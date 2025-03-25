IBM X-Force는 2024년 상반기에 우크라이나 방산 기업에 대한 사이버 스파이 공격에 사용된 이전에 알려지지 않은 멀웨어 세트(Sheriff 백도어)를 발견했습니다. 위협 행위자는 우크라이나의 인기 뉴스 포털 ukr.net을 사용하여 Sheriff 백도어를 호스팅했습니다. 모듈식 백도어는 행위자가 지시한 명령을 실행하고, 스크린샷을 수집하고, Dropbox 클라우드 스토리지 API를 사용하여 피해자 데이터를 은밀하게 유출할 수 있습니다. 조사 과정에서 X-Force는 CloudWizard APT 및 Turla (일명 ITG12) 와 유사한 위협 활동을 확인했습니다. 둘 다 우크라이나 기업을 표적으로 삼은 러시아 기반 위협 그룹입니다.
조사 과정에서 X-Force는 다음과 같은 감염 체인을 재구성했습니다.
분석된 샘플은 단일 내보내기 "MyFunc"를 포함하는 x86 DLL입니다. 이 DLL은 "LoaderPath"라는 이름의 러시아어 리소스 안에 Sheriff Downloader Module DLL로 향하는 하드코딩된 상대 경로를 포함합니다. 하드코딩된 경로는 다음과 같습니다.
이는 “%USERPROFILE%\AppData\” 경로와 연결됩니다.
그 후 DLL은 CLRCreateInstance API를 사용하여 .NET 공용 언어 런타임(CLR)을 호스팅합니다. Sheriff Downloader Module DLL의 Loader.MainCycle.Run 함수는 ExecuteInDefaultAppDomain 메서드를 통해 실행됩니다.
이 기법은 최근 X-Force의 블로그 게시물에서 레드팀 기술로 설명되었습니다.
Deputy Loader는 두 DLL의 경로를 세미콜론(";")으로 구분된 인자로 전달합니다.
Sheriff Downloader 모듈은 라이브러리(dotnetzip.dll)을 포함한 x86 .NET DLL로 Fody Costura를 사용하여 리소스에 패키징되었습니다.
"MainCycle" 클래스는 메인 함수 "Run"을 포함하며, 이 함수는 바이너리의 러시아어 리소스에 저장된 네 개의 값을 불러오는 것으로 시작합니다.
이 값들을 사용하여 샘플은 다음 위치에서 파일을 다운로드하려 시도합니다.
그리고 다음 폴더로 저장하려 합니다.
파일이 이미 존재하면 다운로드는 생략되고, 악성코드는 로더 역할만 수행합니다.
그런 다음 사용자 정의로 구현된 "SymmetricCrypt" 라이브러리와 비밀번호 "BS7imxwRXueassn"로 페이로드를 해독합니다. 이 알고리즘은 .NET에 내장된 AES 암호화(https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs)와 동일한 것으로 보입니다.
생성된 ZIP 파일은 메모리에서 추출되며, 최소 두 개 이상의 파일이 나타나고 파일 크기 순으로 정렬됩니다. 마지막으로 첫 번째 파일(Sheriff Main Module)은 리플렉션 방식으로 .NET 어셈블리로 로드되며, "MainClass.Run" 메서드가 호출됩니다. 마지막 파일(Sheriff Init File)은 한 줄씩 읽혀 리스트 객체 인자로 실행 중인 어셈블리에 전달되며, 이때 Deputy Loader DLL, Sheriff Downloader DLL, 다운로드된 페이로드 “RDZXVh”의 경로도 함께 전달됩니다.
