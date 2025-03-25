IBM® X-Forceは、2024年上半期にウクライナの防衛部門内の組織に対するサイバー・スパイ攻撃に使用された、これまで知られていない一連のマルウェア（Sheriffバックドア）を発見しました。脅威アクターは、ウクライナで人気のニュース・ポータルであるukr.netを使用して、Sheriffバックドアをホストしました。このモジュール式バックドアは、アクターが指示したコマンドを実行し、スクリーンショットを収集し、Dropboxのクラウド・ストレージAPIを利用して被害者のデータを秘密裏に窃取する機能を備えています。調査の中でX-Forceは、ウクライナの組織を標的としてきたロシア関連の脅威グループであるCloudWizard APTとTurla（別名ITG12）に似た脅威アクティビティーを確認しました。
調査の中で、X-Forceは次のような感染チェーンを再現しました。
分析したサンプルはx86 DLLで、単一のエクスポート関数"MyFunc"が含まれています。DLLの中には"LoaderPath"という名前のロシア語のリソースがあり、その中にSheriff DownloaderモジュールDLLの相対パスがハードコードされていました。ハードコードされていたパスは次の通りです。
これは、次のパス：「%USERPROFILE%\AppData\」で連結されています。
続いて、DLLはCLRCreateInstance APIを使用して.NET共通言語ランタイム（CLR）をホストします。Sheriff DownloaderモジュールDLLの関数Loader.MainCycle.Runが、ExecuteInDefaultAppDomainメソッドを通じて実行されます。
この手法については、最近のX-Forceのブログ記事で、レッド・チーム手法として詳しく説明しています。
また、Deputy Loaderは、両方のDLLのパスを、セミコロン（;）区切りの引数として渡します。
Sheriff Downloaderモジュールはx86 .NET DLLで、ライブラリー（dotnetzip.dll）がFody Costuraを使用してリソースに埋め込まれています。
クラス"MainCycle"にメイン関数"Run"があります。この関数はまず、バイナリーのロシア語リソースに格納されている4つの値を取得します。
これらを使用して、サンプルは次の場所からファイルのダウンロードを試みます。
ダウンロード先は次のフォルダーです。
ファイルが既に存在する場合、ダウンロードの動作はスキップされ、マルウェアはローダーとしてのみ機能します。
次に、カスタム実装された"SymmetricCrypt"ライブラリーとパスワード"BS7imxwRXueassn"を使用して、ペイロードを復号化します。このアルゴリズムは、.NETの組み込みのAES暗号化（https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs）と同一のようです。
こうして得られたZIPファイルはメモリー内で展開され、ファイル・サイズ順にソートされた少なくとも2つのファイルが取り出されます。最後に、リフレクションを使用して先頭のファイル（Sheriff Mainモジュール）が.NETアセンブリとしてロードされ、"MainClass.Run"メソッドが呼び出されます。末尾のファイル（Sheriff初期化ファイル）は1行ずつ読み込まれ、リスト・オブジェクト引数として、Deputy Loader DLL、Sheriff Downloader DLL、ダウンロードされたペイロード"RDZXVh"のそれぞれのパスとともに、実行アセンブリに渡されます。
ダウンロードURLには直ちに危惧を覚えます。 Semrushによると 、ホストの ukr.net は、ウクライナで4番目に訪問者数が多いWebサイトであるからです。また、ukr.netはインターネット・サービス・プロバイダー（ISP）でもあり、人気のEメール・プロバイダーでもあり、ウクライナ最大級のニュース・ポータルもホストしていて、月間のアクセス数は1億回を超えています。ukr.netはホスティング・サービスも提供しているようですが、メインのWebサーバー上の任意のルート・ディレクトリーにユーザーがファイルをホストすることは、通常は不可能です。したがって、おそらく脅威アクターは、暗号化されたSheriffバックドアのペイロードを2024年3月初旬にステージングするために、ukr.netを侵害したものと考えられます。
調査時点では、このペイロードは提供されておらず、X-Forceの調査では、ukr.netでホストされているその他の悪意のあるペイロードも確認できませんでした。脅威アクターによるアクセスの範囲が限定的だった可能性や、短期間のみ提供されていた可能性、あえて控えめに使用していた可能性があります。ウクライナで最大級のニュース・ポータルにアクセスした脅威アクターは、影響力の大きいさまざまな攻撃の実行や、より強力な難読化を利用した活動が可能になります。このインシデントに関しては、信頼されているドメインを脅威アクターが悪用して、疑いを持たれずにマルウェアをステージングした可能性があります。
Sheriff Mainモジュールはx86 .NET DLLで、ここでもライブラリー（dotnetzip.dll）がCosturaを使用してリソースに埋め込まれています。
