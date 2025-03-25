IBM X-Force ha scoperto una serie di malware sconosciuti (backdoor Sheriff) utilizzati in un attacco di spionaggio informatico contro un settore della difesa ucraina nella prima metà del 2024. L'attore delle minacce ha utilizzato un popolare portale di notizie in Ucraina, ukr.net, per ospitare la backdoor Sheriff. La backdoor modulare può eseguire comandi diretti dagli attori, raccogliere schermate e esfiltrare segretamente i dati delle vittime utilizzando l'API di storage cloud di Dropbox. Durante l'indagine, X-Force ha identificato attività di minaccia simili a CloudWizard APT e Turla (alias ITG12), entrambi gruppi di minaccia legati alla Russia che hanno preso di mira entità ucraine.
Durante l'indagine, X-Force ha ricostruito la seguente catena di infezione:
Il campione analizzato è una DLL x86, contenente una singola esportazione "MyFunc". Contiene un percorso relativo codificato per la DLL del modulo Sheriff Downloader in una risorsa in lingua russa con il nome "LoaderPath". Il percorso codificato è
che è concatenato con il seguente percorso: “%USERPROFILE%\AppData\”.
La DLL utilizza quindi l'API CLRCreateInstance per ospitare il .NET Common Language Runtime (tempo di esecuzione). La funzione Loader.MainCycle.Run della DLL del Modulo Sheriff Downloader viene eseguita tramite il metodo ExecuteInDefaultAppDomain.
Questa tecnica è stata recentemente descritta in un post sul blog di X-Force come tecnica red team.
Deputy Loader fornisce anche i percorsi di entrambe le DLL come argomenti separati da un punto e virgola ("; ").
Il modulo Sheriff Downloader è una DLL .NET x86, che contiene una libreria (dotnetzip.dll) in una risorsa utilizzando Fody Costura.
La classe "MainCycle" contiene la funzione principale "Run", che inizia recuperando quattro valori memorizzati nelle risorse in lingua russa del binario:
Utilizzando questi, il campione tenta di scaricare un file da
nella cartella
Se il file esiste già, il download viene saltato e il malware agisce solo come caricatore.
Successivamente, decifra il payload tramite la libreria personalizzata "SymmetricCrypt" e la password "BS7imxwRXueassn". L'algoritmo sembra essere identico alla crittografia AES integrata in .NET(https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs).
Il file ZIP risultante viene estratto nella memoria, rivelando almeno due file ordinati in base alla dimensione. Infine, il primo file (Sheriff Main Module) viene caricato in modo riflessivo come assembly .NET, chiamando il metodo "MainClass.Run". L'ultimo file (Sheriff Init File) viene letto riga per riga e fornito all'assembly in esecuzione come argomento oggetto elenco, insieme ai percorsi della DLL Deputy Loader, della DLL Sheriff Downloader e del payload scaricato "RDZxVH".
L'URL del download solleva immediatamente preoccupazioni, poiché il ukr.net host è classificato come il quarto sito più visitato in Ucraina secondo Semrush. Ukr.net è anche un provider di servizi Internet (ISP), un popolare provider di e-mail e ospita uno dei più grandi portali di notizie in Ucraina, con oltre 100 milioni di visite al mese. Sebbene ukr.net sembri offrire anche servizi di hosting, generalmente non è possibile per gli utenti ospitare file su directory root arbitrarie sul server web principale. Pertanto, è probabile che l'attore delle minacce abbia compromesso ukr.net per allestire il payload backdoor criptato dello Sheriff all'inizio di marzo 2024.
Al momento dell'indagine, il payload non era disponibile e X-Force non è stata in grado di identificare altri payload dannosi ospitati su ukr.net. È possibile che l'accesso dell'attore delle minacce fosse limitato nella portata, disponibile solo per un breve periodo o intenzionalmente usato con parsimonia. L'accesso di un attore delle minacce al più grande portale di notizie ucraino gli permetterebbe di condurre una serie di attacchi ad alto impatto e operare con un oscuramento maggiore. In questo specifico incidente, l'attore delle minacce potrebbe aver abusato del dominio di fiducia per mettere in scena il malware senza destare sospetti.
Il modulo principale di Sheriff è una DLL x86 .NET, che contiene nuovamente una libreria (dotnetzip.dll) compressa in una risorsa, utilizzando Costura.
