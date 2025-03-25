IBM X-Force entdeckte eine Reihe bisher unbekannter Malware (Sheriff-Backdoor), die in der ersten Hälfte des Jahres 2024 bei einem Cyberspionageangriff auf ein Unternehmen im Verteidigungssektor der Ukraine eingesetzt wurde. Der Bedrohungsakteur nutzte ukr.net, ein in der Ukraine beliebtes Nachrichtenportal, um die Sheriff-Backdoor zu hosten. Die modulare Backdoor kann vom Angreifer gesteuerte Befehle ausführen, Screenshots machen und mithilfe der Dropbox-Cloud-Speicher-API heimlich Opferdaten herausfiltern. Während der Untersuchung identifizierte X-Force Bedrohungsaktivitäten, die denen von CloudWizard APT und Turla (auch bekannt als ITG12) ähneln, beides russische Bedrohungsgruppen, die es auf ukrainische Unternehmen abgesehen haben.
Während der Untersuchung rekonstruierte X-Force die folgende Infektionskette:
Bei dem analysierten Beispiel handelt es sich um eine x86-DLL, die einen einzigen Export namens „MyFunc“ enthält. Es enthält einen fest codierten relativen Pfad zur Sheriff Downloader Module DLL in einer russischen Ressource mit dem Namen „LoaderPath“. Der fest codierte Pfad
mit dem folgenden Pfad verkettet: „%USERPROFILE%\AppData\“.
Die DLL verwendet dann die CLRCreateInstance API, um die .NET Common Language Runtime (CLR) zu hosten. Die Funktion Loader.MainCycle.Run des Sheriff Downloader Module DLL wird über die Methode ExecuteInDefaultAppDomain ausgeführt.
Diese Technik wurde kürzlich in einem Blogbeitrag von X-Force als Red-Team-Technik beschrieben.
Deputy Loader liefert außerdem die Pfade beider DLLs als Argumente, getrennt durch ein Semikolon („;“).
Das Sheriff Downloader-Modul ist eine x86 .NET DLL, die eine Bibliothek (dotnetzip.dll), zusammengefasst in einer Ressource mit Fody Costura, enthält.
Die Klasse „MainCycle“ enthält die Hauptfunktion „Run“, die mit dem Abrufen von vier Werten beginnt, die in den russischen Ressourcen der Binärdatei gespeichert sind:
Mithilfe dieser Befehle versucht das Beispiel, eine Datei aus
in den Ordner herunterzuladen
Wenn die Datei bereits existiert, wird das Download-Verhalten übersprungen und die Malware fungiert nur als Loader.
Anschließend werden die Nutzdaten mithilfe der eigens implementierten Bibliothek „SymmetricCrypt“ und dem Passwort „BS7imxwRXueassn“ entschlüsselt. Der Algorithmus scheint identisch mit der in .NET integrierten AES-Verschlüsselung zu sein (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs). ).
Die resultierende ZIP-Datei wird im Speicher extrahiert, wodurch mindestens zwei Dateien sichtbar werden, die nach Dateigröße sortiert sind. Schließlich wird die erste Datei (Sheriff Main Module) als .NET-Assembly reflektierend geladen, wobei die Methode „MainClass.Run“ aufgerufen wird. Die letzte Datei (Sheriff Init File) wird zeilenweise gelesen und der ausführenden Assembly als Listenobjektargument übergeben, zusammen mit den Pfaden der Deputy Loader DLL, der Sheriff Downloader DLL und den heruntergeladenen Nutzdaten „RDZXVh“.
Die Download-URL gibt sofort Anlass zur Sorge, da die Webseite ukr.net laut Semrush die viertmeistbesuchte Webseite in der Ukraine ist. Ukr.net ist außerdem ein Internetdienstanbieter (ISP), ein beliebter E-Mail-Anbieter, und betreibt eines der größten Nachrichtenportale der Ukraine mit mehr als 100 Millionen Besuchen pro Monat. Obwohl ukr.net anscheinend auch Hosting-Dienste anbietet, ist es Benutzern im Allgemeinen nicht möglich, Dateien in beliebigen Stammverzeichnissen auf dem Hauptwebserver zu hosten. Daher ist es wahrscheinlich, dass der Bedrohungsakteur ukr.net kompromittiert hat, um Anfang März 2024 die verschlüsselten Sheriff-Backdoor-Nutzdaten zu bündeln.
