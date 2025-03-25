IBM X-Force a découvert un ensemble de logiciels malveillants auparavant inconnus (porte dérobée) utilisés dans une attaque de cyberespionnage contre une entité du secteur de la défense de l’Ukraine au cours du premier semestre 2024. L’acteur malveillant s’est appuyé sur ukr.net, un portail d’actualités très fréquenté en Ukraine, pour héberger la porte dérobée Sheriff. Cette porte dérobée modulaire peut exécuter des commandes pilotées par l’attaquant, collecter des captures d’écran et exfiltrer discrètement les données des victimes en s’appuyant sur l’API de stockage cloud Dropbox. Au cours de l’enquête, X-Force a observé une activité proche de celle de CloudWizard APT et de Turla (alias ITG12), deux groupes de menace à ancrage russe ayant déjà ciblé des entités ukrainiennes.
Au cours de l’enquête, X-Force a reconstruit la chaîne d’infection suivante :
L’échantillon analysé est une DLL x86 contenant un unique export nommé « MyFunc ». Elle inclut un chemin relatif codé en dur vers la DLL du module Sheriff Downloader, stocké dans une ressource en langue russe appelée « LoaderPath ». Le chemin codé en dur est
qui est concaténé avec le chemin d’accès suivant : « %USERPROFILE%\AppData\ ».
La DLL utilise ensuite l’API CLRCreateInstance pour héberger le Common Language Runtime (.NET CLR). La fonction Loader.MainCycle.Run de la DLL Sheriff Downloader Module est exécutée via la méthode ExecuteInDefaultAppDomain.
Cette technique a été récemment présentée dans un article de blog X-Force décrivant une approche de red teaming.
Deputy Loader transmet également les chemins des deux DLL en arguments, séparés par un point-virgule (« ; »).
Le module Sheriff Downloader est une DLL .NET x86 contenant une bibliothèque (dotnetzip.dll) intégrée sous forme de ressource via Fody Costura.
La classe « MainCycle » contient la fonction principale « Run », qui commence par extraire quatre valeurs stockées dans des ressources en langue russe du binaire :
À partir de ces valeurs, l’échantillon tente de télécharger un fichier depuis
dans le répertoire
Si le fichier existe déjà, l’étape de téléchargement est ignorée et le programme se comporte uniquement comme un chargeur.
Le module déchiffre ensuite la charge utile via la bibliothèque personnalisée « SymmetricCrypt » et le mot de passe « BS7imxwRXueassn ». L’algorithme semble identique à l’implémentation AES native de .NET (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs).
Le fichier ZIP obtenu est extrait en mémoire et révèle au moins deux fichiers, classés par taille. Enfin, le premier fichier (Sheriff Main Module) est chargé de manière réflexive comme assembly .NET, en appelant la méthode « MainClass.Run ». Le dernier fichier (Sheriff Init File) est lu ligne par ligne et transmis à l’assembly en cours d’exécution sous forme de liste, avec les chemins de la DLL Deputy Loader, de la DLL Sheriff Downloader et de la charge téléchargée « RDZXVh ».
L’URL de téléchargement soulève immédiatement des inquiétudes, car l’hôte ukr.net est classé au 4e rang des sites les plus visités en Ukraine, selon Semrush. ukr.net est également un fournisseur d’accès à Internet (ISP), un service de messagerie très populaire et l’un des plus grands portails d’actualités du pays, avec plus de 100 millions de visites par mois. Bien que ukr.net semble aussi proposer des services d’hébergement, il n’est généralement pas possible pour les utilisateurs d’y stocker des fichiers à la racine du serveur Web principal. Il est donc probable que l’acteur malveillant ait compromis ukr.net afin d’y déposer la charge chiffrée de la porte dérobée Sheriff début mars 2024.
Au moment de l’enquête, la charge utile n’était plus disponible et X-Force n’a pas identifié d’autres fichiers malveillants hébergés sur ukr.net.Il est possible que l’accès de l’attaquant ait été limité, temporaire, ou utilisé de manière très ciblée. Un accès à l’un des plus grands portails d’actualités d’Ukraine offrirait à un acteur malveillant la possibilité de mener des attaques à fort impact tout en renforçant sa capacité de dissimulation. Dans ce cas précis, l’attaquant a peut-être exploité ce domaine de confiance pour héberger le malware sans éveiller de soupçons.