다운로드 URL은 즉시 의심을 불러일으키는데, Semrush에 따르면 ukr.net은 우크라이나에서 네 번째로 방문이 많은 웹사이트이기 때문입니다. Ukr.net은 인터넷 서비스 제공업체(ISP)이자 인기 있는 이메일 제공업체이며, 월 1억 회 이상의 방문을 기록하는 우크라이나의 대형 뉴스 포털을 운영합니다. ukr.net이 호스팅 서비스를 제공할 수는 있으나, 일반 사용자가 메인 웹 서버의 루트 디렉터리에 임의로 파일을 호스팅하는 것은 일반적으로 불가능합니다. 따라서 위협 행위자가 2024년 3월 초 암호화된 Sheriff 백도어 페이로드를 배포하기 위해 ukr.net을 침해했을 가능성이 높습니다.
조사 당시 페이로드를 사용할 수 없었고 X-Force는 ukr.net 에서 호스팅되는 다른 악성 페이로드를 식별할 수 없었습니다.위협 행위자의 액세스 범위가 제한되거나, 짧은 기간 동안만 사용 가능했거나, 의도적으로 아껴서 사용했을 수 있습니다. 위협 행위자가 우크라이나 최대 뉴스 포털에 액세스하면 영향력이 큰 다양한 공격을 수행하고 향상된 난독화를 통해 활동할 수 있습니다. 이 특정 사건에서 위협 행위자는 신뢰할 수 있는 도메인을 악용하여 의심받지 않고 멀웨어를 스테이징했을 수 있습니다.
Sheriff Main Module은 x86 .NET DLL이며, 그 안에는 dotnetzip.dll 라이브러리를 포함합니다. 이 라이브러리는 Costura를 사용하여 리소스로 패킹되어 있습니다.
최초 실행 시, 메인 클래스의 "Run" 함수는 Sheriff 초기화 파일에서 리스트 형태로 전달된 인자를 읽는 것으로 시작합니다. 이 과정에서 다음 값들이 설정됩니다.
아래 표는 각 인자에 대한 설명을 제공합니다.
이름
설명
|_symKey
|구성을 복호화하는 데 사용되는 AES 키
ConfName
구성 파일의 이름
ModulsFolder
추가 모듈을 다운로드하는 데 사용되는 폴더 이름
UploadLocalFolder
데이터 유출에 사용되는 폴더 이름
_defaultZipExt
ZIP 파일을 식별하는 데 사용되는 기본 확장자
refreshToken
Dropbox API 인증에 사용되는 OAuth refresh token
_guid
시리얼 번호와 함께 피해자 ID로 사용되는 문자열
_asymPrivKey
다운로드한 모듈의 암호를 해독하는 데 사용되는 RSA 개인 키
_asymPubKey
데이터 유출 전 암호화에 사용되는 RSA 공개키
비대칭 키는 서로 다른 두 세트의 키로 구성되어 있어 조사 중에 유출 데이터의 암호 해독을 수행할 수 없었습니다.
다음으로 Sheriff는 로컬 업로드 및 다운로드 폴더를 생성합니다. 존재하지 않는 경우, mlvn.cfg 구성 파일은 Sheriff Main Module이 처음 실행될 때 생성됩니다. 그 이후에는 각 모듈별 개별 구성을 유지하도록 읽고 수정할 수 있습니다. 복호화된 구성 파일은 "main" 모듈에 대해 세미콜론(";")으로 구분된 다음 값을 포함합니다.
조사 기간 동안 "key" 모듈은 발견되지 않았습니다. 이 모듈은 다음 레지스트리 키를 작성하여 Deputy Loader DLL의 지속성을 설정하는 역할을 했을 가능성이 있습니다.
이 키에는 Deputy Loader의 MyFunc export를 실행하는 명령이 포함됩니다:
명령 및 제어(C2) 통신은 "DbApiV2" 클래스에서 관리되며, 이 클래스는 Dropbox API를 사용하여 Dropbox의 원격 파일과 폴더를 생성, 검색, 다운로드, 업로드, 이동, 파싱합니다. 이는 다음 URL을 통해 인증용 임시 액세스 토큰을 얻기 위해 새로고침 토큰을 사용합니다.
다음 API 엔드포인트는 원격 파일과 폴더 관리를 위해 사용됩니다.
