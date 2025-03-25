Tags
Segurança

IBM X-Force descobre nova backdoor “Sheriff” usada para atacar a Ucrânia

Publicado 25/03/2025
Foto de mãos digitando em um teclado, com vista para o monitor de um computador

Autor

Golo Mühr

Malware Reverse Engineer

IBM

A IBM® X-Force descobriu um conjunto de malware até então desconhecido (backdoor “Sheriff”) usado em um ataque de espionagem cibernética contra uma entidade do setor de defesa da Ucrânia no primeiro semestre de 2024. O agente de ameaça utilizou um portal de notícias popular na Ucrânia, o ukr.net, para hospedar o backdoor Sheriff. O backdoor modular pode executar comandos direcionados pelo agente, coletar capturas de tela e exfiltrar dados da vítima de forma secreta usando a API de armazenamento em nuvem do Dropbox. Durante a investigação, a X-Force identificou atividades de ameaça semelhantes às do CloudWizard APT e do Turla (também conhecido como ITG12), ambos grupos de ameaça ligados à Rússia que tinham como alvo entidades ucranianas.

Principais descobertas

  • Um novo carregador e um backdoor modular foram usados em um ataque no primeiro semestre de 2024, visando o setor de defesa da Ucrânia.
  • O módulo Sheriff Downloader baixa uma carga útil do ukr.net, um portal de notícias popular da Ucrânia, sugerindo que o site pode ter sido comprometido para viabilizar o ataque.
  • O backdoor usa a API do Dropbox para comunicação de comando e controle (C2) a fim de viabilizar a exfiltração de dados criptografados
  • O Sheriff é capaz de baixar e gerenciar vários módulos, incluindo um de captura de tela que foi descoberto no decorrer da investigação; os comandos e valores de configuração são recebidos como comentários em arquivos ZIP.
  • A X-Force identificou semelhanças com o CloudWizard APT e o Turla (ITG12), grupos de ameaças russos que têm como alvo entidades ucranianas.

Visão geral técnica

No decorrer da investigação, a X-Force reconstruiu a seguinte cadeia de infecção:

Gráfico representando a cadeia de infecção
Fig. 1: cadeia de infecção

Carregador auxiliar

A amostra analisada é uma DLL x86 que contém uma única exportação chamada “MyFunc”. Ela inclui um caminho relativo fixado no código para a DLL do módulo Sheriff Downloader em um recurso em russo com o nome “LoaderPath”. O caminho fixado no código é

Local\WPnqv0hW\DZtdI.dll

que é concatenado com o seguinte caminho: “%USERPROFILE%\AppData\”.

A DLL utiliza, então, a API CLRCreateInstance para hospedar o Common Language Runtime (CLR) do .NET. A função Loader.MainCycle.Run da DLL do módulo Sheriff Downloader é executada por meio do método ExecuteInDefaultAppDomain

Trecho de código de execução de hospedagem do CLR
Fig. 2: execução de hospedagem do CLR

Recentemente, essa técnica foi detalhada em um post do blog da X-Force como uma técnica de red team.

O Deputy Loader também fornece os caminhos de ambas as DLLs como argumentos separados por ponto e vírgula (“;”). 

Homem olhando para computador

Fortaleça sua inteligência de segurança  

Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.  

Módulo Sheriff Downloader

O módulo Sheriff Downloader é uma DLL do .NET x86, que contém uma biblioteca (dotnetzip.dll). compactada em um recurso usando Fody Costura. 

A classe “MainCycle” contém a função principal “Run”, que começa recuperando quatro valores armazenados nos recursos em russo do binário:

Captura de tela dos recursos do Sheriff Downloader
Fig. 3: recursos do Sheriff Downloader

Utilizando esses elementos, o exemplo tenta baixar um arquivo de

http://ukr[.]net/8V3fDJ0U/RDZXVh

 

para a pasta

%APPDATA%\Xpgx2dAn\RDZXVh

Caso o arquivo já exista, o comportamento de download é ignorado e o malware atua apenas como carregador. 