Quando viene eseguita per la prima volta, la funzione "Run" nella classe principale inizia leggendo gli argomenti ricevuti come una lista dal file di inizializzazione Sheriff. Assegna i seguenti valori:
Nella tabella seguente è riportata una spiegazione per ciascuno degli argomenti:
Nome
Spiegazione
|_symKey
|Chiave AES utilizzata per decifrare la configurazione
ConfName
Nome del file di configurazione
ModulsFolder
Nome della cartella utilizzata per scaricare ulteriori moduli
Carica cartella locale
Nome della cartella utilizzata per esfiltrare i dati
_defaultZipExt
Estensione predefinita usata per identificare file ZIP
refreshToken
Token di aggiornamento OAuth per l'autenticazione con l'API Dropbox
_guid
Stringa utilizzata insieme al numero di serie come ID della vittima
_asymPrivKey
Chiave privata RSA usata per decifrare moduli scaricati
_asymPubKey
Chiave pubblica RSA usata per criptare i dati prima dell'esfiltrazione
Le chiavi asimmetriche provengono da due diversi set di chiavi, che hanno impedito la decodifica dei dati di esfiltrazione durante l'indagine.
Successivamente, Sheriff crea le cartelle locali di caricamento e download. Se non presente, il file di configurazione mlvn.cfg viene scritto quando il modulo principale dello Sheriff viene eseguito per la prima volta. Successivamente, può essere letto e modificato per mantenere configurazioni separate per ogni modulo. Il file di configurazione decrittato contiene i seguenti valori per il modulo "principale", separati da un punto e virgola ("; "):
Durante l'indagine non è stato trovato alcun modulo "chiave". Questo modulo potrebbe essere stato responsabile di stabilire la persistenza per la DLL Deputy Loader, che scrive la seguente chiave di registro:
La chiave contiene il comando per eseguire l'esportazione MyFunc del Deputy Loader:
La comunicazione di comando e controllo è gestita tramite una classe "DbApiV2", che utilizza l'API di Dropbox per creare, trovare, scaricare, caricare, spostare e analizzare file e cartelle remote su Dropbox. Utilizza il token di aggiornamento per ottenere un token di accesso temporaneo per l'autenticazione tramite il seguente URL VIA® :
Questi endpoint API vengono utilizzati per gestire file e cartelle remoti:
Prima di tentare di scaricare i file, il modulo principale di Sheriff carica un messaggio di log contenente l'indirizzo IP pubblico della vittima e l'elenco dei moduli caricati. Il log viene criptato tramite XOR utilizzando l'ID vittima, costituito dal GUID (dagli argomenti o generato casualmente) e dal numero di serie. Dopo la crittografia, il registro viene caricato in una cartella Dropbox con un nome che corrisponde all'ID della vittima.
Tutti i file vengono recuperati dalla cartella Dropbox in /<victim_id>/Dow/ e scaricati nella cartella locale "ModulsFolder" codificata come "/DxyVS1". Dopo il download, tutti i file vengono cancellati immediatamente da Dropbox. Successivamente, discuteremo come i file scaricati vengono gestiti dal modulo principale.
Il processo di caricamento inizia enumerando tutti i file locali nella cartella "UploadLocalFolder", in questo caso codificati come "/gyTufW". A seconda delle loro estensioni, sono suddivisi in tre categorie:
La funzione "PreparingForUpload" comprimerà quindi tutti i file di testo chiaro in un nuovo file ZIP. Tutti i file ZIP vengono successivamente criptati usando una chiave AES generata casualmente, che a sua volta viene criptata con la chiave RSA pubblica e concatenata con il file criptato. Durante l'esecuzione, la funzione elimina tutti i file residui dalla cartella finché non rimangono solo i file completamente compressi e criptati. Questi vengono poi caricati nella cartella Dropbox in /<victim_id>/Up/,mentre vengono eliminati localmente.
Sia la funzione di caricamento che quella di download vengono eseguite in modo asincrono e con un timer codificato su 30 secondi nel campione analizzato.
Al momento dell'indagine, l'account Dropbox non ospitava più file, come indicato dall'uso dello spazio:
L'account Dropbox associato mostra le seguenti informazioni:
Il compito del modulo principale Sheriff è quello di fungere da orchestratore per avviare e gestire diversi moduli. Questi moduli possono essere scaricati tramite il processo descritto sopra, uno dei quali è stato scoperto durante l'indagine ("./DxyVS1/dowtuxZml").