파일 다운로드를 시도하기 전에 Sheriff Main Module은 피해자의 공인 IP 주소와 로드된 모듈 목록을 포함하는 로그 메시지를 업로드합니다. 로그는 인자에서 전달되거나 무작위로 생성된 GUID와 시리얼 번호로 구성된 피해자 ID를 사용해 XOR 암호화됩니다. 암호화된 로그는 피해자 ID와 동일한 이름의 Dropbox 폴더에 업로드됩니다.
모든 파일은 /<victim_id>/Dow/ 경로의 Dropbox 폴더에서 가져와 "/DxyVS1"로 하드코딩된 로컬 "ModulsFolder"에 다운로드됩니다. 다운로드 후 파일은 Dropbox에서 즉시 삭제됩니다. 다음으로, 다운로드된 파일이 메인 모듈에서 처리되는 방식을 설명합니다.
업로드 프로세스는 "/gyTufW"로 하드코딩된 "UploadLocalFolder"의 모든 로컬 파일을 열거하는 것으로 시작합니다. 확장자에 따라 파일은 세 가지 범주로 분류됩니다.
"PreparingForUpload" 함수는 나머지 일반 텍스트 파일을 새 ZIP 파일로 압축합니다. 모든 ZIP 파일은 무작위로 생성된 AES 키로 암호화되며, 이 AES 키는 다시 RSA 공개키로 암호화되어 암호화된 파일과 결합됩니다. 실행 과정에서 폴더에는 완전하게 압축 및 암호화된 파일만 남도록 나머지 파일은 모두 삭제됩니다. 이 파일들은 /<victim_id>/Up/ 경로의 Dropbox 폴더에 업로드되며, 업로드 후 로컬에서는 삭제됩니다.
업로드 및 다운로드 함수는 모두 비동기적으로 실행되며, 분석된 샘플에서는 30초로 하드코딩된 타이머로 작동합니다.
조사 당시 Dropbox 계정에는 공간 사용량을 기준으로 볼 때 더 이상 파일이 존재하지 않았습니다.
연결된 Dropbox 계정에는 다음 정보가 표시됩니다.
Sheriff 메인 모듈의 역할은 다양한 모듈을 실행하고 관리하는 오케스트레이터 역할입니다. 이 모듈들은 앞서 설명한 프로세스를 통해 다운로드될 수 있으며, 조사 과정에서 "./DxyVS1/dowtuxZml" 모듈이 확인되었습니다.
"LoadModuls" 함수는 다운로드한 파일을 반복하면서 RSA 개인 키와 결과 AES 키를 사용하여 파일의 암호를 해독합니다. 해독된 ZIP 파일에는 모듈을 구문 분석하는 데 사용되는 주석 문자열이 포함되어 있습니다:
주석(comment)은 파이프("|") 기호로 여러 값으로 분리되며, 다시 세미콜론(";")으로 하위 값으로 분리됩니다.
다음은 파싱 후 각 값에 대한 설명입니다.
Sheriff는 다음 명령을 허용합니다.
명령 및 설명
두 번째 표는 "C" 명령을 사용해 텍스트 파일로 읽힐 수 있는 명령 목록을 설명합니다.
명령 패턴
설명
(tree)
<path_1>
<path_2>
...
지정된 경로 목록에서 파일을 업로드합니다.
(treedel)
<path_1>
<path_2>
...
지정된 경로 목록에서 파일을 삭제하고 “Files were deleted: <number_of_files>“라는 로그 메시지를 업로드합니다.
(cmd);
각 값을 새 프로세스 "cmd.exe /c"에서 별도의 명령어로 실행하고, stdout과 stderr을 읽어 RSA로 암호화된 파일로 Dropbox에 업로드합니다.
[modname];
전체 문자열을 구성 파일에 삽입합니다. "modname"은 모듈의 마커와 동일합니다.