Zum Zeitpunkt der Untersuchung waren die Nutzdaten nicht verfügbar, und X-Force konnte keine anderen bösartigen Nutzdaten identifizieren, die auf ukr.net gehostet werden.Es ist möglich, dass der Zugriff des Bedrohungsakteurs im Umfang begrenzt war, nur für kurze Zeit verfügbar oder absichtlich sparsam genutzt wurde. Der Zugang eines Bedrohungsakteurs zum größten Nachrichtenportal der Ukraine würde ihn in die Lage versetzen, eine Reihe von schweren Angriffen durchzuführen und mit verstärkter Verschleierung zu operieren. In diesem speziellen Fall könnte der Bedrohungsakteur die vertrauenswürdige Domäne missbraucht haben, um Malware zu installieren, ohne Verdacht zu erregen.
Das Sheriff Main Module ist eine x86.NET-DLL, die wiederum eine Bibliothek enthält (dotnetzip.dll), die in eine Ressource mit Costura verpackt ist.
Bei der ersten Ausführung beginnt die Funktion „Run“ in der Hauptklasse mit dem Lesen der Argumente, die als Liste aus der Sheriff-Initialisierungsdatei empfangen wurden. Sie weist die folgenden Werte zu:
Die folgende Tabelle enthält eine Erklärung für jedes der Argumente:
Name
Erklärung
|_symKey
|Zur Entschlüsselung der Konfiguration verwendeter AES-Schlüssel
ConfName
Dateiname der Konfigurationsdatei
ModulsFolder
Name des zum Herunterladen weiterer Module verwendeten Ordners
UploadLocalFolder
Name des Ordners, mit dem die Daten herausgefiltert werden
_defaultZipExt
Standarderweiterung zur Identifizierung von ZIP-Dateien
refreshToken
OAuth-Aktualisierungstoken für die Authentifizierung mit der Dropbox-API
_guid
Zeichenkette wird zusammen mit der Seriennummer als Opfer-ID verwendet
_asymPrivKey
Privater RSA-Schlüssel zur Entschlüsselung heruntergeladener Module
_asymPubKey
Öffentlicher RSA-Schlüssel, der zur Verschlüsselung der Daten vor der Exfiltration verwendet wird
Die asymmetrischen Schlüssel stammen aus zwei verschiedenen Schlüsselsätzen, was die Entschlüsselung der herausgefilterten Daten während der Untersuchung verhinderte.
Als Nächstes erstellt Sheriff die lokalen Upload- und Download-Ordner. Falls nicht vorhanden, wird die Konfigurationsdatei mlvn.cfg geschrieben, wenn das Sheriff Main Module erstmals ausgeführt wird. Anschließend kann sie gelesen und modifiziert werden, um separate Konfigurationen für jedes Modul zu verwalten. Die entschlüsselte Konfigurationsdatei enthält die folgenden Werte für das „Main“-Modul, getrennt durch ein Semikolon („;“):
Bei der Untersuchung wurde kein „Schlüsselmodul“ gefunden. Dieses Modul könnte für die Beständigkeit der Deputy Loader DLL verantwortlich gewesen sein, welche den folgenden Registrierungsschlüssel schreibt:
Der Schlüssel enthält den Befehl zum Ausführen des MyFunc-Exports des Deputy Loaders:
Die Befehls- und Kontrollkommunikation wird über eine Klasse „DbApiV2“ verwaltet, die die Dropbox-API verwendet, um entfernte Dateien und Ordner auf Dropbox zu erstellen, zu finden, herunterzuladen, hochzuladen, zu verschieben und zu analysieren. Sie verwendet das Aktualisierungstoken, um über die folgende URL ein temporäres Zugriffstoken für die Authentifizierung zu erhalten:
Diese API-Endgeräte werden zur Verwaltung von Remote-Dateien und -Ordnern verwendet:
Bevor das Sheriff Main Module versucht, Dateien herunterzuladen, lädt es eine Protokollnachricht hoch, die die öffentliche IP-Adresse des Opfers und die Liste der geladenen Module enthält. Das Protokoll wird mittels XOR-Verschlüsselung unter Verwendung der Opfer-ID, bestehend aus der GUID (aus den Argumenten oder zufällig generiert) und der Seriennummer, verschlüsselt. Nach der Verschlüsselung wird das Protokoll in einen Dropbox-Ordner hochgeladen, dessen Name der Opfer-ID entspricht.