La funzione "LoadModuls" scorre i file scaricati, decrittandoli utilizzando la chiave privata RSA e la chiave AES risultante. Il file ZIP decriptato contiene una stringa di commento, che viene utilizzata per analizzare il modulo:
Il commento è suddiviso in diversi valori tramite il simbolo pipe ("|") e ulteriormente in valori secondari separati da un punto e virgola ("; ").
Di seguito è riportata una descrizione dei valori dopo il parsing:
Sheriff accetta i seguenti comandi:
Comando e descrizione
La seconda tabella riporta un elenco di comandi che possono essere letti come file di testo utilizzando il comando "C":
Modello di comando
Descrizione
(tree)
<path_1>
<path_2>
...
Carica file da una lista di percorsi specificati.
(treedel)
<path_1>
<path_2>
...
Elimina i file da un elenco di percorsi specificati e carica un messaggio di registro "I file sono stati eliminati: <number_of_files> "
(cmd);
Esegue ciascun valore come comando separato in un nuovo processo "cmd.exe /c <value>", legge stdout e stderr e lo carica come file crittografato RSA su Dropbox.
[modname];
Inserisce la stringa completa nel file di configurazione. Tieni presente che il "modname" è identico al marcatore di un modulo.
{modname};
Se il "modname" è "Suicide", Sheriff eliminerà tutti i moduli, eliminerà tutti i file ed eseguirà uno script di pulizia. Se il "modname" corrisponde a un modulo caricato, invocherà il "KillMethod" ed eliminerà il file corrispondente.
Dopo che tutti i moduli sono stati caricati, la funzione "Run" del modulo principale itererà attraverso ogni modulo caricato e invocherà il "ConfigMethod", fornendo le impostazioni del modulo corrispondente come analizzate dal file di configurazione originale. Questo probabilmente permette agli operatori di aggiornare facilmente le configurazioni di diversi moduli mentre sono in esecuzione.
Uno dei moduli recuperati durante l'indagine è il modulo schermata. Quando il modulo viene caricato, riceve i seguenti argomenti dal modulo principale:
Il modulo contiene ancora un valore predefinito "tgr" per "defaultZip", che a quel punto viene sovrascritto. Utilizzando il "ConfigMethod" del modulo, il modulo principale è anche in grado di specificare i seguenti valori di configurazione:
Una volta avviato, il modulo verificherà ogni 5 secondi (TimerCount) se è possibile acquisire una schermata. Per fare una schermata, una delle seguenti condizioni deve essere vera:
Durante ogni scatto, se il numero di scatti raggiunge "ImageCount", le schermate esistenti vengono aggiunte a un file ZIP formattato come {0:yyyy.MM.dd_HH.mm.ss}.jpg usando l'oggetto "DateTime" della schermata.
Il nome del file ZIP è formattato come{0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> utilizzando l'oggetto "DateTime" a cui viene creato lo ZIP. Il file ZIP riceve anche un commento costituito dal marcatore del modulo ("scr"), come mostrato nella schermata seguente.
Il modulo principale dello sceriffo contiene anche una funzione Suicide, che può essere richiamata da remoto. La funzione interrompe tutte le attività di download e upload e poi scorre ogni modulo per richiamare il "KillMethod" corrispondente. Procede quindi a cancellare l'intera directory contenente il modulo principale e la cartella globale su Dropbox usata per la comunicazione C2. Successivamente, la funzione cerca il percorso della DLL del caricatore di prima fase (Deputy Loader) nelle chiavi secondarie del registro sottostanti:
Tutte le chiavi secondarie che contengono il percorso vengono successivamente eliminate.
Infine, Sheriff inserisce i percorsi del "loader" (Sheriff Downloader Module) e del "loadDll" (Deputy Loader) nel seguente file BAT, lo trascina in %TMP% e lo esegue:
Lo script sopra riportato eliminerà i file sia del modulo Sheriff Downloader che del Deputy Loader, nonché le rispettive directory, prima di eliminare se stesso.
