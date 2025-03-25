A IBM® X-Force descobriu um conjunto de malware até então desconhecido (backdoor “Sheriff”) usado em um ataque de espionagem cibernética contra uma entidade do setor de defesa da Ucrânia no primeiro semestre de 2024. O agente de ameaça utilizou um portal de notícias popular na Ucrânia, o ukr.net, para hospedar o backdoor Sheriff. O backdoor modular pode executar comandos direcionados pelo agente, coletar capturas de tela e exfiltrar dados da vítima de forma secreta usando a API de armazenamento em nuvem do Dropbox. Durante a investigação, a X-Force identificou atividades de ameaça semelhantes às do CloudWizard APT e do Turla (também conhecido como ITG12), ambos grupos de ameaça ligados à Rússia que tinham como alvo entidades ucranianas.
No decorrer da investigação, a X-Force reconstruiu a seguinte cadeia de infecção:
A amostra analisada é uma DLL x86 que contém uma única exportação chamada “MyFunc”. Ela inclui um caminho relativo fixado no código para a DLL do módulo Sheriff Downloader em um recurso em russo com o nome “LoaderPath”. O caminho fixado no código é
que é concatenado com o seguinte caminho: “%USERPROFILE%\AppData\”.
A DLL utiliza, então, a API CLRCreateInstance para hospedar o Common Language Runtime (CLR) do .NET. A função Loader.MainCycle.Run da DLL do módulo Sheriff Downloader é executada por meio do método ExecuteInDefaultAppDomain .
Recentemente, essa técnica foi detalhada em um post do blog da X-Force como uma técnica de red team.
O Deputy Loader também fornece os caminhos de ambas as DLLs como argumentos separados por ponto e vírgula (“;”).
O módulo Sheriff Downloader é uma DLL do .NET x86, que contém uma biblioteca (dotnetzip.dll). compactada em um recurso usando Fody Costura.
A classe “MainCycle” contém a função principal “Run”, que começa recuperando quatro valores armazenados nos recursos em russo do binário:
Utilizando esses elementos, o exemplo tenta baixar um arquivo de
para a pasta
Caso o arquivo já exista, o comportamento de download é ignorado e o malware atua apenas como carregador.
Em seguida, ele descriptografa a carga por meio da biblioteca “SymmetricCrypt” implementada de forma personalizada e da senha “BS7iMXWRXUEAssn”. O algoritmo parece ser idêntico à criptografia AES integrada do .NET (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs).
O arquivo ZIP resultante é extraído na memória, revelando pelo menos dois arquivos que são classificados por tamanho. Por fim, o primeiro arquivo (Sheriff Main Module) é carregado de forma reflexiva como um assembly .NET, chamando o método ”MainClass.Run”. O último arquivo (Sheriff Init File) é lido linha por linha e fornecido ao assembly em execução como um argumento de objeto do tipo lista, junto com os caminhos da DLL Deputy Loader , da DLL Sheriff Downloader e da carga baixada “RDZXVh”.
O URL de download levanta preocupações imediatas, já que o host ukr.net é classificado como o quarto site mais visitado na Ucrânia,de acordo com a Semrush. O Ukr.net também é um provedor de serviços de internet (ISP), um provedor de e-mail popular que hospeda um dos maiores portais de notícias da Ucrânia, com mais de 100 milhões de visitas por mês. Embora o ukr.net pareça também fornecer serviços de hospedagem, geralmente não é possível que os usuários hospedem arquivos em diretórios raiz arbitrários no servidor da web principal. Portanto, é provável que o agente da ameaça tenha comprometido o ukr.net para hospedar a carga criptografada do backdoor Sheriff no início de março de 2024.
No momento da investigação, a carga não estava disponível, e a X-Force não conseguiu identificar outras cargas maliciosas hospedadas no ukr.net. É possível que o acesso do agente da ameaça tenha sido limitado em termos de alcance, tenha ficado disponível apenas por um curto período ou usado com moderação de forma intencional. O acesso de um agente de ameaça ao maior portal de notícias da Ucrânia o colocaria em condições de realizar uma série de ataques de alto impacto e operar com maior ofuscação. Nesse incidente específico, o agente da ameaça pode ter explorado o domínio confiável para hospedar o malware sem levantar suspeitas.
