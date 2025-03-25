العلامات
فريق IBM X-Force يكتشف بابًا خلفيًا جديدًا باسم "Sheriff" استُخدم لاستهداف أوكرانيا

تاريخ النشر 25 مارس 2025
لقطة مقربة لأيدٍ تكتب على لوحة المفاتيح مع عرض شاشة الكمبيوتر

مؤلف

Golo Mühr

Malware Reverse Engineer

IBM

اكتشَف فريق IBM X-Force مجموعة من البرامج الضارة (بوابة Sheriff الخلفية) غير المعروفة سابقًا، والتي استُخدمت في هجوم تجسس إلكتروني استهدف جهةً تابعةً لقطاع الدفاع الأوكراني في النصف الأول من عام 2024. استخدم عنصر التهديد بوابة إخبارية شهيرة في أوكرانيا، ukr.net، لاستضافة الباب الخلفي باسم Sheriff. يمكن للباب الخلفي المعياري تنفيذ الأوامر الموجهة من قبل العنصر الفاعل، وجمع لقطات الشاشة، واستخراج  بيانات الضحايا سرًا باستخدام واجهة برمجة تطبيقات التخزين السحابي Dropbox. في أثناء التحقيق، حددت X-Force نشاط تهديد مشابهًا لتهديدات CloudWizard APT وTurla (المعروف أيضًا باسم ITG12)، وكلاهما من مجموعات التهديد المرتبطة بروسيا التي استهدفت الكيانات الأوكرانية.

النتائج الرئيسية

  • تم استخدام أداة تحميل جديدة وباب خلفي معياري في شن هجوم في النصف الأول من عام 2024 استهدف قطاع الدفاع في أوكرانيا.
  • تُنزِّل وحدة Sheriff Downloader حمولة من ukr.net، وهي بوابة إخبارية أوكرانية شهيرة، ما يشير إلى أن الموقع الإلكتروني ربما تم اختراقه من أجل تسهيل الهجوم.
  • يستخدم الباب الخلفي واجهة برمجة التطبيقات Dropbox لاتصالات الأوامر والتحكم (C2) لتسهيل عملية استخراج البيانات المشفرة
  • يتمكن Sheriff من تنزيل وإدارة وحدات متعددة، بما في ذلك وحدة لقطة الشاشة التي تم اكتشافها في أثناء التحقيق؛ ويتم تلقي الأوامر وقيم التكوين كتعليقات على ملف ZIP.
  • حددت X-Force أوجه التشابه مع CloudWizard APT وTurla (ITG12)، وهي مجموعات تهديد تابعة لروسيا تستهدف الكيانات الأوكرانية.

نظرة عامة تقنية

في أثناء التحقيق، أعادت X-Force بناء سلسلة الإصابات التالية:

يوضح المخطط سلسلة الإصابات
الشكل 1: سلسلة الإصابات

أداة تحميل Deputy

العينة التي تم تحليلها هي x86 DLL، تحتوي على تصدير واحد "MyFunt". تحتوي على مسار نسبي مبرمج إلى وحدة تنزيل الوحدة النمطية الخاصة بـ Sheriff Downloader Module DLL في مورد باللغة الروسية باسم "LoaderPath". المسار المشفر هو

Local\WPnqv0hW\DZtdI.dll

والتي ترتبط بالمسار التالي: “%USERPROFILE%\AppData\”.

يستخدم DLL بعد ذلك واجهة برمجة التطبيقات CLRCreateInstance لاستضافة وقت تشغيل اللغة المشتركة (CLR) لـ .NET. يتم تنفيذ دالة DLL لوحدة Sheriff Downloader Loader.MainCycle.Run  عبر طريقة ExecuteInDefaultAppDomain

مقتطفات من التعليمات البرمجية لتنفيذ استضافة CLR
الشكل 2: تنفيذ استضافة CLR

تم شرح هذه التقنية مؤخرًا بالتفصيل في منشور مدونة X-Force كتقنية للفريق الأحمر.

يوفر Deputy Loader أيضًا مسارات لكل من مكتبات DLL كوسيطات مفصولة بفاصلات منقوطة (";"). 