Durante l'analisi, diversi indicatori iniziali indicano la presenza di attori delle minacce con sede in Russia, tra cui:
X-Force ritiene che la backdoor di Sheriff sia molto probabilmente uno strumento progettato per lo spionaggio informatico e la raccolta di informazioni, piuttosto che per reati informatici motivati da interessi economici. Il malware si concentra sull'esfiltrazione dei dati e sulla cattura di schermate, mantenendo un basso profilo progettato per compromissioni prolungate. È stato sviluppato con il chiaro intento di rimanere il più possibile segreto, assicurando che le comunicazioni e la maggior parte degli artefatti trasferiti sul disco rimangano crittografati. La comunicazione di rete rimane furtiva grazie all'abuso della legittima API di Dropbox così come di ukr.net, un sito web popolare in Ucraina, utilizzato per mettere in scena il malware. Sheriff implementa anche diverse funzioni autodistruttive per cancellare tracce dopo l'esecuzione. Infine, il codice ben strutturato, la struttura delle cartelle, l'implementazione modulare, la registrazione e la funzionalità completa e la configurabilità indicano un livello di sofisticazione elevato come ci si aspetterebbe da un gruppo sponsorizzato dallo stato.
L'indagine ha inoltre rivelato diverse piccole sovrapposizioni con campagne precedentemente documentate attribuite al noto gruppo di attori minacciosi con nexus russi Turla (noto anche come ITG12). Ad esempio, la backdoor Kazuar .NET del gruppo presenta diverse somiglianze con Sheriff, tra cui:
Si nota che anche la backdoor Crutch attribuita a Turla da ESET utilizza l'API di Dropbox per la comunicazione C2 in modo simile a Sheriff, sebbene non sia basata su .NET.
Ulteriore ricerca ha anche rivelato le sovrapposizioni di Sheriff con la backdoor Prikormka di Operazioni Groundbait, tra cui:
Kaspersky Labs ha successivamente documentato forti sovrapposizioni tra Prikormka e CloudWizard APT. X-Force ha anche notato diverse somiglianze tra Sheriff e CloudWizard, tra cui:
X-Force ritiene che la backdoor Sheriff sia stata utilizzata come parte di un'operazione mirata. Il malware è probabilmente collegato a CloudWizard APT, allineato alla Russia, che in passato è noto per aver preso di mira entità in Ucraina. La possibilità di connessione con il cluster di minacce Turla (ITG12) è minore a causa di piccole sovrapposizioni tra TTP e malware.
La backdoor Sheriff e il suo utilizzo nelle operazioni di spionaggio informatico descritte in questo rapporto presentano diverse caratteristiche interessanti. Innanzitutto, la backdoor Sheriff è uno strumento modulare di spionaggio ben progettato che consente un accesso a lungo termine all'ambiente della vittima. In secondo luogo, la sua struttura modulare e le sue caratteristiche di autodistruzione evidenziano la preoccupazione degli sviluppatori per il rilevamento e l'analisi dei loro strumenti. Inoltre, la capacità di infiltrare il malware su ukr.net è anche indicativa delle funzionalità avanzate dell'attore delle minacce.
X-Force raccomanda agli individui e alle entità associate al governo, al settore militare o della difesa dell'Ucraina di mantenere uno stato di sicurezza difensiva elevata e di:
Per rendere l'attribuzione più trasparente e incoraggiare una maggiore collaborazione tra i ricercatori, i campioni sono stati caricati su VirusTotal da IBM X-Force.
Indicatore
Tipo di indicatore
Contesto
60f20be29cafea3402c8cb396
SHA256
Modulo principale crittografato "RDZXVh"
86b8d48df5787d57836276219
SHA256
File di inizializzazione Sheriff "n5K3B"
8832fb7ef434a56f9d151d8e1eb
SHA256
Deputy Loader “t5cby.dll”
8c22326d08a6334181c06e25c6
SHA256
Modulo di schermata crittografato "dowtuxZmI"
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Modulo principale Sheriff "1Pr3v"
92b9ef4e81610487ea9df255fa83
SHA256
File di configurazione Sheriff “mInv.cfg”
e2b892533bd4135004778783b95
SHA256
File ZIP del modulo schermata decrittografato
ec84ae8db92a88109bc68baefc3b
SHA256
Modulo schermata Sheriff "NeXSv"
f9e237a939b998fe071e0101904f7d
SHA256
Modulo di download Sheriff "DZtdI.dll"
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
URL per il download di Sheriff. Nota: ukr.net è un sito web legittimo.
https://api.ipify[.]org
URL
Servizio legittimo utilizzato per determinare indirizzi IP pubblici, frequentemente abusato dagli autori di malware.