Le module principal Sheriff est une DLL .NET x86 contenant, là encore, une bibliothèque (dotnetzip.dll) intégrée sous forme de ressource via Costura.
Lors de sa première exécution, la fonction « Run » de la classe principale commence par lire les arguments reçus sous forme de liste depuis le fichier d’initialisation Sheriff. Elle assigne les valeurs suivantes :
Le tableau ci-dessous fournit une explication pour chacun des arguments :
Nom
Explication
|_symKey
|Clé AES utilisée pour déchiffrer la configuration
ConfName
Nom du fichier de configuration
ModulsFolder
Nom du dossier utilisé pour télécharger les modules supplémentaires
UploadLocalFolder
Nom du dossier utilisé pour l’exfiltration des données
_defaultZipExt
Extension par défaut permettant d’identifier les fichiers ZIP
refreshToken
Jeton OAuth de renouvellement utilisé pour l’authentification auprès de l’API Dropbox
_guid
Chaîne utilisée avec le numéro de série pour identifier la victime
_asymPrivKey
Clé privée RSA utilisée pour déchiffrer les modules téléchargés
_asymPubKey
Clé publique RSA utilisée pour chiffrer les données avant exfiltration
Les clés asymétriques proviennent de deux jeux de clés différents, ce qui a empêché le déchiffrement des données exfiltrées au cours de l’enquête.
Sheriff crée ensuite les dossiers locaux dédiés au téléchargement et à l’exfiltration. S’il n’existe pas, le fichier de configuration mlvn.cfg est créé lors de la première exécution du module principal. Il peut ensuite être lu et modifié afin de gérer des configurations séparées pour chaque module. Le fichier de configuration déchiffré contient les valeurs suivantes pour le module « main », séparées par un point-virgule (« ; ») :
Aucun module « key » n’a été trouvé au cours de l’enquête. Ce module aurait pu être responsable de l’établissement de la persistance pour la DLL Deputy Loader, qui écrit la clé de registre suivante :
La clé contient la commande permettant d’exécuter l’export « MyFunc » de Deputy Loader :
Les communications de commande et contrôle sont gérées via une classe « DbApiV2 », qui utilise l’API Dropbox pour créer, rechercher, télécharger, déplacer et analyser des fichiers et dossiers distants sur Dropbox. Le module utilise le jeton de renouvellement pour obtenir un jeton d’accès temporaire en vue de l’authentification via l’URL suivante :
Ces points de terminaison API sont utilisés pour gérer les fichiers et dossiers distants :
Avant de tenter de télécharger des fichiers, le module principal Sheriff télécharge un message journal contenant l’adresse IP publique de la victime ainsi que la liste des modules chargés. Le journal est chiffré par XOR à l’aide de l’identifiant de la victime, constitué du GUID (provenant des arguments ou généré aléatoirement) et du numéro de série. Après chiffrement, le journal est téléchargé dans un dossier Dropbox portant le nom de l’identifiant de la victime.
Tous les fichiers sont récupérés depuis le dossier Dropbox /<victim_id>/Dow/ et sont téléchargés dans le dossier local « ModulsFolder », codé en dur comme « /DxyVS1 ». Après leur téléchargement, tous les fichiers sont immédiatement supprimés de Dropbox. Nous verrons ensuite comment ces fichiers téléchargés sont traités par le module principal.
Le processus de téléchargement commence par l’énumération de tous les fichiers locaux présents dans « UploadLocalFolder », codé en dur ici comme « /gyTufW ». Selon leur extension, ils sont classés en trois catégories :
La fonction « PreparingForUpload » compresse ensuite tous les fichiers en clair dans un nouveau fichier ZIP. Tous les fichiers ZIP sont ensuite chiffrés à l’aide d’une clé AES générée aléatoirement, elle-même chiffrée avec la clé publique RSA et concaténée avec le fichier chiffré. Pendant l’exécution, la fonction supprime tous les fichiers résiduels du dossier jusqu’à ce qu’il ne reste que les fichiers entièrement compressés et chiffrés. Ces fichiers sont ensuite téléchargés dans le dossier Dropbox /<victim_id>/Up/ puis supprimés localement.
Les fonctions de téléchargement s’exécutent de manière asynchrone, avec un minuteur fixé à 30 secondes dans l’échantillon analysé.