Alle Dateien werden aus dem Dropbox-Ordner unter /<victim_id>/Dow/ abgerufen und in den lokalen „ModulsFolder“ heruntergeladen, der fest auf „/DxyVS1“ codiert ist. Nach dem Download werden alle Dateien sofort aus Dropbox gelöscht. Als Nächstes besprechen wir, wie die heruntergeladenen Dateien vom Hauptmodul verarbeitet werden.
Der Upload-Prozess beginnt mit dem Auflisten aller lokalen Dateien im „UploadLocalFolder“, in diesem Fall fest codiert als „/gyTufW“. Je nach ihren Erweiterungen werden sie in drei Kategorien eingeteilt:
Die Funktion „PreparingForUpload“ komprimiert anschließend alle Klartextdateien in eine neue ZIP-Datei. Alle ZIP-Dateien werden anschließend mit einem zufällig generierten AES-Schlüssel verschlüsselt, der wiederum mit dem öffentlichen RSA-Schlüssel verschlüsselt und mit der verschlüsselten Datei verkettet wird. Während der Ausführung löscht die Funktion alle restlichen Dateien aus dem Ordner, bis nur noch vollständig komprimierte und verschlüsselte Dateien übrig sind. Diese werden dann in den Dropbox-Ordner unter /<victim_id>/Up/ hochgeladen und lokal gelöscht.
Sowohl die Upload- als auch die Download-Funktion werden asynchron und mit einem auf 30 Sekunden fest programmierten Timer in der analysierten Probe ausgeführt.
Zum Zeitpunkt der Untersuchung hostete das Dropbox-Konto keine Dateien mehr, wie an der Speicherplatznutzung zu sehen war:
Das zugehörige Dropbox-Konto zeigt die folgenden Informationen an:
Die Hauptaufgabe des Sheriff-Moduls besteht darin, als Orchestrator zu fungieren, um verschiedene Module zu starten und zu verwalten. Diese Module können über den oben beschriebenen Prozess heruntergeladen werden, von dem eines während der Untersuchung entdeckt wurde („./DxyVS1/dowtuxZml“).
Die Funktion „LoadModuls“ durchläuft die heruntergeladenen Dateien und entschlüsselt sie mit dem privaten RSA-Schlüssel und dem daraus resultierenden AES-Schlüssel. Die entschlüsselte ZIP-Datei enthält eine Kommentarzeichenkette, die zum Parsen des Moduls verwendet wird:
Der Kommentar wird über das Pipe-Symbol („|“) in mehrere Werte und weiter in durch ein Semikolon („;“) getrennte Unterwerte aufgeteilt.
Hier ist eine Beschreibung der Werte nach dem Parsen:
Sheriff nimmt folgende Befehle entgegen:
Befehl und Beschreibung
Die zweite Tabelle enthält eine Liste von Befehlen, die mit dem Befehl „C“ als Textdatei gelesen werden können:
Befehlsmuster
Beschreibung
(tree)
<path_1>
<path_2>
...
Lädt Dateien aus einer Liste angegebener Pfade hoch.
(treedel)
<path_1>
<path_2>
...
Löscht Dateien aus einer Liste angegebener Pfade und lädt eine Protokollmeldung hoch: „Dateien wurden gelöscht: <number_of_files>“
(cmd);
Führt jeden Wert als separaten Befehl in einem neuen Prozess „cmd.exe /c <value>“ aus, liest stdout und stderr und lädt ihn als RSA-verschlüsselte Datei in Dropbox hoch.
[modname];
Fügt die vollständige Zeichenfolge in die Konfigurationsdatei ein. Hinweis, der „Modname“ ist identisch mit der Markierung eines Moduls.
{modname};
Wenn „modname“ „Suicide“ lautet, wird Sheriff alle Module beenden, alle Dateien löschen und ein Bereinigungsskript ausführen. Wenn „modname“ mit einem geladenen Modul übereinstimmt, wird es die „KillMethod“ aufrufen und die entsprechende Datei löschen.
Nachdem alle Module geladen wurden, durchläuft die „Run“-Funktion des Hauptmoduls jedes geladene Modul und ruft die „ConfigMethod“ auf, wobei die entsprechenden Moduleinstellungen, wie sie aus der ursprünglichen Konfigurationsdatei geparst wurden, übergeben werden. Dies ermöglicht es den Betreibern wahrscheinlich, die Konfigurationen mehrerer Module während des laufenden Betriebs problemlos zu aktualisieren.