وحدة أداة تنزيل Sheriff

الوحدة النمطية Sheriff Downloader عبارة عن ملف x86 .NET DLL، والذي يحتوي على مكتبة (dotnetzip.dll) معباة في مورد باستخدم Fody Costura. 

تحتوي فئة "MainCycle" على الدالة الرئيسية "Run"، والتي تبدأ باسترجاع أربع قيم مخزنة في الموارد اللغوية الروسية للبرنامج الثنائي:

لقطة شاشة لموارد Sheriff Downloader
الشكل 3: موارد Sheriff Downloader

باستخدام هذه، تحاول العينة تنزيل ملف من

http://ukr[.]net/8V3fDJ0U/RDZXVh

 

في المجلد

%APPDATA%\Xpgx2dAn\RDZXVh

إذا كان الملف موجودًا بالفعل، فسيتم تخطي سلوك التنزيل، وستعمل البرامج الضارة كمحمل فقط. 

بعد ذلك، يقوم بفك تشفير الحمولة عبر مكتبة "SymmetricCrypt" المخصصة وكلمة المرور "BS7imxwRXueassn". يبدو أن الخوارزمية متطابقة لتشفير AES المدمج في.NET (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs). 

يتم استخراج ملف ZIP الناتج في الذاكرة ليكشف عن ملفين على الأقل يتم فرزهما حسب حجم الملف. وأخيرًا، يتم تحميل الملف الأول (وحدة Sheriff الرئيسية) بشكل عكسي كتجميع .NET، ما يستدعي طريقة "MainClass.Run". تتم قراءة الملف الأخير (ملف Sheriff Init) سطرًا تلو الآخر وتوفيره إلى التجميع المنفّذ كوسيطة كائن قائمة، جنبًا إلى جنب مع مسارات Deputy Loader DLL وSheriff Downloader DLL والحمولة التي يتم تنزيلها "RDZXVh".

الاختراق المحتمل لـ ukr.net

يثير عنوان URL الخاص بالتنزيل المخاوف على الفور، حيث إن المضيف  ukr.net يحتل المرتبة الرابعة من حيث عدد الزيارات في أوكرانيا وفقًا لموقع Semrush. Ukr.net هو أيضًا مزود خدمة إنترنت (ISP)، ومزود بريد إلكتروني مشهور يستضيف واحدة من أكبر البوابات الإخبارية في أوكرانيا، حيث يزور موقعه الإلكتروني أكثر من 100 مليون زائر شهريًا. على الرغم من أن ukr.net يبدو أنه يوفر خدمات الاستضافة أيضًا، فإنه من غير الممكن للمستخدمين بشكل عام استضافة الملفات على أدلة الجذر العشوائية على خادم الويب الرئيسي. ومن ثَمَّ فمن المرجح أن يكون عنصر التهديد قد اخترق  موقع ukr.net من أجل تنظيم حمولة الباب الخلفي المشفّر بالنسبة إلى Sheriff في أوائل مارس 2024. 

في وقت التحقيق، لم تكن الحمولة متاحة، ولم تتمكن X-Force من تحديد الحمولات الضارة الأخرى المستضافة على  ukr.net. من الممكن أن يكون وصول عنصر التهديد محدودًا في نطاقه، أو متاحًا لفترة قصيرة فقط، أو تم استخدامه عمدًا بشكل محدود. إن وصول عنصر التهديد إلى أكبر بوابة إخبارية في أوكرانيا من شأنه أن يجعلها قادرة على تنفيذ مجموعة من الهجمات عالية التأثير والعمل في ظل التعتيم المعزز. في هذه الحادثة بالتحديد، قد يكون عنصر التهديد قد أساء استخدام النطاق الموثوق به لتنظيم برنامج ضار من دون إثارة الشكوك. 

الوحدة الرئيسية Sheriff

الوحدة الرئيسية الخاصة بـ Sheriff هي x86 .NET DLL، والتي يحتوي مرة أخرى على مكتبة (dotnetzip.DLL) معبأة في موارد باستخدام Costura.