Em seguida, ele descriptografa a carga por meio da biblioteca “SymmetricCrypt” implementada de forma personalizada e da senha “BS7iMXWRXUEAssn”. O algoritmo parece ser idêntico à criptografia AES integrada do .NET (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs). 

O arquivo ZIP resultante é extraído na memória, revelando pelo menos dois arquivos que são classificados por tamanho. Por fim, o primeiro arquivo (Sheriff Main Module) é carregado de forma reflexiva como um assembly .NET, chamando o método ”MainClass.Run”. O último arquivo (Sheriff Init File) é lido linha por linha e fornecido ao assembly em execução como um argumento de objeto do tipo lista, junto com os caminhos da DLL Deputy Loader , da DLL Sheriff Downloader e da carga baixada “RDZXVh”.

Possível comprometimento do ukr.net

O URL de download levanta preocupações imediatas, já que o host ukr.net é classificado como o quarto site mais visitado na Ucrânia,de acordo com a Semrush. O Ukr.net também é um provedor de serviços de internet (ISP), um provedor de e-mail popular que hospeda um dos maiores portais de notícias da Ucrânia, com mais de 100 milhões de visitas por mês. Embora o ukr.net pareça também fornecer serviços de hospedagem, geralmente não é possível que os usuários hospedem arquivos em diretórios raiz arbitrários no servidor da web principal. Portanto, é provável que o agente da ameaça tenha comprometido o ukr.net para hospedar a carga criptografada do backdoor Sheriff no início de março de 2024. 

No momento da investigação, a carga não estava disponível, e a X-Force não conseguiu identificar outras cargas maliciosas hospedadas no ukr.net. É possível que o acesso do agente da ameaça tenha sido limitado em termos de alcance, tenha ficado disponível apenas por um curto período ou usado com moderação de forma intencional. O acesso de um agente de ameaça ao maior portal de notícias da Ucrânia o colocaria em condições de realizar uma série de ataques de alto impacto e operar com maior ofuscação. Nesse incidente específico, o agente da ameaça pode ter explorado o domínio confiável para hospedar o malware sem levantar suspeitas. 

Módulo principal do Sheriff

O Sheriff Main Module é uma DLL do .NET x86, que novamente contém uma biblioteca (dotnetzip.data) compactada em um recurso usando o Costura.

Inicialização e configuração

Quando executada pela primeira vez, a função “Run” na classe principal começa lendo os argumentos recebidos como uma lista do arquivo de inicialização do Sheriff. Ele atribui os seguintes valores:

_symKey: "tkE7BqJ45HKwOes"
ConfName: "mInv.cfg"
ModulsFolder: "DxyVS1"
UploadLocalFolder: "gyTufW"
_defaultZipExt: "d7r"
refreshToken:
"sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0"
_guid: "W5d2090860fd54c17809fb4da0b42b34d.test"
_asymPrivKey:
"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"
_asymPubKey:
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBT+7FB360l8kvgAmCUKYjWxcybjTJiq81x0s56g+rxdvxHOlayuYhSb7xJ2JKv/1k1LtnAT9rfhPLJQPvwMsVeeFUvIpc5+ovrIi3Ow0n8n3je1zSqpFRK488XZ9NMDkVSLLQKNcgOYox0eSXPmnTzvNffaFGVnm1EuimsnSjpQIDAQAB"

A tabela abaixo traz uma explicação para cada um dos argumentos:

Nome

Explicação

  
_symKeyChave AES usada para descriptografar a configuração

ConfName

Nome do arquivo de configuração

ModulsFolder

Nome da pasta usada para baixar outros módulos

UploadLocalFolder

Nome da pasta usada para exfiltrar dados

_defaultZipExt

Extensão padrão usada para identificar arquivos ZIP

refreshToken

Token de atualização do OAuth para autenticação com a API do Dropbox

_guid

String usada junto com o número de série como ID da vítima

_asymPrivKey

Chave privada RSA usada para descriptografar os módulos baixados

_asymPubKey

Chave pública RSA usada para criptografar dados antes da exfiltração

As chaves assimétricas são provenientes de dois conjuntos diferentes de chaves, o que impediu a descriptografia dos dados de exfiltração durante a investigação. 