最初の実行時に、メイン・クラスの"Run"関数はまず、Sheriff初期化ファイルからリストとして受け取った引数を読み取ります。次の値を代入します。
次の表は、それぞれの引数の説明です。
名前
解説
|_symKey
|設定の復号化に使用されるAES鍵
ConfName
設定ファイルのファイル名
ModulsFolder
追加のモジュールのダウンロードに使用されるフォルダーの名前
UploadLocalFolder
データの窃取に使用されるフォルダーの名前
_defaultZipExt
ZIPファイルを識別するためのデフォルトの拡張子
refreshToken
Dropbox APIでの認証用のOAuthリフレッシュ・トークン
_guid
シリアル番号とともに被害者IDとして使用される文字列
_asymPrivKey
ダウンロードしたモジュールの復号化に使用されるRSA秘密鍵
_asymPubKey
窃取前のデータの暗号化に使用されるRSA公開鍵
これらの非対称鍵は2つの異なる鍵セットのものであるため、調査の中で窃取データを復号化することはできませんでした。
次にSheriffは、ローカルのアップロード・フォルダーとダウンロード・フォルダーを作成します。設定ファイルmlvn.cfgが存在しない場合は、Sheriff Mainモジュールの最初の実行時に作成されます。その後、このファイルの読み取りと修正によって、モジュールごとに個別の設定を保持できます。復号化した設定ファイルには、"main"モジュールの次の値が、セミコロン（;）区切りで記述されています。
調査の中では"key"モジュールは見つかりませんでした。このモジュールはDeputy Loader DLLの永続性の確立に関与していた可能性があり、次のレジストリ・キーを書き込みます。
このキーには、Deputy LoaderのMyFuncエクスポートを実行するコマンドが次のように含まれています。
コマンド・アンド・コントロール通信はクラス"DbApiV2"を通じて管理されます。このクラスは、Dropbox APIを使用して、Dropbox上のリモート・ファイルやフォルダーの作成、検索、ダウンロード、アップロード、移動、解析を行います。リフレッシュ・トークンを使用して、認証用の一時アクセス・トークンを次のURL経由で取得します。
リモート・ファイルやフォルダーの管理には次のAPIエンドポイントが使用されます。
Sheriff Mainモジュールは、ファイルのダウンロードを試みる前に、被害者のパブリックIPアドレスと、ロードされたモジュールのリストを含むログ・メッセージをアップロードします。このログは、GUID（引数またはランダムに生成されたもの）とシリアル番号で構成される被害者IDを使用してXOR暗号化されます。暗号化されたログは、被害者IDと一致する名前のDropboxフォルダーにアップロードされます。
すべてのファイルは、Dropboxフォルダー/<victim_id> /Dow/から取得され、"/DxyVS1"としてハードコードされているローカルの"ModulsFolder"にダウンロードされます。ダウンロード後、すべてのファイルがDropboxから直ちに削除されます。ここからは、ダウンロードしたファイルをメイン・モジュールがどのように処理するかについて説明します。
アップロード・プロセスではまず、"UploadLocalFolder"内のすべてのローカル・ファイルを列挙します。この例では、このフォルダーは"/gyTufW"とハードコードされています。ファイルは拡張子によって次の3つのカテゴリーに分類されます。
続いて、"PreparingForUpload"関数が、すべての平文ファイルを新しいZIPファイルに圧縮します。その後、ランダムに生成されたAES鍵を使用してすべてのZIPファイルが暗号化され、さらにそのAES鍵が公開RSA鍵を使用して暗号化されて、前者の暗号化ファイルと連結されます。この関数は実行中に、フォルダーに残った余分なファイルをすべて削除し、完全に圧縮および暗号化されたファイルのみを残します。そして、これらのファイルは/<victim_id>/Up/のDropboxフォルダーにアップロードされ、ローカルからは削除されます。
アップロード関数とダウンロード関数はどちらも非同期で実行されます。分析されたサンプルでは、ハードコードされた30秒のタイマーで動作します。
調査時点で、このDropboxアカウントにはファイルが何も保存されていませんでした。これは、次に示すスペース使用量からわかります。
関連付けられたDropboxアカウントには、次の情報が表示されます。
Sheriffのメイン・モジュールの任務は、さまざまなモジュールを起動および管理するオーケストレーターの役割を果たすことです。これらのモジュールは、上述のプロセスを通じてダウンロードされる可能性があり、調査中にその1つが発見されました（"./DxyVS1/dowtuxZml"）。
"LoadModuls"関数は、ダウンロードした各ファイルに対して反復処理を行い、RSA秘密鍵と、取り出したAES鍵を使用して、ファイルを復号化します。復号化したZIPファイルにはコメント文字列が含まれており、これがモジュールの解析に使用されます。
コメントは、パイプ記号（|）でいくつかの値に分かれており、さらにセミコロン（;）区切りでサブ値に細分化されています。
解析後の値の説明は次のとおりです。
Sheriffは次のコマンドを受け入れます。
コマンドと説明
次の2番目の表は、"C"コマンドでテキスト・ファイルとして読み取ることができるコマンドの一覧を示しています。
コマンド・パターン
説明
(tree)
<path_1>
<path_2>
...