التهيئة والتكوين

عند تنفيذ وظيفة "Run" لأول مرة في الجلسة الرئيسية، تبدأ بقراءة الوسيطات المستلمة كقائمة من ملف تهيئة Sheriff. حيث إنها تعيِّن القيم التالية:

_symKey: "tkE7BqJ45HKwOes"
ConfName: "mInv.cfg"
ModulsFolder: "DxyVS1"
UploadLocalFolder: "gyTufW"
_defaultZipExt: "d7r"
refreshToken:
"sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0"
_guid: "W5d2090860fd54c17809fb4da0b42b34d.test"
_asymPrivKey:
"MIICXAIBAAKBgQCuqWqUX60ArocW6V8zJN0vZ0CRAiY2jL+Ohjunh3p7wgac57Lwrmj0NIK80eLAO1zBIWEJZHH8vgapuLbv857SdG0Yw9iyGT2TLIIZH3ITrruJlxj62gMfKml2vRGK1jB4pnwZVTjc3zTO4Oko3Svy3PilTdyGMCp9FWf/ytex9QIDAQABAoGARTT79i6y7kI5ZOqzviAtREs1Wj/vxE2g2Wh22rrj3YXT+PgV/ygcjicAZrEDmAftiNkhCgey4uKo4Tc/xXRSyYlm8U2tNdv2YfC0mL04kUWRowoHZn6iTsm3D60ECSTfi9/WvkJEu2t8ufglGrWKd1atqmpbNl7BrA/+R9EDyUECQQDIWP1jxv6s2wueSov8T1J3tgQJJaazLYImdvCRLjUQ0iTpw12VfCkipATwnkST4NkGgGnAb6NxB4N9Qc5qOPb3AkEA3y3emkmA28f45TiP9WFjsqe+YYZUkL5zuotGP+IrkYvniefqCJSAyWtaN0gGQGjJEUEsVL5tIzewY9Z1/4AHcwJAc+2aYbvp7dep92QncE3t6Ds4Rpq0xQVWRC+asEdOiXcvyNw1MKRxoQvLl/fcsrzul6aCismOh37ThQ0pBaoErQJAdn2ZARtjUczjBXg5XlM9pn3O42J5hXvIX9NQEdzXuuenn51EsRd/JPFdLZqMzyeTERkkGz4bHaaUfP1BGszzpwJBAKF312U3h7fpzpMC10jI8F0M5aEOCgSax6EpW3aJEc6WZ7z4hvnZMpxtuGaEJE98kzpYuzzBJL+qOjmeCBoVS8I="
_asymPubKey:
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBT+7FB360l8kvgAmCUKYjWxcybjTJiq81x0s56g+rxdvxHOlayuYhSb7xJ2JKv/1k1LtnAT9rfhPLJQPvwMsVeeFUvIpc5+ovrIi3Ow0n8n3je1zSqpFRK488XZ9NMDkVSLLQKNcgOYox0eSXPmnTzvNffaFGVnm1EuimsnSjpQIDAQAB"

يسرد الجدول أدناه شرحًا لكل من الوسيطات:

الاسم

التفسير

  
_symKeyمفتاح التشفير المتقدم (AES) المستخدم لفك تشفير التكوين

ConfName

اسم ملف التكوين

ModulsFolder

اسم المجلد المستخدم لتنزيل المزيد من الوحدات النمطية

UploadLocalFolder

اسم المجلد المستخدم للبيانات المتسربة

_defaultZipExt

الملحق الافتراضي المستخدم لتحديد ملفات ZIP

refreshToken

رمز تحديث التفويض المفتوح (OAuth) للمصادقة باستخدام واجهة برمجة تطبيقات Dropbox

_guid

تُستخدم السلسلة مع الرقم التسلسلي كمعرف للضحية

_asymPrivKey

المفتاح الخاص RSA المستخدم لفك تشفير الوحدات التي تم تنزيلها

_asymPubKey

مفتاح RSA العام المستخدم لتشفير البيانات قبل الاستخراج

تأتي المفاتيح غير المتماثلة من مجموعتين مختلفتين من المفاتيح، ما منع فك تشفير البيانات المتسربة في أثناء التحقيقات. 