O Sheriff Main Module é uma DLL do .NET x86, que novamente contém uma biblioteca (dotnetzip.data) compactada em um recurso usando o Costura.
Quando executada pela primeira vez, a função “Run” na classe principal começa lendo os argumentos recebidos como uma lista do arquivo de inicialização do Sheriff. Ele atribui os seguintes valores:
A tabela abaixo traz uma explicação para cada um dos argumentos:
Nome
Explicação
|_symKey
|Chave AES usada para descriptografar a configuração
ConfName
Nome do arquivo de configuração
ModulsFolder
Nome da pasta usada para baixar outros módulos
UploadLocalFolder
Nome da pasta usada para exfiltrar dados
_defaultZipExt
Extensão padrão usada para identificar arquivos ZIP
refreshToken
Token de atualização do OAuth para autenticação com a API do Dropbox
_guid
String usada junto com o número de série como ID da vítima
_asymPrivKey
Chave privada RSA usada para descriptografar os módulos baixados
_asymPubKey
Chave pública RSA usada para criptografar dados antes da exfiltração
As chaves assimétricas são provenientes de dois conjuntos diferentes de chaves, o que impediu a descriptografia dos dados de exfiltração durante a investigação.
Em seguida, o Sheriff cria as pastas locais para upload e download. Caso não esteja presente, o arquivo de configuração mlvn.cfg é gravado quando o Sheriff Main Module é executado pela primeira vez. Depois disso, ele pode ser lido e modificado para manter configurações separadas para cada módulo. O arquivo de configuração descriptografado contém os seguintes valores para o módulo “main”, separados por um ponto e vírgula (“;”):
Nenhum módulo “chave” foi encontrado durante a investigação. Esse módulo pode ter sido responsável por estabelecer a persistência da DLL do Deputy Loader, que grava a seguinte chave de registro:
A chave contém o comando para executar a exportação MyFunc do Deputy Loader:
A comunicação de comando e controle é gerenciada por meio de uma classe “DbApiV2”, que usa a API do Dropbox para criar, encontrar, baixar, carregar, migrar e analisar arquivos e pastas remotos no Dropbox. Ela usa o token de atualização para obter um token de acesso temporário para autenticação por meio do seguinte URL:
Esses endpoints da API são usados para gerenciar arquivos e pastas remotos:
Antes de tentar baixar arquivos, o Sheriff Main Module envia uma mensagem de log contendo o endereço IP público da vítima e a lista dos módulos carregados. O log é criptografado por XOR usando o ID da vítima, consistindo no GUID (proveniente dos argumentos ou gerado aleatoriamente) e o número de série. Após a criptografia, o log é carregado em uma pasta do Dropbox com o nome correspondente ao ID da vítima.
Todos os arquivos são recuperados da pasta do Dropbox em /<victim_id>/Dow/ e baixados para a pasta “ModulsFolder”, definida como “/DxyVS1”. Após o download, todos os arquivos são excluídos instantaneamente do Dropbox. A seguir, discutiremos como os arquivos baixados são tratados pelo módulo principal.
O processo de upload começa com a enumeração de todos os arquivos locais em “UploadLocalFolder”, neste caso, fixados no código como “/gyTufW”. Dependendo de suas extensões, eles são classificados em três categorias:
Com isso, a função “PreparingForUpload” compactará todos os arquivos de texto não criptografado em um novo arquivo ZIP. Todos os arquivos ZIP são posteriormente criptografados usando uma chave AES gerada aleatoriamente que, por sua vez, é criptografada usando a chave RSA pública e concatenada com o arquivo criptografado. Durante a execução, a função exclui todos os arquivos residuais da pasta até que apenas arquivos totalmente compactados e criptografados sejam deixados. Em seguida, eles são carregados para a pasta do Dropbox em /<victim_id>/Up/ enquanto são excluídos localmente.
Ambas as funções de upload e download são executadas de forma assíncrona e com um temporizador fixo de 30 segundos na amostra analisada.
No momento da investigação, a conta do Dropbox não hospedava mais nenhum arquivo, conforme indicado pelo uso do espaço:
A conta do Dropbox associada exibe as seguintes informações:
A função do módulo principal do Xerife é atuar como um orquestrador para iniciar e gerenciar diferentes módulos. Esses módulos podem ser baixados pelo processo descrito acima, um dos quais foi descoberto durante a investigação (“./DxyVS1/dowtuxZml”).