Em seguida, o Sheriff cria as pastas locais para upload e download. Caso não esteja presente, o arquivo de configuração mlvn.cfg é gravado quando o Sheriff Main Module é executado pela primeira vez. Depois disso, ele pode ser lido e modificado para manter configurações separadas para cada módulo. O arquivo de configuração descriptografado contém os seguintes valores para o módulo “main”, separados por um ponto e vírgula (“;”):

  1. refreshToken
  2. Tamanho máximo de arquivo ZIP para dados exfiltrados
  3. Tamanho máximo de arquivo para dados exfiltrados antes da compactação
  4. URL usado para recuperar o endereço IP público da vítima
  5. Intervalo mínimo (ms) usado para fazer download e upload de arquivos
  6. Intervalo máximo (ms) usado para fazer download e upload de arquivos
[main];sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0;220200960;209715200;https://api.ipify.org;30000;30000
[key];1024

Nenhum módulo “chave” foi encontrado durante a investigação. Esse módulo pode ter sido responsável por estabelecer a persistência da DLL do Deputy Loader, que grava a seguinte chave de registro:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftEdgeAutoLaunch_<REDACTED>

A chave contém o comando para executar a exportação MyFunc do Deputy Loader:

"C:\WINDOWS\SysWOW64\rundll32.exe" "<LOCAL_APPDATA>\GRPRhuI4\T5CBy.dll",MyFunc

C2 via Dropbox

A comunicação de comando e controle é gerenciada por meio de uma classe “DbApiV2”, que usa a API do Dropbox para criar, encontrar, baixar, carregar, migrar e analisar arquivos e pastas remotos no Dropbox. Ela usa o token de atualização para obter um token de acesso temporário para autenticação por meio do seguinte URL:

https://api.dropbox.com/oauth2/token

Esses endpoints da API são usados para gerenciar arquivos e pastas remotos:

https://content.dropboxapi.com/2/files/upload
https://content.dropboxapi.com/2/files/upload_session/start
https://content.dropboxapi.com/2/files/upload_session/finish
https://content.dropboxapi.com/2/files/upload_session/append_v2
https://content.dropboxapi.com/2/files/download
https://api.dropboxapi.com/2/files/delete
https://api.dropboxapi.com/2/files/create_folder
https://api.dropboxapi.com/2/files/list_folder

Antes de tentar baixar arquivos, o Sheriff Main Module envia uma mensagem de log contendo o endereço IP público da vítima e a lista dos módulos carregados. O log é criptografado por XOR usando o ID da vítima, consistindo no GUID (proveniente dos argumentos ou gerado aleatoriamente) e o número de série. Após a criptografia, o log é carregado em uma pasta do Dropbox com o nome correspondente ao ID da vítima. 

Todos os arquivos são recuperados da pasta do Dropbox em /<victim_id>/Dow/  e baixados para a pasta “ModulsFolder”, definida como “/DxyVS1”. Após o download, todos os arquivos são excluídos instantaneamente do Dropbox. A seguir, discutiremos como os arquivos baixados são tratados pelo módulo principal. 

O processo de upload começa com a enumeração de todos os arquivos locais em “UploadLocalFolder”, neste caso, fixados no código como “/gyTufW”. Dependendo de suas extensões, eles são classificados em três categorias:

  1. Os arquivos que utilizam “_defaultZipExt”  .d7r  fixada no código já estão compactados;
  2. Os arquivos sem extensão já estão criptografados e prontos para upload; e
  3. Todos os outros arquivos ainda estão em texto não criptografado.