بعد ذلك، ينشئ Sheriff مجلدات التحميل والتنزيل المحلية. إذا لم يكن موجودًا، فستتم كتابة ملف التكوين MLvn.cfg عند تنفيذ وحدة Sheriff النمطية الرئيسية لأول مرة. وبعد ذلك، يمكن قراءتها وتعديلها للحفاظ على تكوينات منفصلة لكل وحدة. يحتوي ملف التكوين الذي تم فك تشفيره على القيم التالية للوحدة "الرئيسية"، مفصولة بفاصلات منقوطة ("؛"):

  1. refreshToken
  2. الحد الأقصى لحجم ملف ZIP للبيانات المتسربة
  3. الحد الأقصى لحجم الملف للبيانات المتسربة قبل الضغط
  4. عنوان URL المستخدم لاسترداد عنوان IP العام للضحية
  5. الحد الأدنى للفترة الزمنية (مللي ثانية) المستخدم لتنزيل الملفات وتحميلها
  6. الحد الأقصى للفترة الزمنية (مللي ثانية) المستخدم لتنزيل الملفات وتحميلها
[main];sPfSlLkE3UcAAAAAAAAAAeUXe9lToajHac8y3w_9mmDptZKSU_Q0wdd4XSCZxfaU:yfw5e008wxkqbxg:ax6a2el8rf4cjo0;220200960;209715200;https://api.ipify.org;30000;30000
[key];1024

لم يتم العثور على وحدة "key" في أثناء التحقيق. ربما كانت هذه الوحدة مسؤولة عن إنشاء الاستمرارية لـ Deputy Loader DLL، والتي تكتب مفتاح التسجيل التالي:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftEdgeAutoLaunch_<REDACTED>

يحتوي المفتاح على الأمر اللازم لتنفيذ تصدير MyFunc الخاص بـ Deputy Loader:

"C:\WINDOWS\SysWOW64\rundll32.exe" "<LOCAL_APPDATA>\GRPRhuI4\T5CBy.dll",MyFunc

Dropbox C2

تتم إدارة اتصالات الأوامر والتحكم من خلال فئة "DbApiV2"، والتي تستخدم واجهة برمجة تطبيقات Dropbox لإنشاء الملفات والمجلدات البعيدة على Dropbox والبحث عنها وتنزيلها وتحميلها ونقلها وتحليلها. يستخدم رمز التحديث للحصول على رمز وصول مؤقت للمصادقة عبر عنوان URL التالي:

https://api.dropbox.com/oauth2/token

تُستخدم نقاط نهاية وجهة برمجة التطبيقات هذه لإدارة الملفات والمجلدات البعيدة:

https://content.dropboxapi.com/2/files/upload
https://content.dropboxapi.com/2/files/upload_session/start
https://content.dropboxapi.com/2/files/upload_session/finish
https://content.dropboxapi.com/2/files/upload_session/append_v2
https://content.dropboxapi.com/2/files/download
https://api.dropboxapi.com/2/files/delete
https://api.dropboxapi.com/2/files/create_folder
https://api.dropboxapi.com/2/files/list_folder

قبل محاولة تنزيل الملفات، تقوم وحدة Sheriff النمطية الرئيسية بتحميل رسالة سجل تحتوي على عنوان IP (بروتوكول الإنترنت) العام للضحية وقائمة الوحدات النمطية المحملة. يتم تشفير السجل باستخدام XOR باستخدام معرف الضحية المكون من GUID (من الوسيطات أو يتم إنشاؤه عشوائيًا) والرقم التسلسلي. بعد التشفير، يتم تحميل السجل إلى مجلد Dropbox باسم يتطابق مع معرف الضحية. 

تُسترجع جميع الملفات من مجلد Dropbox في /<victim_id>/ Dow / ويتم تنزيلها إلى المجلد المحلي "ModlsFold" المبرمج بشكل ثابت على "/ DxyVS1". بعد التنزيل، تُحذف جميع الملفات على الفور من Dropbox. بعد ذلك، سنناقش معالجة الملفات التي تم تنزيلها بواسطة الوحدة النمطية الرئيسية. 

