في أثناء التحليل، تشير العديد من المؤشرات الأولية إلى جهات عناصر التهديد المتمركزة في روسيا، بما في ذلك:

يحتوي برنامج Deputy Loader وSheriff Downloader على موارد باللغة الروسية؛

استخدمت المنطقة المحلية في روسيا من قبل حساب Dropbox؛

استهداف أوكرانيا.

تقيم X-Force أن باب Sheriff الخلفي هو على الأرجح أداة مصممة للتجسس السيبراني وجمع المعلومات الاستخبارية في مقابل الجرائم الإلكترونية ذات الدوافع المالية. يركز البرنامج الضار على استخراج البيانات والتقاط لقطات شاشة مع الحفاظ على ملف منخفض مصمم للاختراقات المطولة. وقد تم تطويره بهدف واضح يتمثل في البقاء سريًا قدر الإمكان، لضمان استمرار تشفير الاتصالات ومعظم القطع الأثرية التي يتم إسقاطها على القرص. تظل اتصال الشبكة خفية من خلال إساءة استخدام واجهة برمجة تطبيقات Dropbox الشرعية وكذلك موقع ukr.net، وهو موقع إلكتروني مشهور في أوكرانيا، والذي يُستخدم لتنظيم البرامج الضارة. ينفذ Sheriff أيضًا العديد من وظائف التدمير الذاتي لحذف الآثار بعد التنفيذ. وأخيرًا، تشير التعليمات البرمجية المنظمة جيدًا وبنية المجلدات والتنفيذ المعياري والتسجيل والوظائف الشاملة وقابلية التكوين إلى مستوى إضافي من التطور كما هو متوقع من مجموعة ترعاها الدولة.

كشف التحقيق أيضًا عن العديد من التداخلات الطفيفة مع الحملات الموثقة سابقًا المنسوبة إلى مجموعة التهديد الروسية المعروفة باسم Turla (والمعروفة ايضًا باسم ITG12). على سبيل المثال، يعرض الباب الخلفي Kazuar .NET الخاص بالمجموعة العديد من أوجه الشبه مع Sheriff، بما في ذلك:

كما يحتفظ Kazuar أيضًا ببنية مجلد مشابه قليلاً؛

على الرغم من اختلافه، يقوم Kazuar بإنشاء معرّف GUID واستخدام الرقم التسلسلي للضحية؛

ينفذ Kazuar أيضًا عملية التسجيل ويستخدم التشفير AES وRSA؛

كما أن Kazuar معياري أيضًا، على الرغم من أنه يشير إلى "المكونات الإضافية" بدلاً من الوحدات النمطية؛

يستخدم Azuar أيضًا قيم الحد الأقصى والحد الأدنى للفترة الزمنية؛

يدعم Kazuar أوامر مماثلة لأوامر Sheriff، بما في ذلك "Suicide" ولقطة الشاشة وتنفيذ سطر الأوامر والتنفيذ الثنائي وحذف الملفات والاستخراج والتحديث الذاتي.

الجدير بالملاحظة أن الباب الخلفي Crutch المنسوب إلى Turla من قبل ESET يستخدم أيضًا واجهة برمجة تطبيقات Dropbox للاتصال C2 بطريقة مشابهة خاصة بـ Sheriff، على الرغم من أنه لا يعتمد على .NET.

كشف البحث الإضافي أيضًا عن تداخل Sheriff مع البوابة الخلفية لعملية Groundbait’s Prikormka، بما في ذلك:

الباب الخلفي المعياري مع وحدة التنزيل والوحدة الأساسية ولقطة الشاشة؛

تحتفظ Prikormka أيضًا بمجلدين في %USERPROFILE%\AppData\Local\ لعمليات التحميل والتنزيل؛

يستخدم Prikormka أيضًا امتدادات مخصصة لتحديد الملفات المراد تشفيرها وضغطها قبل الاستخراج؛

استخدمت وحدة لقطة الشاشة الخاصة بـ "Prikormka ".tgz كجزء من الامتداد المخصص، وتستخدم وحدة لقطة الشاشة الخاصة بـ "Sheriff ".tg؛

تدرج وحدات Prikormka "Cycle" كواحدة من وظائف التصدير المطلوبة، والتي تشبه فئة "MainCycle" المستخدمة بواسطة وحدة Sheriff Downloader النمطية.

وثقت Kaspersky Labs لاحقًا تداخلاً قويًا بين Prikormka وCloudWizard APT. لاحظت X-Force أيضًا العديد من أوجه الشبه بين Sheriff وCloudWizard، بما في ذلك:

الباب الخلفي المعياري مع وحدة رئيسية لإدارة التكوين وC2 لكل وحدة؛

يستخدم CloudWizard أيضًا AES وRSA لتشفير/فك تشفير ملفات ZIP قبل/بعد التحميل والتنزيل؛

يدعم CloudWizard أيضًا Dropbox كآلية C2 مع مصادقة OAuth؛

يحتوي كلٌّ من CloudWizard وSheriff على دالة "GetSettings"/"get_Settings" لاسترداد تكوين كل وحدة نمطية؛

تدعم كل من وحدة "لقطة الشاشة" الخاصة بكل من CloudWizard وSheriff الوسيطة "WindowsTitle"، لمقارنتها بعنوان النافذة الحالية قبل التقاط لقطة شاشة؛

يشارك CloudWizard وPrikormka وSheriff لقطة الشاشة نفسها التي تلتقط فترة زمنية مدتها 15 دقيقة؛ و

يُطلق على وحدات قائمة الملفات الخاصة بـ CloudWizard وPrikormka اسم "الشجرة"، وهو الاسم الذي يستخدمه Sheriff لاستخراج قائمة الملفات.

يعتقد X-Force أن الباب الخلفي باسم Sheriff قد استُخدم كجزء من عملية مستهدفة. من المحتمل أن يكون البرنامج الضار مرتبطًا ببرنامج CloudWizard APT المتوافق مع روسيا، والذي عُرف عنه أنه كان يستهدف كيانات في أوكرانيا في الماضي. هناك احتمال أقل للاتصال بمجموعة التهديد Turla (ITG12) بسبب التداخلات الطفيفة بين TTPs والبرامج الضارة.