Com isso, a função “PreparingForUpload” compactará todos os arquivos de texto não criptografado em um novo arquivo ZIP. Todos os arquivos ZIP são posteriormente criptografados usando uma chave AES gerada aleatoriamente que, por sua vez, é criptografada usando a chave RSA pública e concatenada com o arquivo criptografado. Durante a execução, a função exclui todos os arquivos residuais da pasta até que apenas arquivos totalmente compactados e criptografados sejam deixados. Em seguida, eles são carregados para a pasta do Dropbox em /<victim_id>/Up/ enquanto são excluídos localmente. 

Ambas as funções de upload e download são executadas de forma assíncrona e com um temporizador fixo de 30 segundos na amostra analisada. 

No momento da investigação, a conta do Dropbox não hospedava mais nenhum arquivo, conforme indicado pelo uso do espaço:

{
  "used": 0,
  "allocation": {
    ".tag": "individual",
    "allocated": 2147483648
  }
}

A conta do Dropbox associada exibe as seguintes informações:

{
  "account_id": "dbid:AABLMHYTVufS0NLF_cnID1nm_-R9m1aj9ds",
  "name": {
    "given_name": "Poco",
    "surname": "Poco",
    "familiar_name": "Poco",
    "display_name": "Poco Poco",
    "abbreviated_name": "PP"
  },
  "email": "poco.m5.miui.13@gmail.com",
  "email_verified": true,
  "disabled": false,
  "country": "DE",
  "locale": "ru",
  "referral_link": "https://www.dropbox.com/referrals/AABf13Qzpq31wbsquudl7xfwagHIa8GgdZg?src=app9-5618657",
  "is_paired": false,
  "account_type": {
    ".tag": "basic"
  },
  "root_info": {
    ".tag": "user",
    "root_namespace_id": "2199102147",
    "home_namespace_id": "2199102147"
  }
}

Módulos e comandos do Sheriff

A função do módulo principal do Xerife é atuar como um orquestrador para iniciar e gerenciar diferentes módulos. Esses módulos podem ser baixados pelo processo descrito acima, um dos quais foi descoberto durante a investigação (“./DxyVS1/dowtuxZml”). 

A função “LoadModuls” itera pelos arquivos baixados, descriptografando-os com a chave privada RSA e a chave AES resultante. O arquivo ZIP descriptografado contém uma string de comentário, que é usada para analisar o módulo:

Cabeçalho PK-ZIP contendo um comentário no final do arquivo
Fig. 4: cabeçalho PK-ZIP contendo um comentário no final do arquivo

O comentário é separado em vários valores por meio do símbolo de barra vertical (“|”) e, posteriormente, em subvalores separados por ponto e vírgula (“;”). 

D|scr;ScreenShot.Shot;LoadDll;KillDll;ConfDll|0|0;None

Veja a seguir uma descrição dos valores após a análise:

  1. Comando: “D”
  2. ModInfo (parte de um objeto que mantém informações sobre cada módulo durante a execução do módulo principal)
    1. Marker: “scr”
    2. NameSpace: “ScreenShot.Shot”
    3. LoadMethod: “LoadDll”
    4. KillMethod: “KillDll”
    5. ConfigMethod: “ConfDll”
  3. Ligado/desligado (se o arquivo original deve ser excluído)
  4. NeedZip (se o módulo exigir que seus resultados sejam compactados pelo módulo principal); compactação (o método de compactação desejado; o padrão é Deflate)

O Sheriff aceita os seguintes comandos:

Comando e descrição

  • D — Analisa o ModInfo do comentário e, dependendo do valor ligado/desligado, exclui o arquivo original após carregar o assembly .NET. Para carregar ou encerrar o módulo (se já estiver carregado), ele usa os valores “LoadMethod” e “KillMethod” respectivamente. O “LoadMethod” recebe o “Marker”, o “UploadLocalFolder” e o “_defaultZipExt” como argumentos.
  • T — Analisa o ModInfo do comentário, exclui o arquivo original e executa o “LoadMethod”. O “LoadMethod” recebe o “Marker”, o “UploadLocalFolder”, o “LoadMethod”, o “KillMethod” e o “ConfigMethod” como argumentos.
  • E — Aceita apenas um único valor (argumento de comando) após o primeiro símbolo de barra vertical (“|”) e executa a função “RunExeInMemory”. O arquivo dentro do arquivo ZIP é extraído para um caminho temporário como %TMP%\<número_of_ticks>.exe e executado como um novo processo com o argumento, se fornecido. O arquivo extraído e o arquivo ZIP são excluídos posteriormente.
  • C — Analisa um arquivo de texto dentro do ZIP, linha por linha, que pode conter uma lista de comandos personalizados (consulte a segunda tabela abaixo).
  • R — Atualiza o módulo principal renomeando o arquivo original e gravando a carga baixada no caminho original. Dependendo do sucesso, uma das duas mensagens de status será carregada: “O MainModule foi alterado com êxito” ou “O MainModule não foi alterado”.

 A segunda tabela detalha uma lista de comandos que podem ser lidos como um arquivo de texto usando o comando “C”:

Padrão de comando

Descrição

(tree)

<path_1>

<path_2>

...

Carrega arquivos de uma lista de caminhos especificados.

(treedel)

<path_1>

<path_2>

...

Exclui arquivos de uma lista de caminhos especificados e carrega uma mensagem de log "Os arquivos foram excluídos: <número_de_arquivos>"

(cmd);
value1;
value2;...

Executa cada valor como um comando separado em um novo processo "cmd.exe /c <value> ", lê stdout e stderr e carrega o arquivo como criptografado RSA no Dropbox. 

[modname];
value1;
value2;...

Insere a string completa no arquivo de configuração. Observe que o "modname" é idêntico ao marcador de um módulo.

{modname};
value1;
value2;...

Se o “modname” for “Suicide”, o Sheriff eliminará todos os módulos, excluirá todos os arquivos e executará um script de limpeza. Se o "modname" corresponder a um módulo carregado, ele invocará o "KillMethod" e excluirá seu arquivo correspondente. 

Trecho de código mostrando o comando “suicide” do módulo principal do Sheriff
Fig. 5: comando “suicide” do módulo principal do Sheriff

Depois que todos os módulos forem carregados, a função “Run” do módulo principal iterará cada módulo carregado e invocará o “ConfigMethod”, fornecendo as configurações do módulo correspondente conforme analisadas a partir do arquivo de configuração original. Isso provavelmente permite que os operadores atualizem com facilidade as configurações de vários módulos enquanto estão em execução. 

Módulo de captura de tela

Um dos módulos recuperados durante a investigação é o módulo de captura de Tela. Quando o módulo é carregado, ele recebe os seguintes argumentos do módulo principal:

  1. marker
  2. uploadPath
  3. defaultZip

O módulo ainda contém um valor padrão “tgr” para “defaultZip”, que é substituído nesse ponto. Usando o “ConfigMethod” do módulo, o módulo principal também pode especificar os seguintes valores de configuração:

  1. ImageCount (número de capturas de tela realizadas até serem compactadas). Padrão = 25
  2. TimerCount (intervalo do temporizador; a frequência com que uma captura de tela pode ser feita). Padrão = 5 segundos
  3. DefiniteShot (tempo máximo até que uma captura de tela seja definitivamente feita). Padrão = 15 minutos
  4. BmpQuality (parâmetro de qualidade/compactação da captura de tela entre 0 e 100). Padrão = 25
  5. WindowsTitle (lista separada por vírgulas de títulos de janelas que são especificamente direcionados para capturas de tela).