Au moment de l’enquête, le compte Dropbox ne contenait plus aucun fichier, comme l’indique l’utilisation de l’espace :
Les informations associées au compte Dropbox sont les suivantes :
La mission du module principal Sheriff est d’agir comme un orchestrateur chargé de lancer et de gérer les différents modules. Ces modules peuvent être téléchargés via le processus décrit précédemment, dont un exemplaire identifié lors de l’enquête (« ./DxyVS1/dowtuxZml »).
La fonction « LoadModuls » parcourt les fichiers téléchargés et les déchiffre à l’aide de la clé privée RSA et de la clé AES obtenue. Le fichier ZIP déchiffré contient une chaîne de commentaire, utilisée pour analyser le module :
Le commentaire est séparé en plusieurs valeurs via le caractère « | », puis en sous-valeurs séparées par un point-virgule (« ; »).
Voici une description des valeurs après analyse :
Sheriff accepte les commandes suivantes :
Commandes et description
Le second tableau détaille une liste de commandes pouvant être lues dans un fichier texte via la commande « C » :
Command pattern
Description
(tree)
<path_1>
<path_2>
…
Télécharge les fichiers figurant dans une liste de chemins spécifiés.
(treedel)
<path_1>
<path_2>
…
Supprime les fichiers situés aux chemins indiqués et télécharge un message de journal : « Files were deleted: <number_of_files> ».
(cmd);
Exécute chaque valeur comme une commande distincte dans un nouveau processus : « cmd.exe /c <value> », lit « stdout » et « stderr », puis télécharge la sortie vers Dropbox sous forme de fichier chiffré RSA.
[modname];
Insère l’intégralité de la chaîne dans le fichier de configuration. Remarque : « modname » correspond au marqueur du module.
{modname};
Si « modname » vaut « Suicide », Sheriff arrête tous les modules, supprime tous les fichiers et exécute un script de nettoyage. Si « modname » correspond à un module chargé, Sheriff invoque sa « KillMethod » et supprime le fichier associé.
Une fois tous les modules chargés, la fonction « Run » du module principal parcourt chaque module et appelle sa « ConfigMethod », en lui transmettant les paramètres correspondants tels qu’ils ont été extraits du fichier de configuration d’origine. Cela permet vraisemblablement aux opérateurs de mettre à jour facilement la configuration de plusieurs modules pendant leur exécution.
L’un des modules récupérés au cours de l’enquête est le module de capture d’écran (« Screenshot module »). Lorsqu’il est chargé, le module reçoit les arguments suivants de la part du module principal :
Le module contient encore une valeur par défaut « tgr » pour « defaultZip », valeur qui est écrasée à ce stade. À l’aide de la méthode « ConfigMethod » du module, le module principal peut également définir les paramètres de configuration suivants :
Une fois démarré, le module vérifie toutes les 5 secondes (TimerCount) s’il peut effectuer une capture d’écran. Pour qu’une capture soit prise, l’une des conditions suivantes doit être remplie :
Lors de chaque capture, si le nombre de captures atteint « ImageCount », les captures existantes sont ajoutées à un fichier ZIP nommé selon le format : {0:yyyy.MM.dd_HH.mm.ss}.jpg en utilisant l’objet « DateTime » de la capture.
Le fichier ZIP est nommé selon le format : {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> en utilisant le « DateTime » correspondant au moment de sa création. Le fichier ZIP reçoit également un commentaire contenant le marqueur du module (« scr »), comme illustré ci-dessous.
Le module principal Sheriff contient également une fonction « Suicide », qui peut être invoquée à distance. Cette fonction interrompt toute activité de téléchargement, puis parcourt chaque module pour appeler la « KillMethod » correspondante. Elle procède ensuite à la suppression de l’intégralité du répertoire contenant le module principal ainsi que du dossier global sur Dropbox utilisé pour les communications C2. La fonction recherche ensuite le chemin de la DLL du chargeur de première étape (Deputy Loader) dans les sous-clés du registre situées sous :
Toute sous-clé contenant ce chemin est supprimée.
Enfin, Sheriff insère les chemins du « loader » (Sheriff Downloader Module) et de « loadDll » (Deputy Loader) dans le fichier BAT suivant, le dépose dans %TMP% puis l’exécute :
Ce script supprime les fichiers du Sheriff Downloader Module et du Deputy Loader, ainsi que leurs répertoires respectifs, avant de se supprimer lui-même.
