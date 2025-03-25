Tag
Protezione

IBM X-Force scopre il nuovo Sheriff Backdoor usato per colpire l'Ucraina

Pubblicato il 25 marzo 2025
Foto ravvicinata di mani che digitano sulla tastiera con vista sul monitor del computer

Autore

Golo Mühr

Malware Reverse Engineer

IBM

IBM X-Force ha scoperto una serie di malware sconosciuti (backdoor Sheriff) utilizzati in un attacco di spionaggio informatico contro un settore della difesa ucraina nella prima metà del 2024. L'attore delle minacce ha utilizzato un popolare portale di notizie in Ucraina, ukr.net, per ospitare la backdoor Sheriff. La backdoor modulare può eseguire comandi diretti dagli attori, raccogliere schermate e esfiltrare segretamente i dati delle vittime utilizzando l'API di storage cloud di Dropbox. Durante l'indagine, X-Force ha identificato attività di minaccia simili a CloudWizard APT e Turla (alias ITG12), entrambi gruppi di minaccia legati alla Russia che hanno preso di mira entità ucraine.

Risultati principali

  • Un nuovo loader e una backdoor modulare sono stati utilizzati in un attacco nella prima metà del 2024 che ha preso di mira il settore della difesa dell'Ucraina.
  • Il modulo Sheriff Downloader scarica un payload da ukr.net, un popolare portale di informazione ucraino, suggerendo che il sito potrebbe essere stato compromesso per facilitare l'attacco.
  • La backdoor utilizza l'API di Dropbox per la comunicazione di comando e controllo (C2) per facilitare l'esfiltrazione dei dati crittografati.
  • Sheriff è in grado di scaricare e gestire più moduli, incluso un modulo schermata scoperto durante l'indagine; comandi e valori di configurazione vengono ricevuti come commenti nei file ZIP.
  • X-Force ha individuato delle somiglianze con CloudWizard APT e Turla (ITG12), gruppi di minacce con legami con la Russia che prendono di mira entità ucraine.

Panoramica tecnica

Durante l'indagine, X-Force ha ricostruito la seguente catena di infezione:

Grafico che illustra la catena di infezione
Fig. 1: Catena di infezione

Vicedirettore caricatore

Il campione analizzato è una DLL x86, contenente una singola esportazione "MyFunc". Contiene un percorso relativo codificato per la DLL del modulo Sheriff Downloader in una risorsa in lingua russa con il nome "LoaderPath". Il percorso codificato è

Local\WPnqv0hW\DZtdI.dll

che è concatenato con il seguente percorso: “%USERPROFILE%\AppData\”.

La DLL utilizza quindi l'API CLRCreateInstance per ospitare il .NET Common Language Runtime (tempo di esecuzione). La funzione Loader.MainCycle.Run della DLL del Modulo Sheriff Downloader viene eseguita tramite il metodo ExecuteInDefaultAppDomain

Esecuzione dell'hosting CLR in frammento di codice
Fig. 2: CLR che ospita l'esecuzione

Questa tecnica è stata recentemente descritta in un post sul blog di X-Force come tecnica red team.

Deputy Loader fornisce anche i percorsi di entrambe le DLL come argomenti separati da un punto e virgola ("; "). 

Modulo Sheriff Downloader

Il modulo Sheriff Downloader è una DLL .NET x86, che contiene una libreria (dotnetzip.dll) in una risorsa utilizzando Fody Costura. 

La classe "MainCycle" contiene la funzione principale "Run", che inizia recuperando quattro valori memorizzati nelle risorse in lingua russa del binario:

Schermata delle risorse di Sheriff Downloader
Fig. 3: Risorse di Sheriff Downloader

Utilizzando questi, il campione tenta di scaricare un file da

http://ukr[.]net/8V3fDJ0U/RDZXVh

 

nella cartella

%APPDATA%\Xpgx2dAn\RDZXVh

Se il file esiste già, il download viene saltato e il malware agisce solo come caricatore. 

Successivamente, decifra il payload tramite la libreria personalizzata "SymmetricCrypt" e la password "BS7imxwRXueassn". L'algoritmo sembra essere identico alla crittografia AES integrata in .NET(https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs). 