{modname};
"modname"이 "Suicide"이면 Sheriff는 모든 모듈을 종료하고 모든 파일을 삭제한 다음 클린업 스크립트를 실행합니다. "modname"이 로드된 모듈과 일치하면 "KillMethod"를 호출하고 해당 파일을 삭제합니다.
모든 모듈이 로드되면 기본 모듈의 "실행" 기능이 로드된 각 모듈을 반복하고 "ConfigMethod"를 호출하여 원래 구성 파일에서 구문 분석된 대로 해당 모듈의 설정을 제공합니다. 이를 통해 운영자는 실행 중에 여러 모듈의 구성을 쉽게 업데이트할 수 있습니다.
조사 중에 검색된 모듈 중 하나는 스크린샷 모듈입니다. 이 모듈이 로드되면, 메인 모듈로부터 다음 인자들을 전달받습니다.
이 모듈은 여전히 "defaultZip"에 대한 기본값 "tgr"을 포함하고 있으며, 이 값은 해당 지점에서 덮어써집니다. 모듈의 "ConfigMethod"를 사용하여 메인 모듈은 다음 구성 값을 설정할 수도 있습니다.
모듈이 시작되면, 5초마다(TimerCount) 스크린샷 촬영 가능 여부를 확인합니다. 스크린샷 촬영을 위해서는 다음 조건 중 하나가 참이어야 합니다.
각 촬영 시, 총 촬영 수가 "ImageCount"에 도달하면 기존 스크린샷들은 스크린샷의 "DateTime" 객체를 사용하여 {0:yyyy.MM.dd_HH.mm.ss}.jpg형식으로 ZIP 파일에 추가됩니다.
ZIP 파일 이름은 ZIP이 생성된 시점의 "DateTime" 객체를 사용하여 {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> 형식으로 지정됩니다. ZIP 파일에는 아래 스크린샷과 같이 모듈의 marker("scr")가 주석으로 포함됩니다.
Sheriff 메인 모듈은 원격으로 호출할 수 있는 Suicide 함수를 또한 포함합니다. 이 함수는 모든 다운로드 및 업로드 활동을 중지한 뒤, 각 모듈을 순회하며 해당하는 "KillMethod" 함수를 호출합니다. 그 후 메인 모듈이 포함된 전체 디렉터리와 C2 통신에 사용되는 Dropbox의 글로벌 폴더를 삭제합니다. 다음으로, 이 함수는 아래의 레지스트리 하위 키들 내에서 1단계 로더(Deputy Loader) DLL의 경로를 검색합니다:
경로를 포함하는 모든 하위 키는 삭제됩니다.
마지막으로 Sheriff는 "loader"(Sheriff Downloader Module)와 "loadDll"(Deputy Loader)의 경로를 다음 BAT 파일에 삽입한 뒤 %TMP%에 저장하고 실행합니다.
위 스크립트는 Sheriff Downloader Module과 Deputy Loader의 파일 및 해당 디렉터리를 모두 삭제한 후, 마지막으로 자기 자신도 삭제합니다.
분석 과정에서 여러 초기 지표는 러시아 기반 위협 행위자를 가리켰는데, 그 예시는 다음과 같습니다.
X-Force는 Sheriff 백도어가 금전적 목적의 사이버 범죄가 아니라 사이버 첩보 및 정보 수집을 위해 설계된 툴일 가능성이 가장 높다고 평가합니다. 이 악성코드는 장기적인 침해 상태를 유지하기 위해 은밀하게 동작하면서 데이터 유출 및 스크린샷 촬영에 중점을 둡니다. 통신 및 디스크에 기록되는 대부분의 아티팩트가 암호화된 상태로 남도록, 가능한 한 은밀하게 동작하도록 분명한 의도를 갖고 개발되었습니다. 네트워크 통신은 악성코드를 스테이징하는 데 사용되는 우크라이나의 인기 웹사이트 ukr.net과 합법적인 Dropbox API를 악용함으로써 은밀하게 유지됩니다. Sheriff는 실행 후 흔적을 삭제하기 위한 여러 자체 파괴 함수를 구현합니다. 마지막으로, 잘 구성된 코드와 폴더 구조, 모듈식 구현, 로깅, 포괄적인 기능 및 구성 가능성은 국가 지원 그룹에서 기대되는 높은 수준의 정교함을 보여줍니다.