Eines der im Zuge der Untersuchung gefundenen Module ist das Screenshot-Modul. Wenn das Modul geladen wird, erhält es folgende Argumente vom Hauptmodul:
Das Modul enthält noch einen Standardwert „tgr“ für „defaultZip“, der an diesem Punkt überschrieben wird. Mithilfe der „ConfigMethod“ des Moduls kann das Hauptmodul auch die folgenden Konfigurationswerte festlegen:
Nach dem Start prüft das Modul alle 5 Sekunden (TimerCount), ob es einen Screenshot machen kann. Um einen Screenshot zu erstellen, muss eine der folgenden Bedingungen erfüllt sein:
Wenn bei jeder Aufnahme die Anzahl der Aufnahmen „ImageCount“ erreicht, werden die vorhandenen Screenshots zu einer ZIP-Datei im {0:yyyy.MM.dd_HH.mm.ss}.jpg Format hinzugefügt, wobeidas „DateTime“-Objekt des Screenshots verwendet wird.
Der Name der ZIP-Datei ist als {0:yyyy.MM.dd_HH.mm.ss.ffff} <defaultZip> formatiert, wobei das „DateTime“-Objekt verwendet wird, an dem die ZIP erstellt wird. Die ZIP-Datei erhält auch einen Kommentar, der aus der Markierung des Moduls („scr“) besteht, wie im Screenshot unten dargestellt.
Das Hauptmodul von Sheriff enthält auch eine Suicide-Funktion, die aus der Ferne aufgerufen werden kann. Die Funktion stoppt alle Download- und Upload-Aktivitäten und durchläuft dann jedes Modul, um die entsprechende „KillMethod“ aufzurufen. Anschließend löscht sie das gesamte Verzeichnis mit dem Hauptmodul und dem globalen Ordner auf Dropbox, der für die C2-Kommunikation verwendet wird. Anschließend sucht die Funktion in den darunter liegenden Registrierungsunterschlüsseln nach dem Pfad des ersten Laders (Deputy Loader):
Alle Unterschlüssel, die den Pfad enthalten, werden anschließend gelöscht.
Schließlich fügt Sheriff die Pfade des „loader“ (Sheriff Downloader Module) und „loadDll“ (Deputy Loader) in die folgende BAT-Datei ein, legt sie in %TMP% ab und führt sie aus:
Das obige Skript löscht die Dateien sowohl des Sheriff Downloader Module als auch des Deputy Loader sowie deren jeweilige Verzeichnisse, bevor es sich selbst löscht.
Im Rahmen der Analyse deuten mehrere erste Indikatoren auf in Russland ansässige Bedrohungsakteure hin, zum Beispiel:
Nach Einschätzung von X-Force handelt es sich bei der Sheriff-Backdoor höchstwahrscheinlich um ein Tool, das für Cyberspionage und das Erfassen von Informationen entwickelt wurde und nicht für finanziell motivierte Cyberkriminalität. Die Malware konzentriert sich auf die Exfiltration von Daten und das Erstellen von Screenshots, während sie gleichzeitig ein unauffälliges Profil beibehält, um längere Kompromittierungen zu ermöglichen. Sie wurde mit der klaren Absicht entwickelt, so geheim wie möglich zu bleiben und sicherzustellen, dass Kommunikation und die meisten auf die Festplatte abgeworfenen Artefakte verschlüsselt bleiben. Die Netzwerkkommunikation bleibt durch den Missbrauch der legitimen Dropbox-API sowie von ukr.net, einer beliebten Website in der Ukraine, die zur Inszenierung der Malware dient, verdeckt. Sheriff implementiert außerdem mehrere selbstzerstörende Funktionen, um nach der Ausführung alle Spuren zu verwischen. Schließlich deuten der gut strukturierte Code, die Ordnerstruktur, die modulare Implementierung, die Protokollierung sowie die umfassende Funktionalität und Konfigurierbarkeit auf ein höheres Maß an Raffinesse hin, wie es von einer staatlich geförderten Gruppe zu erwarten ist.
Die Untersuchung ergab außerdem mehrere kleinere Überschneidungen mit zuvor dokumentierten Kampagnen, die der bekannten, mit Russland verbundenen Gruppe von Bedrohungsakteuren Turla (auch bekannt als ITG12) zugeschrieben werden. Die Kazuar .NET-Backdoor der Gruppe weist zum Beispiel mehrere Ähnlichkeiten zu Sheriff auf, darunter:
Auffällig ist, dass die Crutch-Backdoor Turla von ESET zugeschrieben wird. Sie verwendet ebenfalls die Dropbox-API für die C2-Kommunikation, ähnlich wie Sheriff, basiert aber nicht auf .NET.
