
السياق
60f20be29cafea3402c8cb396
SHA256
الوحدة النمطية الرئيسية المشفرة "RDZXVh"
86b8d48df5787d57836276219
SHA256
ملف تهيئة Sheriff "n5K3B"
8832fb7ef434a56f9d151d8e1eb
SHA256
أداة تحميل Deputy "t5cby.dll"
8c22326d08a6334181c06e25c6
SHA256
وحدة لقطة الشاشة المشفرة "dowtuxZmI"
8d4df90f4e7fc6d9d08d4b5a27
SHA256
الوحدة الرئيسية Sheriff "1Pr3v"
92b9ef4e81610487ea9df255fa83
SHA256
ملف تكوين Sheriff "mInv.cfg"
e2b892533bd4135004778783b95
SHA256
فك تشفير ملف ZIP لوحدة لقطة الشاشة
EC84AE8DB92A88109BC68BAEFC3B
SHA256
وحدة لقطة الشاشة Sheriff "NeXSv"
F9e237a939b998fe071E0101904F7D
SHA256
وحدة أداة تنزيل Sheriff “DZtdI.dll”
http://ukr[.]net/8V3fDJ0U/RDZXV
عنوان URL
عنوان URL لتنزيل Sheriff. لاحظ أن ukr.net موقع إلكتروني مشروع.
https://api.ipify[.]org
عنوان URL
تستخدم الخدمة المشروعة لتحديد عنوان IP العام، وغالبًا ما يساء استخدامها من قبل مؤلفي البرامج الضارة.