Il file ZIP risultante viene estratto nella memoria, rivelando almeno due file ordinati in base alla dimensione. Infine, il primo file (Sheriff Main Module) viene caricato in modo riflessivo come assembly .NET, chiamando il metodo "MainClass.Run". L'ultimo file (Sheriff Init File) viene letto riga per riga e fornito all'assembly in esecuzione come argomento oggetto elenco, insieme ai percorsi della DLL Deputy Loader, della DLL Sheriff Downloader e del payload scaricato "RDZxVH".

Possibile compromesso di ukr.net

L'URL del download solleva immediatamente preoccupazioni, poiché il ukr.net host è classificato come il quarto sito più visitato in Ucraina secondo Semrush. Ukr.net è anche un provider di servizi Internet (ISP), un popolare provider di e-mail e ospita uno dei più grandi portali di notizie in Ucraina, con oltre 100 milioni di visite al mese. Sebbene ukr.net sembri offrire anche servizi di hosting, generalmente non è possibile per gli utenti ospitare file su directory root arbitrarie sul server web principale. Pertanto, è probabile che l'attore delle minacce abbia compromesso ukr.net per allestire il payload backdoor criptato dello Sheriff all'inizio di marzo 2024. 

Al momento dell'indagine, il payload non era disponibile e X-Force non è stata in grado di identificare altri payload dannosi ospitati su ukr.net. È possibile che l'accesso dell'attore delle minacce fosse limitato nella portata, disponibile solo per un breve periodo o intenzionalmente usato con parsimonia. L'accesso di un attore delle minacce al più grande portale di notizie ucraino gli permetterebbe di condurre una serie di attacchi ad alto impatto e operare con un oscuramento maggiore. In questo specifico incidente, l'attore delle minacce potrebbe aver abusato del dominio di fiducia per mettere in scena il malware senza destare sospetti. 

Modulo principale di Sheriff

Il modulo principale di Sheriff è una DLL x86 .NET, che contiene nuovamente una libreria (dotnetzip.dll) compressa in una risorsa, utilizzando Costura.

Inizializzazione e configurazione

Quando viene eseguita per la prima volta, la funzione "Run" nella classe principale inizia leggendo gli argomenti ricevuti come una lista dal file di inizializzazione Sheriff. Assegna i seguenti valori:

_symKey: "tkE7BqJ45HKwOes"
ConfName: "mInv.cfg"
ModulsFolder: "DxyVS1"
UploadLocalFolder: "gyTufW"
_defaultZipExt: "d7r"
refreshToken:
"sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0"
_guid: "W5d2090860fd54c17809fb4da0b42b34d.test"
_asymPrivKey:
"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"
_asymPubKey:
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBT+7FB360l8kvgAmCUKYjWxcybjTJiq81x0s56g+rxdvxHOlayuYhSb7xJ2JKv/1k1LtnAT9rfhPLJQPvwMsVeeFUvIpc5+ovrIi3Ow0n8n3je1zSqpFRK488XZ9NMDkVSLLQKNcgOYox0eSXPmnTzvNffaFGVnm1EuimsnSjpQIDAQAB"

Nella tabella seguente è riportata una spiegazione per ciascuno degli argomenti:

Nome

Spiegazione

  
_symKeyChiave AES utilizzata per decifrare la configurazione

ConfName

Nome del file di configurazione

ModulsFolder

Nome della cartella utilizzata per scaricare ulteriori moduli

Carica cartella locale

Nome della cartella utilizzata per esfiltrare i dati

_defaultZipExt

Estensione predefinita usata per identificare file ZIP

refreshToken

Token di aggiornamento OAuth per l'autenticazione con l'API Dropbox

_guid

Stringa utilizzata insieme al numero di serie come ID della vittima

_asymPrivKey

Chiave privata RSA usata per decifrare moduli scaricati

_asymPubKey

Chiave pubblica RSA usata per criptare i dati prima dell'esfiltrazione

Le chiavi asimmetriche provengono da due diversi set di chiavi, che hanno impedito la decodifica dei dati di esfiltrazione durante l'indagine. 

