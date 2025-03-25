Au cours de l’analyse, plusieurs indicateurs initiaux orientent vers des acteurs de menace basés en Russie, notamment :

Deputy Loader et Sheriff Downloader contiennent des ressources en langue russe ;

Le compte Dropbox utilise une locale russe ;

La cible est située en Ukraine.

X-Force estime que la porte dérobée Sheriff est très probablement un outil conçu pour des opérations de cyberespionnage et de collecte de renseignements, plutôt que pour des activités cybercriminelles à but financier. Le malware se concentre sur l’exfiltration de données et la prise de captures d’écran tout en maintenant un profil bas, conçu pour permettre des compromissions de longue durée. Il a été développé avec l’intention manifeste de rester discret, en veillant notamment à ce que les communications et la majorité des artefacts écrits sur disque demeurent chiffrés. Les communications réseau restent furtives grâce à l’utilisation détournée de l’API légitime Dropbox ainsi que du site ukr.net, un portail populaire en Ukraine, utilisé ici pour héberger le malware. Sheriff implémente également plusieurs mécanismes d’autodestruction afin d’effacer ses traces après exécution. Enfin, la qualité du code, l’organisation des répertoires, l’architecture modulaire, la journalisation et l’étendue des fonctionnalités et options de configuration indiquent un niveau de sophistication cohérent avec celui d’un groupe soutenu par un État.

L’enquête a également révélé plusieurs chevauchements mineurs avec des campagnes précédemment attribuées au groupe Turla (alias ITG12), un acteur de menace d’origine russe. Par exemple, la porte dérobée « Kazuar .NET backdoor » du groupe présente plusieurs similarités avec Sheriff, notamment :

une structure de répertoire légèrement similaire ;

la génération d’un GUID et l’utilisation du numéro de série de la victime (bien que de manière différente) ;

la journalisation et l’utilisation du chiffrement AES et RSA ;

une architecture modulaire, même si Kazuar semble employer le terme « plugins » ;

l’utilisation de valeurs d’intervalle maximal et minimal ;

la prise en charge de commandes similaires à celles de Sheriff, dont « Suicide », capture d’écran, exécution de commandes, exécution de binaires, suppression de fichiers, exfiltration et auto-mise à jour.

Il est également à noter que la porte dérobée « Crutch », attribuée à Turla par ESET, utilise elle aussi l’API Dropbox pour les communications C2, de manière similaire à Sheriff, bien qu’elle ne soit pas basée sur .NET.

D’autres recherches ont mis en évidence des points communs entre Sheriff et la porte dérobée « Prikormka » utilisée dans l’opération Groundbait, notamment :

une porte dérobée modulaire comprenant un téléchargeur, un module principal et un module de capture d’écran ;

Prikormka maintient également deux dossiers dans %USERPROFILE%\AppData\Local\ dédiés aux téléchargements et aux exfiltrations ;

Prikormka utilise aussi des extensions personnalisées pour identifier les fichiers destinés à être chiffrés et compressés avant exfiltration ;

le module de capture d’écran de Prikormka utilisait l’extension « .tgz », tandis que le module de capture d’écran de Sheriff utilise « .tgr » ;

Les modules de Prikormka listent « Cycle » comme l’une des fonctions d’export requises, ce qui rappelle la classe « MainCycle » utilisée par le module Sheriff Downloader.

Kaspersky Labs a par la suite documenté de forts chevauchements entre Prikormka et CloudWizard APT. X-Force a également observé plusieurs similarités entre Sheriff et CloudWizard, notamment :

une porte dérobée modulaire avec un module principal gérant la configuration et les communications C2 pour chaque module ;

l’utilisation d’AES et RSA par CloudWizard pour chiffrer/déchiffrer les ZIP avant/après les transferts ;

la prise en charge de Dropbox comme mécanisme C2 avec authentification OAuth ;

la présence d’une fonction « GetSettings »/« get_Settings » dans les deux familles pour récupérer la configuration des modules ;

la capacité, dans les modules de capture d’écran, de cibler des fenêtres via l’argument « WindowsTitle » afin de comparer le titre de la fenêtre active avant de prendre une capture ;

un intervalle de 15 minutes pour la prise obligatoire de captures d’écran, valeur partagée par CloudWizard, Prikormka et Sheriff ;

Les modules de liste de fichiers de CloudWizard et Prikormka sont appelés « tree », nom également utilisé par Sheriff pour exfiltrer une liste de fichiers.

X-Force estime que la porte dérobée Sheriff a été utilisée dans le cadre d’une opération ciblée. Le malware pourrait être lié à CloudWizard APT, un groupe aligné sur les intérêts russes et ayant déjà ciblé des entités ukrainiennes. Une connexion avec Turla (ITG12) est jugée moins probable, bien que certains chevauchements mineurs apparaissent au niveau des TTP et des outils malveillants.