تبدأ عملية التحميل بإحصاء جميع الملفات المحلية في "UploadLocalFolder"، وفي هذه الحالة تمت برمجتها بشكل ثابت على شكل "/gyTufW". بناءً على امتداداتها، يتم تصنيفها إلى ثلاث فئات:

  1. الملفات التي تستخدم التشفير الثابت "_defaultZipExt" .d7r مضغوطة بالفعل؛
  2. الملفات التي لا تحتوي على ملحق مشفرة بالفعل وجاهزة للتحميل؛
  3. لا تزال جميع الملفات الأخرى بنص واضح.

ستقوم دالة "PreparingForUpload" بعد ذلك بضغط جميع الملفات النصية الواضحة في ملف ZIP جديد. يتم تشفير جميع ملفات ZIP لاحقًا باستخدام مفتاح AES الذي تم إنشاؤه عشوائيا، والذي يتم تشفيره بدوره باستخدام مفتاح RSA العام وربطه بالملف المشفر. في أثناء التنفيذ، تحذف الدالة جميع الملفات المتبقية من المجلد حتى يتم ترك الملفات المضغوطة والمشفرة بالكامل فقط. ثم يتم رفع هذه الرسائل إلى مجلد Dropbox في /<victim_id>/Up/ بينما يتم حذفها محليًا. 

يتم تنفيذ كل من وظيفتي التحميل والتنزيل بشكل غير متزامن وتشغيلهما بمؤقت مشفر حتى 30 ثانية في العينة التي تم تحليلها. 

في وقت التحقيق، لم يعد حساب Dropbox يستضيف أي ملفات، كما يتضح من معدل استخدام المساحة:

{
  "used": 0,
  "allocation": {
    ".tag": "individual",
    "allocated": 2147483648
  }
}

يعرض حساب Dropbox المرتبط المعلومات التالية:

{
  "account_id": "dbid:AABLMHYTVufS0NLF_cnID1nm_-R9m1aj9ds",
  "name": {
    "given_name": "Poco",
    "surname": "Poco",
    "familiar_name": "Poco",
    "display_name": "Poco Poco",
    "abbreviated_name": "PP"
  },
  "email": "poco.m5.miui.13@gmail.com",
  "email_verified": true,
  "disabled": false,
  "country": "DE",
  "locale": "ru",
  "referral_link": "https://www.dropbox.com/referrals/AABf13Qzpq31wbsquudl7xfwagHIa8GgdZg?src=app9-5618657",
  "is_paired": false,
  "account_type": {
    ".tag": "basic"
  },
  "root_info": {
    ".tag": "user",
    "root_namespace_id": "2199102147",
    "home_namespace_id": "2199102147"
  }
}

وحدات وأوامر Sheriff

تتمثل مهمة وحدة Sheriff الرئيسية في العمل كمنسق لإطلاق الوحدات المختلفة وإدارتها. يمكن تنزيل هذه الوحدات عبر العملية الموضحة أعلاه، والتي تم اكتشاف إحداها في أثناء التحقيقات ("./DxyVS1/dowtuxZml"). 

تتكرر دالة "LoadModul" من خلال الملفات التي تم تنزيلها وفك تشفيرها باستخدام المفتاح الخاص RSA ومفتاح AES الناتج. يحتوي ملف ZIP الذي تم فك تشفيره على سلسلة تعليق والتي تُستخدم لتحليل الوحدة النمطية:

رأس PK-ZIP يحتوي على تعليق في نهاية الملف
الشكل 4: رأس PK-ZIP يحتوي على تعليق في نهاية الملف

يتم تقسيم التعليق إلى عدة قيم عبر رمز الأنبوب  ("|") ثم إلى قيم فرعية مفصولة بفاصلات منقوطة (";"). 

D|scr;ScreenShot.Shot;LoadDll;KillDll;ConfDll|0|0;None

فيما يلي وصف للقيم بعد التحليل:

  1. الأمر: "D"
  2. ModInfo (جزء من كائن يحتفظ بمعلومات حول كل وحدة نمطية في أثناء تنفيذ الوحدة النمطية الرئيسية)
    1. العلامة: "scr"
    2. NameSpace: "ScreenShot.Shot"
    3. LoadMethod: "LoadDll"
    4. KillMethod: "KillDll"
    5. ConfigMethod: "ConfDll"
  3. التشغيل / الإيقاف (إذا كان يجب حذف الملف الأصلي)
  4. NeedZip (إذا كانت الوحدة النمطية تتطلب ضغط نتائجها بواسطة الوحدة النمطية الرئيسية)؛ الضغط (طريقة الضغط المطلوبة، القيمة الافتراضية هي Deflate)