Successivamente, Sheriff crea le cartelle locali di caricamento e download. Se non presente, il file di configurazione mlvn.cfg viene scritto quando il modulo principale dello Sheriff viene eseguito per la prima volta. Successivamente, può essere letto e modificato per mantenere configurazioni separate per ogni modulo. Il file di configurazione decrittato contiene i seguenti valori per il modulo "principale", separati da un punto e virgola ("; "):

  1. refreshToken
  2. Dimensione massima del file ZIP per i dati esfiltrati
  3. Dimensione massima del file per i dati esfiltrati prima della compressione
  4. URL usato per recuperare l'indirizzo IP pubblico della vittima
  5. Intervallo minimo (ms) utilizzato per scaricare e caricare file
  6. Intervallo massimo (ms) utilizzato per scaricare e caricare file
[main];sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0;220200960;209715200;https://api.ipify.org;30000;30000
[key];1024

Durante l'indagine non è stato trovato alcun modulo "chiave". Questo modulo potrebbe essere stato responsabile di stabilire la persistenza per la DLL Deputy Loader, che scrive la seguente chiave di registro:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftEdgeAutoLaunch_<REDACTED>

La chiave contiene il comando per eseguire l'esportazione MyFunc del Deputy Loader:

"C:\WINDOWS\SysWOW64\rundll32.exe" "<LOCAL_APPDATA>\GRPRhuI4\T5CBy.dll",MyFunc

Dropbox C2

La comunicazione di comando e controllo è gestita tramite una classe "DbApiV2", che utilizza l'API di Dropbox per creare, trovare, scaricare, caricare, spostare e analizzare file e cartelle remote su Dropbox. Utilizza il token di aggiornamento per ottenere un token di accesso temporaneo per l'autenticazione tramite il seguente URL VIA® :

https://api.dropbox.com/oauth2/token

Questi endpoint API vengono utilizzati per gestire file e cartelle remoti:

https://content.dropboxapi.com/2/files/upload
https://content.dropboxapi.com/2/files/upload_session/start
https://content.dropboxapi.com/2/files/upload_session/finish
https://content.dropboxapi.com/2/files/upload_session/append_v2
https://content.dropboxapi.com/2/files/download
https://api.dropboxapi.com/2/files/delete
https://api.dropboxapi.com/2/files/create_folder
https://api.dropboxapi.com/2/files/list_folder

Prima di tentare di scaricare i file, il modulo principale di Sheriff carica un messaggio di log contenente l'indirizzo IP pubblico della vittima e l'elenco dei moduli caricati. Il log viene criptato tramite XOR utilizzando l'ID vittima, costituito dal GUID (dagli argomenti o generato casualmente) e dal numero di serie. Dopo la crittografia, il registro viene caricato in una cartella Dropbox con un nome che corrisponde all'ID della vittima. 

Tutti i file vengono recuperati dalla cartella Dropbox in /<victim_id>/Dow/ e scaricati nella cartella locale "ModulsFolder" codificata come "/DxyVS1". Dopo il download, tutti i file vengono cancellati immediatamente da Dropbox. Successivamente, discuteremo come i file scaricati vengono gestiti dal modulo principale. 

Il processo di caricamento inizia enumerando tutti i file locali nella cartella "UploadLocalFolder", in questo caso codificati come "/gyTufW". A seconda delle loro estensioni, sono suddivisi in tre categorie:

  1. I file che usano il .d7r "_defaultZipExt" codificato in modo rigido sono già compressi;
  2. I file senza estensione sono già criptati e pronti per il caricamento;
  3. Tutti gli altri file sono ancora in testo non crittografato.

La funzione "PreparingForUpload" comprimerà quindi tutti i file di testo chiaro in un nuovo file ZIP. Tutti i file ZIP vengono successivamente criptati usando una chiave AES generata casualmente, che a sua volta viene criptata con la chiave RSA pubblica e concatenata con il file criptato. Durante l'esecuzione, la funzione elimina tutti i file residui dalla cartella finché non rimangono solo i file completamente compressi e criptati. Questi vengono poi caricati nella cartella Dropbox in /<victim_id>/Up/,mentre vengono eliminati localmente. 

Sia la funzione di caricamento che quella di download vengono eseguite in modo asincrono e con un timer codificato su 30 secondi nel campione analizzato. 