指定されたパスのリストからファイルをアップロードします。
(treedel)
<path_1>
<path_2>
...
指定したパスのリストからファイルを削除し、ログ・メッセージ「ファイルが削除されました:<number_of_files> 」をアップロードします。
(cmd);
新しいプロセス「cmd.exe /c <value>」で各値を個別のコマンドとして実行し、stdout と stderr を読み取り、RSA 暗号化ファイルとしてDropbox にアップロードします。
[modname];
完全な文字列を設定ファイルに挿入します。なお、「modname」はモジュールのマーカーと同一です。
{modname};
"modname"が"Suicide"の場合、Sheriffはすべてのモジュールを強制終了し、すべてのファイルを削除して、クリーンアップ・スクリプトを実行します。"modname"がロードされたモジュールと一致する場合、"KillMethod"を呼び出し、対応するファイルを削除します。
すべてのモジュールがロードされると、メイン・モジュールの"Run"関数は、ロードされた各モジュールに対して反復処理を行い、"ConfigMethod"を呼び出します。その際、元の設定ファイルから解析された当該モジュールの設定を渡します。これにより、オペレーターが実行中にいくつかのモジュールの設定を簡単に更新できるようにしているものと考えられます。
調査の中で得られたモジュールの1つがScreenshotモジュールです。このモジュールは、ロードされるときに、メイン・モジュールから次の引数を受け取ります。
このモジュールには、"defaultZip"のデフォルト値"tgr"がやはり含まれていますが、この時点で上書きされます。また、モジュールの"ConfigMethod"を使用して、メイン・モジュールは次の設定値も指定できます。
モジュールは、起動後は5秒（TimerCount）ごとに、スクリーンショットを撮影できるかどうかを確認します。スクリーンショットを撮影するには、次の条件のいずれかを満たしている必要があります。
それぞれの撮影で、撮影数が"ImageCount"に達すると、そこまでのスクリーンショットが{0:yyyy.MM.dd_HH.mm.ss}.jpgという形式の名前でZIPファイルに追加されます。その際、スクリーンショットの"DateTime"オブジェクトが使用されます。
ZIPファイルの名前は{0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip>という形式になります。その際、ZIPが作成された日時を表す"DateTime"オブジェクトが使用されます。次のスクリーンショットに示すように、ZIPファイルには、モジュールのマーカー（"scr"）で構成されるコメントも追加されます。
Sheriffのメイン・モジュールには、リモートで呼び出せるSuicide関数も含まれています。この関数は、すべてのダウンロードとアップロードの活動を停止し、各モジュールに対する反復処理を行って、それぞれに対応する"KillMethod"を呼び出します。次に、メイン・モジュールを含むディレクトリー全体と、C2通信に使用したDropbox上のグローバル・フォルダーを削除します。続いてこの関数は、次に示すレジストリ・サブキーから、最初のステージのローダー（Deputy Loader）のDLLのパスを検索します。
そのパスを含むサブキーは、その後削除されます。
最後にSheriffは、"loader"（Sheriff Downloaderモジュール）と"loadDll"（Depty Loader）のパスを次のBATファイルに挿入し、％TMP％にドロップして実行します。
上記のスクリプトは、Sheriff DownloaderモジュールとDeputy Loaderの両方のファイルと、それぞれのディレクトリーを削除したうえで、このスクリプト自身を削除します。
分析の中では、ロシアを拠点とする脅威アクターであることを示す次のような特徴が、初期段階で確認されています。
X-Forceは、Sheriffバックドアは金銭目的のサイバー犯罪ではなく、サイバー・スパイ活動や情報収集を目的としたツールである可能性が最も高いと判断しています。このマルウェアは、データの窃取とスクリーンショットの撮影に重点を置きつつ、長期にわたって侵害を続けられるよう、常にその存在が目立たないようにしています。可能な限り隠密にするという明確な目的のもとに開発されており、その通信や、ディスクにドロップされるアーティファクトは常に暗号化されます。正規のDropbox APIや、ウクライナで人気のWebサイトであるukr.netを悪用することで、ネットワーク通信を秘密裏に行い、マルウェアのステージングに利用しています。Sheriffには、実行後に痕跡を消去するための自己破壊的な関数もいくつか実装されています。最後に、適切に構造化されたコード、フォルダー構造、モジュール式の実装、ロギング、包括的な機能と設定への対応には、国家支援のグループで想定されるような洗練度の高さが表れています。
