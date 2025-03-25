Durante a análise, vários indicadores iniciais apontam para agentes de ameaças baseados na Rússia, incluindo:

O Deputy Loader e Sheriff Downloader contêm recursos em russo;

Localidade russa usada pela conta do Dropbox; e,

A Ucrânia como alvo.

A X-Force avalia que o backdoor Sheriff é provavelmente uma ferramenta projetada para espionagem cibernética e coleta de informações, em vez de um crime cibernético com motivação financeira. O malware se concentra em exfiltrar dados e fazer capturas de tela, mantendo um perfil discreto projetado para comprometimentos prolongados. Ele foi desenvolvido com a clara intenção de permanecer o mais oculto possível, garantindo que a comunicação e a maioria dos artefatos descartados no disco permaneçam criptografados. A comunicação de rede permanece oculta por meio do abuso da API legítima do Dropbox, bem como do ukr.net, um site popular na Ucrânia, usado para hospedar o malware. O Sheriff também implementa várias funções autodestrutivas para excluir vestígios após a execução. Finalmente, o código bem estruturado, a estrutura de pastas, a implementação modular, o registro e a funcionalidade e a configurabilidade abrangentes indicam um nível de sofisticação maior, conforme seria esperado de um grupo patrocinado pelo estado.

A investigação também revelou várias pequenas sobreposições com campanhas documentadas anteriormente atribuídas ao conhecido grupo russo de agentes de ameaça de origem russa Turla (também conhecido como ITG12). Por exemplo, o backdoor Kazuar.NET do grupo apresenta várias semelhanças com o Sheriff, incluindo:

O Kazuar também mantém uma estrutura de pastas ligeiramente semelhante;

Embora seja diferente, o Kazuar também gera um GUID e utiliza o número de série da vítima;

O Kazuar também implementa o registro e usa criptografia AES e RSA;

O Kazuar também é modular, embora pareça se referir a “plug-ins” em vez de módulos;

O Kazuar também usa valores de intervalo máximo e mínimo; e

O Kazuar permite comandos semelhantes aos do Sheriff, incluindo “Suicide”, captura de tela, execução de linha de comando, execução binária, exclusão de arquivos, exfiltração e autoatualização.

Vale notar que o backdoor Crutch, atribuído ao Turla pela ESET também usa a API do Dropbox para comunicação de C2 de forma semelhante à do Sheriff, embora não seja baseado em .NET.

Pesquisas adicionais também revelaram semelhanças do Sheriff com o backdoor Prikormka da Operação Groundbait, incluindo:

Backdoor modular com downloader, núcleo e módulo de captura de tela;

O Prikormka também mantém duas pastas em %USERPROFILE%\AppData\Local\ para uploads e downloads;

O Prikormka também utiliza extensões personalizadas para identificar arquivos que devem ser criptografados e compactados antes da exfiltração;

O módulo de captura de tela do Prikormka usou “.tgz” como parte da extensão personalizada, enquanto o módulo de captura de tela do Sheriff utiliza “.tgr”; e

Os módulos do Prikormka listam “Cycle” como uma das funções de exportação necessárias, que é semelhante à classe “MainCycle” usada pelo Sheriff Downloader Module.

A Kaspersky Labs documentou posteriormente fortes semelhanças entre o Prikormka e o CloudWizard APT. A X-Force também notou várias semelhanças entre o Sheriff e o CloudWizard, incluindo:

Backdoor modular com um módulo principal gerenciando a configuração e C2 para cada módulo;

O CloudWizard também usa AES e RSA para criptografar/descriptografar ZIPs antes/depois do upload e do download;

O CloudWizard também aceita o Dropbox como um mecanismo de C2 com autenticação OAuth;

Tanto o CloudWizard quanto o Sheriff contêm uma função “GetSettings”/“get_Settings” para recuperar a configuração de cada módulo;

Tanto o módulo de captura de Tela do CloudWizard quanto do Sheriff aceitam um argumento “WindowsTitle”, para comparar com o título da janela atual antes de fazer uma captura de tela;

O CloudWizard, o Prikormka e o Sheriff compartilham a mesma captura de tela com intervalo de 15 minutos; e

Os módulos de listagem de arquivos do CloudWizard e do Prikormka são chamados de “tree”, que é o nome que o Sheriff usa para a exfiltração de uma lista de arquivos.

A X-Force acredita que o backdoor “Sheriff” foi usado como parte de uma operação direcionada. O malware está possivelmente relacionado ao CloudWizard APT, alinhado pela Rússia, que era conhecido por ter como alvo entidades na Ucrânia no passado. Há uma menor possibilidade de uma conexão com o cluster de ameaças Turla (ITG12) devido a pequenas sobreposições em TTPs e malware.