Al momento dell'indagine, l'account Dropbox non ospitava più file, come indicato dall'uso dello spazio:

{
  "used": 0,
  "allocation": {
    ".tag": "individual",
    "allocated": 2147483648
  }
}

L'account Dropbox associato mostra le seguenti informazioni:

{
  "account_id": "dbid:AABLMHYTVufS0NLF_cnID1nm_-R9m1aj9ds",
  "name": {
    "given_name": "Poco",
    "surname": "Poco",
    "familiar_name": "Poco",
    "display_name": "Poco Poco",
    "abbreviated_name": "PP"
  },
  "email": "poco.m5.miui.13@gmail.com",
  "email_verified": true,
  "disabled": false,
  "country": "DE",
  "locale": "ru",
  "referral_link": "https://www.dropbox.com/referrals/AABf13Qzpq31wbsquudl7xfwagHIa8GgdZg?src=app9-5618657",
  "is_paired": false,
  "account_type": {
    ".tag": "basic"
  },
  "root_info": {
    ".tag": "user",
    "root_namespace_id": "2199102147",
    "home_namespace_id": "2199102147"
  }
}

Moduli e comandi Sheriff

Il compito del modulo principale Sheriff è quello di fungere da orchestratore per avviare e gestire diversi moduli. Questi moduli possono essere scaricati tramite il processo descritto sopra, uno dei quali è stato scoperto durante l'indagine ("./DxyVS1/dowtuxZml"). 

La funzione "LoadModuls" scorre i file scaricati, decrittandoli utilizzando la chiave privata RSA e la chiave AES risultante. Il file ZIP decriptato contiene una stringa di commento, che viene utilizzata per analizzare il modulo:

Un'intestazione PK-ZIP contenente un commento alla fine del file
Fig. 4: Un'intestazione PK-ZIP contenente un commento alla fine del file

Il commento è suddiviso in diversi valori tramite il simbolo pipe ("|") e ulteriormente in valori secondari separati da un punto e virgola ("; "). 

D|scr;ScreenShot.Shot;LoadDll;KillDll;ConfDll|0|0;None

Di seguito è riportata una descrizione dei valori dopo il parsing:

  1. Comando: " D "
  2. ModInfo (parte di un oggetto che conserva le informazioni su ciascun modulo durante l'esecuzione del modulo principale)
    1. Marcatore: "scr"
    2. NameSpace: "schermata.Shot"
    3. LoadMethod: "LoadDll"
    4. KillMethod: "KillDll"
    5. ConfigMethod: "ConfDll"
  3. On/Off (se il file originale deve essere eliminato)
  4. NeedZip (se il modulo richiede che i suoi risultati vengano compressi dal modulo principale); Compressione (il metodo di compressione desiderato, predefinito è Deflate)

Sheriff accetta i seguenti comandi:

Comando e descrizione

  • D - Analizza il ModInfo dal commento e, a seconda del valore On/Off, elimina il file originale dopo il caricamento dell'assembly .NET. Per caricare o bloccare il modulo (se già caricato) utilizza rispettivamente i valori "LoadMethod" e "KillMethod". "LoadMethod" accetta come argomenti "Marker", "UploadLocalFolder" e "_defaultZipExt".
  • T — Analizza il ModInfo dal commento, elimina il file originale ed esegue "LoadMethod". Il "LoadMethod" prende come argomenti il "Marker", il "UploadLocalFolder", il "LoadMethod", il "KillMethod" e il "ConfigMethod".
  • E — Accetta un singolo valore (argomento comando) solo dopo il primo simbolo del tubo ("|") ed esegue la funzione "RunExeInMemory". Il file all'interno dell'archivio ZIP viene inserito in un percorso temporaneo come %TMP%\<number_of_ticks>.exe ed eseguito come nuovo processo con l'argomento se fornito. Il file rilasciato e il file ZIP vengono successivamente eliminati.
  • C — Analizza un file di testo all'interno dello ZIP, riga per riga, che può contenere un elenco di comandi personalizzati (vedere la seconda tabella di seguito).
  • R — Aggiorna il modulo principale rinominando il file originale e scrivendo il payload scaricato sul percorso originale. A seconda del successo, verrà caricato uno dei due messaggi di stato: "MainModule è stato modificato correttamente" oppure "MainModule non è stato modificato".

 La seconda tabella riporta un elenco di comandi che possono essere letti come file di testo utilizzando il comando "C":

Modello di comando

Descrizione

(tree)

<path_1>

<path_2>

...

Carica file da una lista di percorsi specificati.

(treedel)

<path_1>

<path_2>

...

Elimina i file da un elenco di percorsi specificati e carica un messaggio di registro "I file sono stati eliminati: <number_of_files> "

(cmd);
valore1;
valore2;...

Esegue ciascun valore come comando separato in un nuovo processo "cmd.exe /c <value>", legge stdout e stderr e lo carica come file crittografato RSA su Dropbox. 