調査では、ロシア関連の既知の脅威アクター・グループTurla（別名ITG12）によるものとして以前報告されたキャンペーンとの表面的な共通点もいくつか明らかになりました。例えば、このグループのKazuar .NETバックドアは、次のようないくつかの点がSheriffと類似しています。
注目すべきことに、TurlaによるものとESETが述べているCrutchバックドアも、Sheriffと同様の方法でDropbox APIをC2通信に使用しています。ただしCrutchは.NETベースではありません。
さらに研究を進めると、SheriffはOperation GroundbaitのPrikormkaバックドアとも次のような共通点があることが判明しました。
Kaspersky Labsは後に、PrikormkaとCloudWizard APTの間に数多くの共通点があることを立証しました。またX-Forceは、SheriffとCloudWizardの間にも次のような類似点があることを確認しました。
Sheriffバックドアは、特定の標的に向けた活動の一環として使用されたとX-Forceは考えています。このマルウェアは、ロシアとつながりのあるCloudWizard APTに関連している可能性があります。CloudWizard APTは、過去にウクライナの組織を標的にしていたことが知られています。Turla（ITG12）脅威クラスターとのつながりについては、TTPやマルウェアの共通点が表面的であることから、可能性はより低くなります。
このレポートで詳述したSheriffバックドアと、サイバー・スパイ活動における同バックドアの使用には、いくつかの興味深い特徴が見られます。第一に、Sheriffバックドアは、被害者の環境への長期的なアクセスを可能にする、巧妙に設計されたモジュール式のスパイ・ツールです。第二に、そのモジュール式の構造と自己破壊機能が示すように、開発者はツールの検知と分析が行われることを懸念しています。さらに、ukr.net上にマルウェアをステージングできるという点からも、この脅威アクターが高度な能力を持つことがわかります。
X-Forceは、ウクライナの官公庁、軍隊、防衛セクターに関係する個人と組織に対し、防御セキュリティーが強化された状態を維持し、以下を実施するよう推奨しています。
帰属の透明性を高め、研究者間の共同作業を促進するために、サンプルはIBM X-ForceによってVirusTotalにアップロードされました。
分類
インジケーターの種類
コンテキスト
60f20be29cafea3402c8cb396
SHA256
暗号化されたMainモジュール"RDZXVh"
86b8d48df5787d57836276219
SHA256
Sheriff初期化ファイル“n5K3B”
8832fb7ef434a56f9d151d8e1eb
SHA256
Deputy Loader "t5cby.dll"
8c22326d08a6334181c06e25c6
SHA256
暗号化されたScreenshotモジュール"dowtuxZmI"
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Sheriff Mainモジュール"1Pr3v"
92b9ef4e81610487ea9df255fa83
SHA256
Sheriff設定ファイル"mInv.cfg"
e2b892533bd4135004778783b95
SHA256
復号化されたScreenshotモジュールのZIPファイル
ec84ae8db92a88109bc68baefc3b
SHA256
Sheriff Screenshotモジュール"NeXSv"
f9e237a939b998fe071e0101904f7d
SHA256
Sheriff Downloaderモジュール"DZtdI.dll"
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
SheriffのダウンロードURL。注記：ukr.netは正規のWebサイトです。
https://api.ipify[.]org
URL
パブリックIPアドレスを特定するために使われる正規サービス。マルウェア作成者が頻繁に悪用しています。
IBM X-Force Premier Threat Intelligenceは、OpenCTIと統合され、この脅威アクティビティーやその他に関して、実用的な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種のリスクについてのインサイトにアクセスしましょう。OpenCTIコネクターをインストールして、検知と対応を強化し、IBM X-Forceの専門知識を活用してサイバーセキュリティを強化してください。一歩先へ—今すぐ統合しましょう。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
組織のインシデント対応プログラムを改善し、侵害の影響を最小限に抑え、サイバーセキュリティー・インシデントへの迅速な対応を実現します。
IBMの脅威検知および対応ソリューションを使用して、セキュリティーを強化し、脅威の検知を迅速化します。
インテリジェントな自動化およびオーケストレーション・ソリューションで、意思決定プロセスを最適化し、SOC効率を向上させ、インシデント対応を迅速化します。