Au cours de l’analyse, plusieurs indicateurs initiaux orientent vers des acteurs de menace basés en Russie, notamment :
X-Force estime que la porte dérobée Sheriff est très probablement un outil conçu pour des opérations de cyberespionnage et de collecte de renseignements, plutôt que pour des activités cybercriminelles à but financier. Le malware se concentre sur l’exfiltration de données et la prise de captures d’écran tout en maintenant un profil bas, conçu pour permettre des compromissions de longue durée. Il a été développé avec l’intention manifeste de rester discret, en veillant notamment à ce que les communications et la majorité des artefacts écrits sur disque demeurent chiffrés. Les communications réseau restent furtives grâce à l’utilisation détournée de l’API légitime Dropbox ainsi que du site ukr.net, un portail populaire en Ukraine, utilisé ici pour héberger le malware. Sheriff implémente également plusieurs mécanismes d’autodestruction afin d’effacer ses traces après exécution. Enfin, la qualité du code, l’organisation des répertoires, l’architecture modulaire, la journalisation et l’étendue des fonctionnalités et options de configuration indiquent un niveau de sophistication cohérent avec celui d’un groupe soutenu par un État.
L’enquête a également révélé plusieurs chevauchements mineurs avec des campagnes précédemment attribuées au groupe Turla (alias ITG12), un acteur de menace d’origine russe. Par exemple, la porte dérobée « Kazuar .NET backdoor » du groupe présente plusieurs similarités avec Sheriff, notamment :
Il est également à noter que la porte dérobée « Crutch », attribuée à Turla par ESET, utilise elle aussi l’API Dropbox pour les communications C2, de manière similaire à Sheriff, bien qu’elle ne soit pas basée sur .NET.
D’autres recherches ont mis en évidence des points communs entre Sheriff et la porte dérobée « Prikormka » utilisée dans l’opération Groundbait, notamment :
Kaspersky Labs a par la suite documenté de forts chevauchements entre Prikormka et CloudWizard APT. X-Force a également observé plusieurs similarités entre Sheriff et CloudWizard, notamment :
X-Force estime que la porte dérobée Sheriff a été utilisée dans le cadre d’une opération ciblée. Le malware pourrait être lié à CloudWizard APT, un groupe aligné sur les intérêts russes et ayant déjà ciblé des entités ukrainiennes. Une connexion avec Turla (ITG12) est jugée moins probable, bien que certains chevauchements mineurs apparaissent au niveau des TTP et des outils malveillants.
La porte dérobée Sheriff et son utilisation dans des opérations de cyberespionnage présentent plusieurs caractéristiques notables. Premièrement, Sheriff est un outil modulaire bien conçu, capable d’assurer un accès persistant et de longue durée à l’environnement de la victime. Deuxièmement, sa structure modulaire et ses mécanismes d’autodestruction reflètent la volonté des développeurs d’éviter la détection et l’analyse de leurs outils. Enfin, la capacité à héberger le malware sur ukr.net témoigne également du niveau avancé des acteurs de la menace.
X-Force recommande aux personnes et organisations liées au gouvernement, au secteur militaire ou au secteur de la défense en Ukraine de maintenir un niveau élevé de vigilance et de :
Afin de rendre l’attribution plus transparente et de favoriser la collaboration entre chercheurs, les échantillons ont été téléchargés sur VirusTotal par IBM X-Force.
Indicateur
Type d'indicateur
Contexte
60f20be29cafea3402c8cb396
SHA256
Module principal crypté « RDZXVh »
86b8d48df5787d57836276219
SHA256
Fichier d’initialisation de Sheriff « n5K3B »
8832fb7ef434a56f9d151d8e1eb
SHA256
Deputy Loader « t5cby.dll »
8c22326d08a6334181c06e25c6
SHA256
Module de capture d’écran chiffré « dowtuxZmI »
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Module principal de Sheriff « 1Pr3v »
92b9ef4e81610487ea9df255fa83
SHA256
Fichier de configuration de Sheriff « mInv.cfg »
e2b892533bd4135004778783b95
SHA256
Fichier ZIP du module de capture d’écran déchiffré
ec84ae8db92a88109bc68baefc3b
SHA256
Module de capture d’écran de Sheriff « NeXSv »
f9e237a939b998fe071e0101904f7d
SHA256
Sheriff Downloader Module « DZtdI.dll »
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
URL de téléchargement du module Sheriff. Notez que ukr.net est un site web légitime.
https://api.ipify[.]org
URL
Service légitime permettant de déterminer l’adresse IP publique, fréquemment détourné par des auteurs de malware.