A função “LoadModuls” itera pelos arquivos baixados, descriptografando-os com a chave privada RSA e a chave AES resultante. O arquivo ZIP descriptografado contém uma string de comentário, que é usada para analisar o módulo:
O comentário é separado em vários valores por meio do símbolo de barra vertical (“|”) e, posteriormente, em subvalores separados por ponto e vírgula (“;”).
Veja a seguir uma descrição dos valores após a análise:
O Sheriff aceita os seguintes comandos:
Comando e descrição
A segunda tabela detalha uma lista de comandos que podem ser lidos como um arquivo de texto usando o comando “C”:
Padrão de comando
Descrição
(tree)
<path_1>
<path_2>
...
Carrega arquivos de uma lista de caminhos especificados.
(treedel)
<path_1>
<path_2>
...
Exclui arquivos de uma lista de caminhos especificados e carrega uma mensagem de log "Os arquivos foram excluídos: <número_de_arquivos>"
(cmd);
Executa cada valor como um comando separado em um novo processo "cmd.exe /c <value> ", lê stdout e stderr e carrega o arquivo como criptografado RSA no Dropbox.
[modname];
Insere a string completa no arquivo de configuração. Observe que o "modname" é idêntico ao marcador de um módulo.
{modname};
Se o “modname” for “Suicide”, o Sheriff eliminará todos os módulos, excluirá todos os arquivos e executará um script de limpeza. Se o "modname" corresponder a um módulo carregado, ele invocará o "KillMethod" e excluirá seu arquivo correspondente.
Depois que todos os módulos forem carregados, a função “Run” do módulo principal iterará cada módulo carregado e invocará o “ConfigMethod”, fornecendo as configurações do módulo correspondente conforme analisadas a partir do arquivo de configuração original. Isso provavelmente permite que os operadores atualizem com facilidade as configurações de vários módulos enquanto estão em execução.
Um dos módulos recuperados durante a investigação é o módulo de captura de Tela. Quando o módulo é carregado, ele recebe os seguintes argumentos do módulo principal:
O módulo ainda contém um valor padrão “tgr” para “defaultZip”, que é substituído nesse ponto. Usando o “ConfigMethod” do módulo, o módulo principal também pode especificar os seguintes valores de configuração:
Depois de iniciado, o módulo verificará a cada 5 segundos (TimerCount) se pode fazer uma captura de tela. Para fazer uma captura de tela, uma das seguintes condições deve ser verdadeira:
Durante cada cena, se o número de capturas atingir “ImageCount”, as capturas de tela existentes são adicionadas a um arquivo ZIP formatado como {0:yyyy.MM.dd_HH.mm.ss}.jpg usando o objeto “DateTime” da captura de tela.
O nome do arquivo ZIP é formatado como {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> usando o objeto “DateTime” no qual o ZIP é criado. O arquivo ZIP também recebe um comentário que consiste no marcador do módulo (“scr”), conforme mostrado na captura de tela abaixo.
O módulo principal do Sheriff também contém uma função Suicide, que pode ser invocada remotamente. A função interrompe todas as atividades de download e upload e, em seguida, itera em cada módulo para invocar o “KillMethod” correspondente. Em seguida, exclui todo o diretório que contém o módulo principal e a pasta global no Dropbox usada para comunicação C2. Em seguida, a função procura o caminho da DLL do carregador da primeira fase (Deputy Loader) nas subchaves do registro abaixo:
Todas as subchaves que contêm o caminho são excluídas posteriormente.
Por fim, o Sheriff insere os caminhos do “loader” (Sheriff Downloader Module) e do “loadDll” (Deputy Loader) no seguinte arquivo BAT, coloca-o em %TMP% e o executa:
O script acima excluirá os arquivos do Sheriff Downloader Module e do Deputy Loader, bem como seus respectivos diretórios, antes de se excluir.
