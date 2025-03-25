Im Rahmen der Analyse deuten mehrere erste Indikatoren auf in Russland ansässige Bedrohungsakteure hin, zum Beispiel:

Deputy Loader und Sheriff Downloader enthalten russischsprachige Ressourcen;

Vom Dropbox-Konto wurde eine russische Region verwendet; und,

Der Angriff zielt auf die Ukraine ab.

Nach Einschätzung von X-Force handelt es sich bei der Sheriff-Backdoor höchstwahrscheinlich um ein Tool, das für Cyberspionage und das Erfassen von Informationen entwickelt wurde und nicht für finanziell motivierte Cyberkriminalität. Die Malware konzentriert sich auf die Exfiltration von Daten und das Erstellen von Screenshots, während sie gleichzeitig ein unauffälliges Profil beibehält, um längere Kompromittierungen zu ermöglichen. Sie wurde mit der klaren Absicht entwickelt, so geheim wie möglich zu bleiben und sicherzustellen, dass Kommunikation und die meisten auf die Festplatte abgeworfenen Artefakte verschlüsselt bleiben. Die Netzwerkkommunikation bleibt durch den Missbrauch der legitimen Dropbox-API sowie von ukr.net, einer beliebten Website in der Ukraine, die zur Inszenierung der Malware dient, verdeckt. Sheriff implementiert außerdem mehrere selbstzerstörende Funktionen, um nach der Ausführung alle Spuren zu verwischen. Schließlich deuten der gut strukturierte Code, die Ordnerstruktur, die modulare Implementierung, die Protokollierung sowie die umfassende Funktionalität und Konfigurierbarkeit auf ein höheres Maß an Raffinesse hin, wie es von einer staatlich geförderten Gruppe zu erwarten ist.

Die Untersuchung ergab außerdem mehrere kleinere Überschneidungen mit zuvor dokumentierten Kampagnen, die der bekannten, mit Russland verbundenen Gruppe von Bedrohungsakteuren Turla (auch bekannt als ITG12) zugeschrieben werden. Die Kazuar .NET-Backdoor der Gruppe weist zum Beispiel mehrere Ähnlichkeiten zu Sheriff auf, darunter:

Kazuar führt ebenfalls eine leicht ähnliche Ordnerstruktur;

Mit Abweichungen generiert auch Kazuar eine GUID und verwendet die Seriennummer des Opfers;

Kazuar implementiert außerdem Protokollierungen und verwendet AES- und RSA-Verschlüsselungen;

Kazuar ist ebenfalls modular, obwohl es sich auf „Plugins“ anstatt auf Module zu beziehen scheint;

Kazuar verwendet außerdem Max- und Min-Intervallwerte; und

Kazuar unterstützt ähnliche Befehle wie Sheriff, einschließlich „Suicide“, Screenshot, Befehlszeilenausführung, binäre Ausführung, Dateilöschung, Exfiltration und Selbstaktualisierung.

Auffällig ist, dass die Crutch-Backdoor Turla von ESET zugeschrieben wird. Sie verwendet ebenfalls die Dropbox-API für die C2-Kommunikation, ähnlich wie Sheriff, basiert aber nicht auf .NET.

Weitere Untersuchungen ergaben außerdem, dass Sheriff Überschneidungen mit der Backdoor Prikormka von Operation Groundbait aufweist, darunter:

Modulare Backdoor mit Downloader-, Core- und Screenshot-Modul;

Prikormka verwaltet außerdem zwei Ordner in %USERPROFILE%\AppData\Local\ für Uploads und Downloads;

Prikormka verwendet außerdem benutzerdefinierte Erweiterungen, um Dateien zu identifizieren, die vor der Exfiltration verschlüsselt und komprimiert werden sollen;

Prikormkas Screenshot-Modul verwendete „.tgz“ als Teil der benutzerdefinierten Dateiendung, Sheriffs Screenshot-Modul verwendet „.tgr“; und

Prikormka-Module führen „Cycle“ als eine der erforderlichen Exportfunktionen auf, ähnlich der Klasse „MainCycle“, die vom Sheriff Downloader Module verwendet wird.

Kaspersky Labs dokumentierte später starke Überschneidungen zwischen Prikormka und CloudWizard APT. X-Force bemerkte außerdem mehrere Ähnlichkeiten zwischen Sheriff und CloudWizard, darunter:

Modulare Backdoor mit einem Hauptmodul, das die Konfiguration und C2 für jedes Modul verwaltet;

CloudWizard verwendet ebenfalls AES und RSA zur Ver- und Entschlüsselung von ZIP-Dateien vor und nach dem Hoch- und Herunterladen;

CloudWizard unterstützt auch Dropbox als C2-Mechanismus mit OAuth-Authentifizierung;

Sowohl CloudWizard als auch Sheriff enthalten eine Funktion „GetSettings“/„get_Settings“, um die Konfiguration jedes Moduls abzurufen;

Sowohl das Screenshot-Modul von CloudWizard als auch das von Sheriff unterstützen ein „WindowsTitle“-Argument, das vor dem Erstellen eines Screenshots mit dem Titel des aktuellen Fensters verglichen wird;

CloudWizard, Prikormka und Sheriff teilen denselben Screenshot im Abstand von 15 Minuten; und,

Die Dateilistenmodule von CloudWizard und Prikormka werden „tree“ genannt, was auch der Name ist, den Sheriff für die Exfiltration einer Dateiliste verwendet.

X-Force glaubt, dass die Sheriff-Backdoor im Rahmen einer gezielten Operation genutzt wurde. Die Malware steht möglicherweise im Zusammenhang mit CloudWizard APT, das in der Vergangenheit bekanntermaßen Unternehmen in der Ukraine ins Visier genommen hat. Die Wahrscheinlichkeit einer Verbindung zum Turla (ITG12) Bedrohungscluster ist aufgrund geringfügiger Überschneidungen bei TTPs und Malware geringer.