Depois de iniciado, o módulo verificará a cada 5 segundos (TimerCount) se pode fazer uma captura de tela. Para fazer uma captura de tela, uma das seguintes condições deve ser verdadeira:

  1. A última captura de tela tenha sido feita há mais de 15 minutos (DefiniteShot);
  2. A janela em primeiro plano esteja diferente da última vez que uma captura de tela foi feita; ou,
  3. O título das janelas em primeiro plano corresponda a qualquer uma das strings na lista “WindowsTitle”.

Durante cada cena, se o número de capturas atingir “ImageCount”, as capturas de tela existentes são adicionadas a um arquivo ZIP formatado como {0:yyyy.MM.dd_HH.mm.ss}.jpg usando o objeto “DateTime” da captura de tela.

O nome do arquivo ZIP é formatado como {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> usando o objeto “DateTime” no qual o ZIP é criado. O arquivo ZIP também recebe um comentário que consiste no marcador do módulo (“scr”), conforme mostrado na captura de tela abaixo.

Módulo de captura de tela do Sheriff
Fig. 6: módulo de captura de tela do Sheriff

Função “suicide”

O módulo principal do Sheriff também contém uma função Suicide, que pode ser invocada remotamente. A função interrompe todas as atividades de download e upload e, em seguida, itera em cada módulo para invocar o “KillMethod” correspondente. Em seguida, exclui todo o diretório que contém o módulo principal e a pasta global no Dropbox usada para comunicação C2. Em seguida, a função procura o caminho da DLL do carregador da primeira fase (Deputy Loader) nas subchaves do registro abaixo:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Todas as subchaves que contêm o caminho são excluídas posteriormente. 

Por fim, o Sheriff insere os caminhos do “loader” (Sheriff Downloader Module) e do “loadDll” (Deputy Loader) no seguinte arquivo BAT, coloca-o em %TMP% e o executa:

SET loader="<loader.path>"
SET loadDll="<loadDll.path>"
:loop
IF EXIST %loader% del /F %loader%
IF EXIST %loader% goto loop
:loop1
IF EXIST %loadDll% del /F %loadDll%
IF EXIST %loadDll% goto loop1
rmdir /s /q "<loader.directory_name>"
rmdir /s /q "<loadDll.directory_name>"
(goto) 2>nul & del "%~f0"

O script acima excluirá os arquivos do Sheriff Downloader Module e do Deputy Loader, bem como seus respectivos diretórios, antes de se excluir. 

Técnicas de agentes de ameaças semelhantes

Durante a análise, vários indicadores iniciais apontam para agentes de ameaças baseados na Rússia, incluindo:

  • O Deputy Loader e Sheriff Downloader contêm recursos em russo;
  • Localidade russa usada pela conta do Dropbox; e,
  • A Ucrânia como alvo.

A X-Force avalia que o backdoor Sheriff é provavelmente uma ferramenta projetada para espionagem cibernética e coleta de informações, em vez de um crime cibernético com motivação financeira. O malware se concentra em exfiltrar dados e fazer capturas de tela, mantendo um perfil discreto projetado para comprometimentos prolongados. Ele foi desenvolvido com a clara intenção de permanecer o mais oculto possível, garantindo que a comunicação e a maioria dos artefatos descartados no disco permaneçam criptografados. A comunicação de rede permanece oculta por meio do abuso da API legítima do Dropbox, bem como do ukr.net, um site popular na Ucrânia, usado para hospedar o malware. O Sheriff também implementa várias funções autodestrutivas para excluir vestígios após a execução. Finalmente, o código bem estruturado, a estrutura de pastas, a implementação modular, o registro e a funcionalidade e a configurabilidade abrangentes indicam um nível de sofisticação maior, conforme seria esperado de um grupo patrocinado pelo estado. 

