분석 과정에서 여러 초기 지표는 러시아 기반 위협 행위자를 가리켰는데, 그 예시는 다음과 같습니다.

Deputy Loader와 Sheriff Downloader는 러시아어 리소스를 포함하고 있으며,

Dropbox 계정에서 러시아 로케일이 사용되었고,

우크라이나 타겟팅.

X-Force는 Sheriff 백도어가 금전적 목적의 사이버 범죄가 아니라 사이버 첩보 및 정보 수집을 위해 설계된 툴일 가능성이 가장 높다고 평가합니다. 이 악성코드는 장기적인 침해 상태를 유지하기 위해 은밀하게 동작하면서 데이터 유출 및 스크린샷 촬영에 중점을 둡니다. 통신 및 디스크에 기록되는 대부분의 아티팩트가 암호화된 상태로 남도록, 가능한 한 은밀하게 동작하도록 분명한 의도를 갖고 개발되었습니다. 네트워크 통신은 악성코드를 스테이징하는 데 사용되는 우크라이나의 인기 웹사이트 ukr.net과 합법적인 Dropbox API를 악용함으로써 은밀하게 유지됩니다. Sheriff는 실행 후 흔적을 삭제하기 위한 여러 자체 파괴 함수를 구현합니다. 마지막으로, 잘 구성된 코드와 폴더 구조, 모듈식 구현, 로깅, 포괄적인 기능 및 구성 가능성은 국가 지원 그룹에서 기대되는 높은 수준의 정교함을 보여줍니다.

조사에서는 러시아 연계 위협 그룹 Turla(ITG12)로 알려진 기존 캠페인과의 몇 가지 경미한 유사점도 확인되었습니다. 예를 들어, 이 그룹의 Kazuar .NET 백도어는 Sheriff와 다음과 같은 여러 유사점을 보입니다.

Kazuar 역시 유사한 폴더 구조를 유지합니다.

차이는 있지만, Kazuar 또한 GUID를 생성하고 피해자의 시리얼 번호를 사용합니다.

Kazuar도 로깅을 구현하고 AES 및 RSA 암호화를 사용합니다.

Kazuar 역시 모듈식 구조이나, 모듈 대신 “plugin”이라는 용어를 사용하는 것으로 보입니다.

Kazuar도 최대·최소 간격 값을 사용합니다.

Kazuar는 “Suicide”, 스크린샷, 커맨드라인 실행, 바이너리 실행, 파일 삭제, 데이터 유출, 자기 업데이트 등 Sheriff와 유사한 명령을 지원합니다.

주목할 만한 점은 ESET이 Turla에서 발견한 Crutch 백도어 역시 .NET 기반은 아니지만 Sheriff와 비슷한 방식으로 C2 통신에 Dropbox API를 사용한다는 점입니다.

추가 조사에서는 Operation Groundbait의 Prikormka 백도어와의 공통점도 발견되었습니다:

다운로더, 코어 및 스크린샷 모듈이 포함된 모듈식 백도어

Prikormka도 업로드 및 다운로드를 위해 %USERPROFILE%\AppData\Local\ 내에 두 개의 폴더를 유지합니다.

Prikormka도 유출 전에 암호화 및 압축할 파일을 식별하기 위해 커스텀 확장자를 사용합니다.

Prikormka의 스크린샷 모듈은 “.tgz” 확장자를 사용했고, Sheriff의 Screenshot 모듈은 “.tgr”을 사용합니다.

Prikormka 모듈은 필수 내보내기 기능 중 하나로 "Cycle"을 나열하며, 이는 Sheriff Downloader Module이 사용하는 "MainCycle" 클래스와 유사합니다.

Kaspersky Labs는 이후 Prikormka와 CloudWizard APT 간의 강한 연관성을 문서화했습니다. X-Force는 Sheriff와 CloudWizard 사이에서도 여러 유사점을 확인했습니다.

각 모듈의 구성과 C2를 관리하는 메인 모듈 기반의 모듈식 백도어 구조.

CloudWizard 역시 ZIP 파일 업로드/다운로드 전후 AES 및 RSA를 사용한 암·복호화를 수행합니다.

CloudWizard도 Dropbox를 OAuth 인증 기반 C2 매커니즘으로 사용합니다.

CloudWizard와 Sheriff 모두 각 모듈의 구성을 가져오는 “GetSettings”/“get_Settings” 함수를 포함합니다.

CloudWizard와 Sheriff의 스크린샷 모듈은 모두 “WindowsTitle” 인수를 지원하여 스크린샷을 찍기 전에 현재 창의 제목과 비교합니다.

CloudWizard, Prikormka, Sheriff는 모두 15분 스크린샷 간격을 공유합니다.

CloudWizard 및 Prikormka의 파일 목록 모듈을 "tree"라고 하며, 이는 Sheriff가 파일 목록을 유출하는 데 사용하는 이름입니다.

X-Force는 Sheriff 백도어가 표적화된 작전의 일부로 사용되었을 가능성이 크다고 판단합니다. 이 악성코드는 과거 우크라이나 기관을 표적으로 삼아온 러시아 연계 CloudWizard APT와 관련될 가능성이 있습니다. TTP와 악성코드의 일부 소규모 유사성이 존재하지만 Turla(ITG12)와의 연관성은 비교적 낮습니다.