يقبل Sheriff الأوامر التالية:

الأمر والوصف

  • D - يوزع ModInfo من التعليق واعتمادًا على قيمة التشغيل / الإيقاف يحذف الملف الأصلي بعد تحميل تجميع .NET. لتحميل الوحدة أو إنهاؤها (إذا تم تحميلها بالفعل)، فإنها تستخدم قيم "LoadMethod" و"KillMethod" على التوالي. يأخذ "LoadMethod" كلاً من "Marker" و"UploadLocalFolder" و"_defaultZipExt" كوسيطات.
  • T - يحلل ModInfo من التعليق، ويحذف الملف الأصلي، وينفذ "LoadMethod". يأخذ "LoadMethod" كلاً من "Marker" و"UploadLocalFolder" و"LoadMethod" و"KillMethod" و"ConfigMethod" كوسيطات.
  • E - يقبل قيمة واحدة فقط (وسيطة الأمر) بعد رمز الأنبوب الأول ("|") ويقوم بتشغيل الدالة "RunExeInMemory". يُسقط الملف داخل أرشيف ZIP إلى مسار مؤقت باسم %TMP%\<number_of_ticks>.exe ويتم تنفيذه كعملية جديدة بالوسيطة إذا تم توفيرها. يُحذف الملف المسقط وملف ZIP بعد ذلك.
  • C - يقوم بتحليل ملف نصي داخل ملف ZIP، سطرًا تلو الآخر، والذي يمكن أن يحتوي على قائمة من الأوامر المخصصة (انظر الجدول الثاني أدناه).
  • R - تحديث الوحدة الرئيسية عن طريق إعادة تسمية الملف الأصلي وكتابة الحمولة التي تم تنزيلها إلى المسار الأصلي. بناءً على مستوى النجاح، سيتم تحميل إحدى رسالتي الحالة: "تم تغيير MainModule بنجاح" أو "لم يتم تغيير MainModule".

 يوضح الجدول الثاني قائمة الأوامر التي يمكن قراءتها كملف نصي باستخدام الأمر "C":

نمط الأمر

الوصف

(tree)

<path_1>

<path_2>

...

تحميل الملفات من قائمة المسارات المحددة.

(treedel)

<path_1>

<path_2>

...

تحذف الملفات من قائمة المسارات المحددة وتحمل رسالة سجل "تم حذف الملفات: <number_of_files>"

(cmd);
value1;
value2;...

ينفّذ كل قيمة كأمر منفصل في عملية جديدة "cmd.exe /c <value>"، ويقرأ stdout وstderr، ويُحمِّله كملف RSA مشفر إلى Dropbox. 

[modname];
value1;
value2;...

تدرج السلسلة الكاملة في ملف التكوين. لاحظ أن "modname" مطابق لعلامة الوحدة النمطية.

{modname};
value1;
value2;...

إذا كان "modname" هو "Suicide"، فسوف يقوم Sheriff بالقضاء على جميع الوحدات النمطية وحذف جميع الملفات وتشغيل برنامج نصي للتنظيف. إذا كان "modname" يتطابق مع وحدة نمطية مُحمَّلة، فسوف يستدعي "KillMethod" ويحذف الملف المقابل لها. 

مقتطف من التعليمات البرمجية التي تعرض أمر "suicide" الخاص بالوحدة الرئيسية Sheriff
الشكل 5: أمر "suicide" في الوحدة النمطية الرئيسية Sheriff

بعد تحميل جميع الوحدات النمطية، ستتكرر وظيفة "تشغيل" الوحدة النمطية الرئيسية خلال كل وحدة نمطية محملة وتستدعي "ConfigMethod"، مع توفير إعدادات الوحدة النمطية المقابلة كما تم تحليلها من ملف التكوين الأصلي. من المحتمل أن يسمح هذا للمشغلين بتحديث تكوينات متعددة للوحدات النمطية بسهولة في أثناء تشغيلها. 