[modname];
value1;
value2;...

Inserisce la stringa completa nel file di configurazione. Tieni presente che il "modname" è identico al marcatore di un modulo.

{modname};
value1;
value2;...

Se il "modname" è "Suicide", Sheriff eliminerà tutti i moduli, eliminerà tutti i file ed eseguirà uno script di pulizia. Se il "modname" corrisponde a un modulo caricato, invocherà il "KillMethod" ed eliminerà il file corrispondente. 

Un frammento di codice che mostra il comando "suicide" del modulo principale di Sheriff
Fig. 5: Comando " suicide " del modulo principale di Sheriff

Dopo che tutti i moduli sono stati caricati, la funzione "Run" del modulo principale itererà attraverso ogni modulo caricato e invocherà il "ConfigMethod", fornendo le impostazioni del modulo corrispondente come analizzate dal file di configurazione originale. Questo probabilmente permette agli operatori di aggiornare facilmente le configurazioni di diversi moduli mentre sono in esecuzione. 

Modulo schermata

Uno dei moduli recuperati durante l'indagine è il modulo schermata. Quando il modulo viene caricato, riceve i seguenti argomenti dal modulo principale:

  1. marcatore
  2. uploadPath
  3. defaultZip

Il modulo contiene ancora un valore predefinito "tgr" per "defaultZip", che a quel punto viene sovrascritto. Utilizzando il "ConfigMethod" del modulo, il modulo principale è anche in grado di specificare i seguenti valori di configurazione:

  1. ImageCount (numero di schermate acquisite prima di essere compressi). Predefinito = 25
  2. TimerCount (intervallo del timer, la frequenza con cui potenzialmente può essere scattata una schermata). Predefinito = 5 secondi
  3. DefiniteShot (tempo massimo fino all'acquisizione definitiva di uno screenshot). Predefinito = 15 minuti
  4. BmpQuality (qualità della schermata/parametro di compressione tra 0 e 100). Predefinito = 25
  5. WindowsTitle (elenco separato da virgole dei titoli delle finestre specificatamente destinati alle schermate).

Una volta avviato, il modulo verificherà ogni 5 secondi (TimerCount) se è possibile acquisire una schermata. Per fare una schermata, una delle seguenti condizioni deve essere vera:

  1. L'ultima schermata è stata scattata più di 15 minuti prima (DefiniteShot);
  2. La finestra in primo piano è diversa dall'ultima volta che è stata scattata una schermata; oppure
  3. Il titolo delle finestre in primo piano corrisponde a una delle stringhe nella lista "WindowsTitle".

Durante ogni scatto, se il numero di scatti raggiunge "ImageCount", le schermate esistenti vengono aggiunte a un file ZIP formattato come {0:yyyy.MM.dd_HH.mm.ss}.jpg usando l'oggetto "DateTime" della schermata.

Il nome del file ZIP è formattato come{0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> utilizzando l'oggetto "DateTime" a cui viene creato lo ZIP. Il file ZIP riceve anche un commento costituito dal marcatore del modulo ("scr"), come mostrato nella schermata seguente.

Modulo schermata di Sheriff
Fig. 6: Modulo schermata di Sheriff

Funzione di suicidio

Il modulo principale dello sceriffo contiene anche una funzione Suicide, che può essere richiamata da remoto. La funzione interrompe tutte le attività di download e upload e poi scorre ogni modulo per richiamare il "KillMethod" corrispondente. Procede quindi a cancellare l'intera directory contenente il modulo principale e la cartella globale su Dropbox usata per la comunicazione C2. Successivamente, la funzione cerca il percorso della DLL del caricatore di prima fase (Deputy Loader) nelle chiavi secondarie del registro sottostanti:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Tutte le chiavi secondarie che contengono il percorso vengono successivamente eliminate. 

Infine, Sheriff inserisce i percorsi del "loader" (Sheriff Downloader Module) e del "loadDll" (Deputy Loader) nel seguente file BAT, lo trascina in %TMP% e lo esegue:

SET loader="<loader.path>"
SET loadDll="<loadDll.path>"
:loop
IF EXIST %loader% del /F %loader%
IF EXIST %loader% goto loop
:loop1
IF EXIST %loadDll% del /F %loadDll%
IF EXIST %loadDll% goto loop1
rmdir /s /q "<loader.directory_name>"
rmdir /s /q "<loadDll.directory_name>"
(goto) 2>nul & del "%~f0"

Lo script sopra riportato eliminerà i file sia del modulo Sheriff Downloader che del Deputy Loader, nonché le rispettive directory, prima di eliminare se stesso. 