Durante a análise, vários indicadores iniciais apontam para agentes de ameaças baseados na Rússia, incluindo:
A X-Force avalia que o backdoor Sheriff é provavelmente uma ferramenta projetada para espionagem cibernética e coleta de informações, em vez de um crime cibernético com motivação financeira. O malware se concentra em exfiltrar dados e fazer capturas de tela, mantendo um perfil discreto projetado para comprometimentos prolongados. Ele foi desenvolvido com a clara intenção de permanecer o mais oculto possível, garantindo que a comunicação e a maioria dos artefatos descartados no disco permaneçam criptografados. A comunicação de rede permanece oculta por meio do abuso da API legítima do Dropbox, bem como do ukr.net, um site popular na Ucrânia, usado para hospedar o malware. O Sheriff também implementa várias funções autodestrutivas para excluir vestígios após a execução. Finalmente, o código bem estruturado, a estrutura de pastas, a implementação modular, o registro e a funcionalidade e a configurabilidade abrangentes indicam um nível de sofisticação maior, conforme seria esperado de um grupo patrocinado pelo estado.
A investigação também revelou várias pequenas sobreposições com campanhas documentadas anteriormente atribuídas ao conhecido grupo russo de agentes de ameaça de origem russa Turla (também conhecido como ITG12). Por exemplo, o backdoor Kazuar.NET do grupo apresenta várias semelhanças com o Sheriff, incluindo:
Vale notar que o backdoor Crutch, atribuído ao Turla pela ESET também usa a API do Dropbox para comunicação de C2 de forma semelhante à do Sheriff, embora não seja baseado em .NET.
Pesquisas adicionais também revelaram semelhanças do Sheriff com o backdoor Prikormka da Operação Groundbait, incluindo:
A Kaspersky Labs documentou posteriormente fortes semelhanças entre o Prikormka e o CloudWizard APT. A X-Force também notou várias semelhanças entre o Sheriff e o CloudWizard, incluindo:
A X-Force acredita que o backdoor “Sheriff” foi usado como parte de uma operação direcionada. O malware está possivelmente relacionado ao CloudWizard APT, alinhado pela Rússia, que era conhecido por ter como alvo entidades na Ucrânia no passado. Há uma menor possibilidade de uma conexão com o cluster de ameaças Turla (ITG12) devido a pequenas sobreposições em TTPs e malware.
O backdoor Sheriff e seu uso em operações de espionagem cibernética detalhadas neste relatório apresentam várias características interessantes. Primeiro, o backdoor Sheriff é uma ferramenta modular de espionagem bem projetada que permite acesso de longo prazo ao ambiente da vítima. Segundo, sua estrutura modular e funcionalidades de autodestruição destacam a preocupação dos desenvolvedores com a detecção e análise de suas ferramentas. Além disso, a capacidade de hospedar o malware em ukr.net também é indicativa das capacidades avançadas do agente de ameaça.
A X-Force recomenda que indivíduos e entidades associadas ao governo, às formas armadas ou ao setor de defesa da Ucrânia permaneçam em um estado elevado de segurança defensiva e que:
Para tornar a atribuição mais transparente e incentivar mais colaboração entre os pesquisadores, as amostras foram carregadas no VirusTotal pela IBM X-Force.
Indicador
Tipo de indicador
Contexto
60f20be29cafea3402c8cb396
SHA256
Módulo principal criptografado “RDZxVH”
86b8d48df5787d57836276219
SHA256
Arquivo de inicialização Sheriff "n5K3B"
8832fb7ef434a56f9d151d8e1eb
SHA256
Carregador auxiliar “t5cby.dll”
8c22326d08a6334181c06e25c6
SHA256
Módulo de captura de tela criptografado "dowtuxZmI"
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Módulo principal “1Pr3v” do Sheriff
92b9ef4e81610487ea9df255fa83
SHA256
Arquivo de configuração Sheriff "mInv.cfg"
e2b892533bd4135004778783b95
SHA256
Arquivo ZIP do módulo de captura de tela descriptografado
ec84ae8db92a88109bc68baefc3b
SHA256
Captura de tela do módulo "NeXSv" do Sheriff
F9E237A939B998FE071E0101904F7D
SHA256
Módulo de Download do Sheriff “DZtdI.data”
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
URL de download do Sheriff. Observe que o ukr.net é um site legítimo.
https://api.ipify[.]org
URL
Serviço legítimo usado para determinar o endereço IP público, frequentemente explorado por autores malware .