A investigação também revelou várias pequenas sobreposições com campanhas documentadas anteriormente atribuídas ao conhecido grupo russo de agentes de ameaça de origem russa Turla (também conhecido como ITG12). Por exemplo, o backdoor Kazuar.NET do grupo apresenta várias semelhanças com o Sheriff, incluindo:

  • O Kazuar também mantém uma estrutura de pastas ligeiramente semelhante;
  • Embora seja diferente, o Kazuar também gera um GUID e utiliza o número de série da vítima;
  • O Kazuar também implementa o registro e usa criptografia AES e RSA;
  • O Kazuar também é modular, embora pareça se referir a “plug-ins” em vez de módulos;
  • O Kazuar também usa valores de intervalo máximo e mínimo; e
  • O Kazuar permite comandos semelhantes aos do Sheriff, incluindo “Suicide”, captura de tela, execução de linha de comando, execução binária, exclusão de arquivos, exfiltração e autoatualização.

Vale notar que o backdoor Crutch, atribuído ao Turla pela ESET também usa a API do Dropbox para comunicação de C2 de forma semelhante à do Sheriff, embora não seja baseado em .NET.

Pesquisas adicionais também revelaram semelhanças do Sheriff com o backdoor Prikormka da Operação Groundbait, incluindo:

  • Backdoor modular com downloader, núcleo e módulo de captura de tela;
  • O Prikormka também mantém duas pastas em %USERPROFILE%\AppData\Local\ para uploads e downloads;
  • O Prikormka também utiliza extensões personalizadas para identificar arquivos que devem ser criptografados e compactados antes da exfiltração;
  • O módulo de captura de tela do Prikormka usou “.tgz” como parte da extensão personalizada, enquanto o módulo de captura de tela do Sheriff utiliza “.tgr”; e
  • Os módulos do Prikormka listam “Cycle” como uma das funções de exportação necessárias, que é semelhante à classe “MainCycle” usada pelo Sheriff Downloader Module.

A Kaspersky Labs documentou posteriormente fortes semelhanças entre o Prikormka e o CloudWizard APT. A X-Force também notou várias semelhanças entre o Sheriff e o CloudWizard, incluindo:

  • Backdoor modular com um módulo principal gerenciando a configuração e C2 para cada módulo;
  • O CloudWizard também usa AES e RSA para criptografar/descriptografar ZIPs antes/depois do upload e do download;
  • O CloudWizard também aceita o Dropbox como um mecanismo de C2 com autenticação OAuth;
  • Tanto o CloudWizard quanto o Sheriff contêm uma função “GetSettings”/“get_Settings” para recuperar a configuração de cada módulo;
  • Tanto o módulo de captura de Tela do CloudWizard quanto do Sheriff aceitam um argumento “WindowsTitle”, para comparar com o título da janela atual antes de fazer uma captura de tela;
  • O CloudWizard, o Prikormka e o Sheriff compartilham a mesma captura de tela com intervalo de 15 minutos; e
  • Os módulos de listagem de arquivos do CloudWizard e do Prikormka são chamados de “tree”, que é o nome que o Sheriff usa para a exfiltração de uma lista de arquivos.

A X-Force acredita que o backdoor “Sheriff” foi usado como parte de uma operação direcionada. O malware está possivelmente relacionado ao CloudWizard APT, alinhado pela Rússia, que era conhecido por ter como alvo entidades na Ucrânia no passado. Há uma menor possibilidade de uma conexão com o cluster de ameaças Turla (ITG12) devido a pequenas sobreposições em TTPs e malware. 

Conclusão

O backdoor Sheriff e seu uso em operações de espionagem cibernética detalhadas neste relatório apresentam várias características interessantes. Primeiro, o backdoor Sheriff é uma ferramenta modular de espionagem bem projetada que permite acesso de longo prazo ao ambiente da vítima. Segundo, sua estrutura modular e funcionalidades de autodestruição destacam a preocupação dos desenvolvedores com a detecção e análise de suas ferramentas. Além disso, a capacidade de hospedar o malware em ukr.net também é indicativa das capacidades avançadas do agente de ameaça.