조사에서는 러시아 연계 위협 그룹 Turla(ITG12)로 알려진 기존 캠페인과의 몇 가지 경미한 유사점도 확인되었습니다. 예를 들어, 이 그룹의 Kazuar .NET 백도어는 Sheriff와 다음과 같은 여러 유사점을 보입니다.
주목할 만한 점은 ESET이 Turla에서 발견한 Crutch 백도어 역시 .NET 기반은 아니지만 Sheriff와 비슷한 방식으로 C2 통신에 Dropbox API를 사용한다는 점입니다.
추가 조사에서는 Operation Groundbait의 Prikormka 백도어와의 공통점도 발견되었습니다:
Kaspersky Labs는 이후 Prikormka와 CloudWizard APT 간의 강한 연관성을 문서화했습니다. X-Force는 Sheriff와 CloudWizard 사이에서도 여러 유사점을 확인했습니다.
X-Force는 Sheriff 백도어가 표적화된 작전의 일부로 사용되었을 가능성이 크다고 판단합니다. 이 악성코드는 과거 우크라이나 기관을 표적으로 삼아온 러시아 연계 CloudWizard APT와 관련될 가능성이 있습니다. TTP와 악성코드의 일부 소규모 유사성이 존재하지만 Turla(ITG12)와의 연관성은 비교적 낮습니다.
이 보고서에 상세히 설명된 Sheriff 백도어와 그 사이버 첩보 활동 활용 사례는 여러 흥미로운 특징을 보여줍니다. 첫째, Sheriff 백도어는 피해자 환경에 장기적 접근을 가능하게 하는 잘 설계된 모듈형 첩보 툴입니다. 둘째, 모듈형 구조와 자기 삭제 기능은 개발자가 탐지 및 분석을 우려하여 설계했음을 보여줍니다. 셋째, ukr.net에서 악성코드를 스테이징할 수 있는 능력은 해당 위협 행위자의 고급 역량을 나타냅니다.
X-Force는 우크라이나 정부, 군, 국방 부문과 연관된 개인 및 기관이 높은 수준의 방어 보안 태세를 유지하고 다음을 수행할 것을 권고합니다.
책임소재 분석의 투명성을 높이고 연구자 간 협업을 촉진하기 위해, IBM® X-Force는 샘플을 VirusTotal에 업로드했습니다.
지표
지시기 유형
컨텍스트
60f20be29cafea3402c8cb396
SHA256
암호화된 메인 모듈 "RDZXVh"
86b8d48df5787d57836276219
SHA256
Sheriff 초기화 파일 “n5K3B”
8832fb7ef434a56f9d151d8e1eb
SHA256
Deputy Loader “t5cby.dll”
8c22326d08a6334181c06e25c6
SHA256
암호화된 스크린샷 모듈 “dowtuxZmI”
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Sheriff 메인 모듈 “1Pr3v”
92b9ef4e81610487ea9df255fa83
SHA256
Sheriff 설정 파일 “mInv.cfg”
e2b892533bd4135004778783b95
SHA256
해독된 스크린샷 모듈 ZIP 파일
ec84ae8db92a88109bc68baefc3b
SHA256
Sheriff 스크린샷 모듈 "NeXSv"
f9e237a939b998fe071e0101904f7d
SHA256
Sheriff 다운로더 모듈 “DZtdI.dll”
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
Sheriff 다운로드 URL. ukr.net은 합법적인 웹사이트입니다.
https://api.ipify[.]org
URL
공인 IP 주소를 조회하는 데 사용되는 합법적인 서비스이며, 악성코드 제작자들에 의해 자주 악용됩니다.