Weitere Untersuchungen ergaben außerdem, dass Sheriff Überschneidungen mit der Backdoor Prikormka von Operation Groundbait aufweist, darunter:
Kaspersky Labs dokumentierte später starke Überschneidungen zwischen Prikormka und CloudWizard APT. X-Force bemerkte außerdem mehrere Ähnlichkeiten zwischen Sheriff und CloudWizard, darunter:
X-Force glaubt, dass die Sheriff-Backdoor im Rahmen einer gezielten Operation genutzt wurde. Die Malware steht möglicherweise im Zusammenhang mit CloudWizard APT, das in der Vergangenheit bekanntermaßen Unternehmen in der Ukraine ins Visier genommen hat. Die Wahrscheinlichkeit einer Verbindung zum Turla (ITG12) Bedrohungscluster ist aufgrund geringfügiger Überschneidungen bei TTPs und Malware geringer.
Die Sheriff-Backdoor und ihr Einsatz im Rahmen von Cyberspionageoperationen, die in diesem Bericht beschrieben werden, weisen mehrere interessante Merkmale auf. Erstens ist die Sheriff-Backdoor ein gut durchdachtes, modulares Spionagetool, das langfristigen Zugriff auf die Umgebung des Opfers ermöglicht. Zweitens unterstreichen der modulare Aufbau und die Selbstzerstörungsfunktionen die Sorge der Entwickler um die Erkennung und Analyse ihrer Tools. Außerdem ist die Fähigkeit, die Malware auf ukr.net zu platzieren ebenfalls ein Hinweis auf die fortschrittlichen Fähigkeiten des Bedrohungsakteurs.
X-Force empfiehlt Personen und Einrichtungen, die mit der Regierung, dem Militär oder dem Verteidigungssektor der Ukraine in Verbindung stehen, weiterhin wachsam zu bleiben und:
Um die Zuordnung transparenter zu gestalten und die Zusammenarbeit zwischen Rechercheteams zu fördern, wurden die Proben von IBM X-Force auf VirusTotal hochgeladen.
Indikator
Art des Indikators
Kontext
60f20be29cafea3402c8cb396
SHA256
Verschlüsseltes Hauptmodul „RDZXVh“
86b8d48df5787d57836276219
SHA256
Sheriff-Initialisierungsdatei „n5K3B“
8832fb7ef434a56f9d151d8e1eb
SHA256
Stellvertretender Loader „t5cby.dll“
8c22326d08a6334181c06e25c6
SHA256
Encrypted Screenshot Module “dowtuxZmI”
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Sheriff Main Module “1Pr3v”
92b9ef4e81610487ea9df255fa83
SHA256
Sheriff Configuration File “mInv.cfg”
e2b892533bd4135004778783b95
SHA256
Decrypted Screenshot Module ZIP file
ec84ae8db92a88109bc68baefc3b
SHA256
Sheriff Screenshot Module “NeXSv”
f9e237a939b998fe071e0101904f7d
SHA256
Sheriff Downloader Modul „DZtdI.dll“
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
Sheriff Download-URL. Hinweis: ukr.net ist eine legitime Website.
https://api.ipify[.]org
URL
Legitimer Dienst zur Ermittlung öffentlicher IP-Adressen, der häufig von Malware-Entwicklern missbraucht wird.
IBM X-Force Premier Threat-Intelligence ist nun mit OpenCTI integriert und liefert umsetzbar Threat-Intelligence zu dieser Bedrohungsaktivität und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den OpenCTI-Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Bleiben Sie einen Schritt voraus –integrieren Sie noch heute.
Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
Erfahren Sie, wie sich die heutige Sicherheitslandschaft verändert und wie Sie die Herausforderungen meistern und die Leistungsfähigkeit der generativen KI nutzen können.
Erhalten Sie wichtige Erkenntnisse und praktische Strategien zur Sicherung Ihrer Cloud mit der neuesten Threat-Intelligence.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.
Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.
Optimieren Sie Entscheidungsprozesse, verbessern Sie die SOC-Effizienz und beschleunigen Sie die Reaktion auf Vorfälle mit einer intelligenten Automatisierung und Orchestrierungslösung.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.