Recomendações

A X-Force recomenda que indivíduos e entidades associadas ao governo, às formas armadas ou ao setor de defesa da Ucrânia permaneçam em um estado elevado de segurança defensiva e que:

  • Procurem tráfego incomum com serviços públicos de resolução de IP, como https://api.ipify[.]org
  • Procurem tráfego incomum de comunicação com a API do Dropbox:
    • https://api.dropboxapi.com
    • https://content.dropboxapi.com
  • Instalem e configurem softwares de segurança de endpoint.
  • Atualizem as regras relevantes de monitoramento de segurança de rede.

Apêndice técnico

Para tornar a atribuição mais transparente e incentivar mais colaboração entre os pesquisadores, as amostras foram carregadas no VirusTotal pela IBM X-Force. 

Indicador

Tipo de indicador

Contexto

60f20be29cafea3402c8cb396
c1cb43ef21ec1b401ad1d4239c0
a990670daa8d

SHA256

Módulo principal criptografado “RDZxVH”

86b8d48df5787d57836276219
a9e3dbc0d7e56d68cf99b514a
ca55564f818182

SHA256

Arquivo de inicialização Sheriff "n5K3B"

8832fb7ef434a56f9d151d8e1eb
da94544a90a420fee0820b5b0
8d95224763f5

SHA256

Carregador auxiliar “t5cby.dll”

8c22326d08a6334181c06e25c6
df35032cd6916cfbe692d66fc8d
b3aa8b70e42

SHA256

Módulo de captura de tela criptografado "dowtuxZmI"

8d4df90f4e7fc6d9d08d4b5a27
2037ee7c565def9df180ad1eb08
efe8d357bd4

SHA256

Módulo principal “1Pr3v” do Sheriff

92b9ef4e81610487ea9df255fa83
a8e6c3bd2726ccdb909988e8c8
b919506289

SHA256

Arquivo de configuração Sheriff "mInv.cfg"

e2b892533bd4135004778783b95
e833fca6ee740bf0a1cb2d5d1a44b
93fd7962

SHA256

Arquivo ZIP do módulo de captura de tela descriptografado

ec84ae8db92a88109bc68baefc3b
0a9de8579129d7a5a431072f09fdc
b8c7862

SHA256

Captura de tela do módulo "NeXSv" do Sheriff

F9E237A939B998FE071E0101904F7D
10cde6ce7b1cb4df1e7d345094af6b
048E

SHA256

Módulo de Download do Sheriff “DZtdI.data”

http://ukr[.]net/8V3fDJ0U/RDZXV

URL

URL de download do Sheriff. Observe que o ukr.net é um site legítimo.

https://api.ipify[.]org

URL

Serviço legítimo usado para determinar o endereço IP público, frequentemente explorado por autores malware .

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e outras. Acesse insights sobre agentes de ameaça, malware e riscos do setor. Instale o OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Fique à frente—integre hoje mesmo.

Mixture of Experts | 12 de dezembro, episódio 85

Decodificando a IA: resumo semanal das notícias

Participe do nosso renomado painel de engenheiros, pesquisadores, líderes de produtos e outros enquanto filtram as informações sobre IA para trazerem a você as mais recentes notícias e insights sobre IA.
Veja todos os episódios de Mixture of Experts
Soluções relacionadas
Serviços de respostas a incidentes

Melhore o programa de resposta a incidentes da sua organização, minimize o impacto de uma violação e experimente respostas rápidas a incidentes de cibersegurança.

 Conheça os serviços de resposta a incidentes
Soluções de detecção e resposta a ameaças

Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.

 Explore as soluções de detecção de ameaças
Soluções do IBM® QRadar SOAR

Otimize os processos de tomada de decisão, aumente a eficiência do SOC e acelere a resposta a incidentes com uma solução de automação inteligente e orquestração.

 Conheça o QRadar SOAR
Dê o próximo passo

Melhore o programa de resposta a incidentes da sua organização, minimize o impacto de uma violação e experimente respostas rápidas a incidentes de cibersegurança.

 Conheça os serviços de resposta a incidentes Saiba mais sobre o IBM X-Force