Tecniche simili degli attori delle minacce

Durante l'analisi, diversi indicatori iniziali indicano la presenza di attori delle minacce con sede in Russia, tra cui:

  • Deputy Loader e Sheriff Downloader contengono risorse in lingua russa;
  • Lingua russa utilizzata dall'account Dropbox;
  • Viene presa di mira l'Ucraina.

X-Force ritiene che la backdoor di Sheriff sia molto probabilmente uno strumento progettato per lo spionaggio informatico e la raccolta di informazioni, piuttosto che per reati informatici motivati da interessi economici. Il malware si concentra sull'esfiltrazione dei dati e sulla cattura di schermate, mantenendo un basso profilo progettato per compromissioni prolungate. È stato sviluppato con il chiaro intento di rimanere il più possibile segreto, assicurando che le comunicazioni e la maggior parte degli artefatti trasferiti sul disco rimangano crittografati. La comunicazione di rete rimane furtiva grazie all'abuso della legittima API di Dropbox così come di ukr.net, un sito web popolare in Ucraina, utilizzato per mettere in scena il malware. Sheriff implementa anche diverse funzioni autodistruttive per cancellare tracce dopo l'esecuzione. Infine, il codice ben strutturato, la struttura delle cartelle, l'implementazione modulare, la registrazione e la funzionalità completa e la configurabilità indicano un livello di sofisticazione elevato come ci si aspetterebbe da un gruppo sponsorizzato dallo stato. 

L'indagine ha inoltre rivelato diverse piccole sovrapposizioni con campagne precedentemente documentate attribuite al noto gruppo di attori minacciosi con nexus russi Turla (noto anche come ITG12). Ad esempio, la backdoor Kazuar .NET del gruppo presenta diverse somiglianze con Sheriff, tra cui:

  • Kazuar mantiene anche una struttura di cartelle leggermente simile;
  • Sebbene diverso, Kazuar genera anche un GUID e usa il numero di serie della vittima;
  • Kazuar implementa anche la registrazione e utilizza la crittografia AES e RSA;
  • Kazuar è anche modulare, anche se sembra riferirsi a "plugin" invece che a moduli;
  • Kazuar utilizza anche valori di intervallo massimo e minimo;
  • Kazuar supporta comandi simili a quelli di Sheriff, tra cui "Suicide", schermata, esecuzione da riga di comando, esecuzione binaria, eliminazione di file, esfiltrazione e aggiornamento automatico.

Si nota che anche la backdoor Crutch attribuita a Turla da ESET utilizza l'API di Dropbox per la comunicazione C2 in modo simile a Sheriff, sebbene non sia basata su .NET.

Ulteriore ricerca ha anche rivelato le sovrapposizioni di Sheriff con la backdoor Prikormka di Operazioni Groundbait, tra cui:

  • Backdoor modulare con un modulo downloader, core e schermata;
  • Prikormka mantiene inoltre due cartelle in %USERPROFILE%\AppData\Local\ per upload e download;
  • Prikormka utilizza anche estensioni personalizzate per identificare file destinati a essere criptati e compressi prima dell'esfiltrazione;
  • Il modulo schermata di Prikormka utilizzava ".tgz" come parte dell'estensione personalizzata, il modulo schermata di Sheriff utilizza ".tgr";
  • I moduli Prikormka elencano "Cycle" come una delle funzioni di esportazione richieste, che è simile alla classe "MainCycle" utilizzata dal modulo Sheriff Downloader.

Kaspersky Labs ha successivamente documentato forti sovrapposizioni tra Prikormka e CloudWizard APT. X-Force ha anche notato diverse somiglianze tra Sheriff e CloudWizard, tra cui:

  • Backdoor modulare con un modulo principale che gestisce la configurazione e C2 per ciascun modulo;
  • CloudWizard utilizza anche AES e RSA per crittografare/decrittografare gli ZIP prima/dopo il caricamento e il download;
  • CloudWizard supporta anche Dropbox come meccanismo C2 con autenticazione OAuth;
  • Sia CloudWizard che Sheriff contengono una funzione “GetSettings”/”get_Settings” per recuperare la configurazione di ciascun modulo;
  • Sia il modulo schermata di CloudWizard che quello di Sheriff supportano l'argomento "WindowsTitle", da confrontare con il titolo della finestra corrente prima di acquisire una schermata;
  • CloudWizard, Prikormka e Sheriff condividono lo stesso intervallo di acquisizione di schermate di 15 minuti;
  • I moduli di elencazione dei file di CloudWizard e Prikormka sono chiamati "tree", che è il nome che Sheriff utilizza per l'esfiltrazione di un elenco di file.

X-Force ritiene che la backdoor Sheriff sia stata utilizzata come parte di un'operazione mirata. Il malware è probabilmente collegato a CloudWizard APT, allineato alla Russia, che in passato è noto per aver preso di mira entità in Ucraina. La possibilità di connessione con il cluster di minacce Turla (ITG12) è minore a causa di piccole sovrapposizioni tra TTP e malware. 

Conclusione

La backdoor Sheriff e il suo utilizzo nelle operazioni di spionaggio informatico descritte in questo rapporto presentano diverse caratteristiche interessanti. Innanzitutto, la backdoor Sheriff è uno strumento modulare di spionaggio ben progettato che consente un accesso a lungo termine all'ambiente della vittima. In secondo luogo, la sua struttura modulare e le sue caratteristiche di autodistruzione evidenziano la preoccupazione degli sviluppatori per il rilevamento e l'analisi dei loro strumenti. Inoltre, la capacità di infiltrare il malware su ukr.net è anche indicativa delle funzionalità avanzate dell'attore delle minacce.

Raccomandazioni

X-Force raccomanda agli individui e alle entità associate al governo, al settore militare o della difesa dell'Ucraina di mantenere uno stato di sicurezza difensiva elevata e di:

  • Cercare traffico insolito con servizi pubblici di risoluzione degli IP come https://api.ipify[.]org
  • Cercare traffico insolito che comunica con l'API Dropbox:
    • https://api.dropboxapi.com
    • https://content.dropboxapi.com
  • Installare e configurare il software di sicurezza degli endpoint.
  • Aggiornare le regole pertinenti di monitoraggio della sicurezza di rete.

Appendice tecnica

Per rendere l'attribuzione più trasparente e incoraggiare una maggiore collaborazione tra i ricercatori, i campioni sono stati caricati su VirusTotal da IBM X-Force. 

Indicatore

Tipo di indicatore

Contesto

60f20be29cafea3402c8cb396
c1cb43ef21ec1b401ad1d4239c0
a990670daa8d

SHA256

Modulo principale crittografato "RDZXVh"

86b8d48df5787d57836276219
a9e3dbc0d7e56d68cf99b514a
ca55564f818182

SHA256

File di inizializzazione Sheriff "n5K3B"

8832fb7ef434a56f9d151d8e1eb
da94544a90a420fee0820b5b0
8d95224763f5

SHA256

Deputy Loader “t5cby.dll”

8c22326d08a6334181c06e25c6
df35032cd6916cfbe692d66fc8d
b3aa8b70e42

SHA256

Modulo di schermata crittografato "dowtuxZmI"

8d4df90f4e7fc6d9d08d4b5a27
2037ee7c565def9df180ad1eb08
efe8d357bd4

SHA256

Modulo principale Sheriff "1Pr3v"

92b9ef4e81610487ea9df255fa83
a8e6c3bd2726ccdb909988e8c8
b919506289

SHA256

File di configurazione Sheriff “mInv.cfg”

e2b892533bd4135004778783b95
e833fca6ee740bf0a1cb2d5d1a44b
93fd7962

SHA256

File ZIP del modulo schermata decrittografato

ec84ae8db92a88109bc68baefc3b
0a9de8579129d7a5a431072f09fdc
b8c7862

SHA256

Modulo schermata Sheriff "NeXSv"

f9e237a939b998fe071e0101904f7d
10cde6ce7b1cb4df1e7d345094af6b
048e

SHA256

Modulo di download Sheriff "DZtdI.dll"

http://ukr[.]net/8V3fDJ0U/RDZXV

URL

URL per il download di Sheriff. Nota: ukr.net è un sito web legittimo.

https://api.ipify[.]org

URL

Servizio legittimo utilizzato per determinare indirizzi IP pubblici, frequentemente abusato dagli autori di malware.