وحدة لقطة الشاشة

إحدى الوحدات التي تم استردادها في أثناء التحقيق هي وحدة لقطة الشاشة. عندما يتم تحميل الوحدة، فإنها تتلقى الوسيطات التالية من الوحدة الرئيسية:

  1. العلامة
  2. uploadPath
  3. ملف Zip الافتراضي

لا تزال الوحدة النمطية تحتوي على قيمة افتراضية "tgr" لـ "virtualZip"، والتي يتم استبدالها في تلك المرحلة. باستخدام "ConfigMethod" الخاصة بالوحدة النمطية، يمكن للوحدة الرئيسية أيضًا تحديد قيم التكوين التالية:

  1. ImageCount (عدد لقطات الشاشة الملتقطة حتى يتم ضغطها). الافتراضي = 25
  2. TimerCount (الفترة الزمنية للمؤقت، عدد المرات التي يمكن فيها التقاط لقطة شاشة). الافتراضي = 5 ثوانٍ
  3. DefiniteShot (الحد الأقصى للوقت اللازم لالتقاط لقطة شاشة بالتأكيد). الافتراضي = 15 دقيقة
  4. BmpQuality (جودة لقطة الشاشة/معامل الضغط بين 0 و100). الافتراضي = 25
  5. WindowsTitle (قائمة مفصولة بفاصلات لعناوين النوافذ المستهدفة تحديدًا للقطات الشاشة).

بمجرد بدء التشغيل، ستتحقق الوحدة كل 5 ثوان (TimerCount) إذا كان بإمكانها التقاط لقطة شاشة. لالتقاط لقطة شاشة، يجب أن يكون أحد الشروط التالية صحيحًا:

  1. تم التقاط آخر لقطة شاشة قبل أكثر من 15 دقيقة  (DefiniteShot)؛
  2. تختلف النافذة الأمامية عن آخر مرة تم فيها التقاط لقطة شاشة؛ أو
  3. يتطابق عنوان النوافذ الأمامية مع أي من السلاسل في القائمة "WindowsTitle".

خلال كل لقطة، إذا وصل عدد اللقطات إلى "ImageCount"، فستضاف لقطات الشاشة الموجودة إلى ملف ZIP منسق بالصيغة {0:yyyy.MM.dd_HH.mm.ss}.jpg باستخدام كائن "DateTime" في لقطة الشاشة.

يتم تنسيق اسم ملف ZIP بالصيغة {0:yyyy.MM.dd_HH.mm.ss.ffff}.<defaultZip> باستخدام الكائن "DateTime" الذي تم إنشاء ملف ZIP فيه. يحصل ملف ZIP أيضًا على تعليق يتكون من علامة الوحدة النمطية ("scr") كما هو موضح في لقطة الشاشة أدناه.

وحدة لقطة الشاشة Sheriff
الشكل 6: وحدة لقطة شاشة Sheriff

دالة suicide

تحتوي الوحدة الرئيسية الخاصة بـ Sheriff أيضًا على دالة Suicide، والتي يمكن استدعاؤها عن بُعد. توقف الدالة كل أنشطة التنزيل والتحميل، ثم تكرر كل وحدة لاستدعاء "KillMethod" المقابل. ثم تشرع في حذف الدليل بأكمله الذي يحتوي على الوحدة الرئيسية والمجلد العالمي على Dropbox المستخدم في اتصال C2. بعد ذلك، تبحث الدالة عن مسار ملف DLL بمحمل المرحلة الأولى (Deputy Loader) داخل مفاتيح التسجيل الفرعية أدناه:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

سيتم بعد ذلك حذف أي مفاتيح فرعية تحتوي على المسار. 

وأخيرًا، يُدرِج Sheriff مسارات "Loader" (وحدة Sheriff Downloader) و"LoadDll" (Deputy Loader) في ملف BAT التالي، يُسقِطه في %TMP% وينفذه:

SET loader="<loader.path>"
SET loadDll="<loadDll.path>"
:loop
IF EXIST %loader% del /F %loader%
IF EXIST %loader% goto loop
:loop1
IF EXIST %loadDll% del /F %loadDll%
IF EXIST %loadDll% goto loop1
rmdir /s /q "<loader.directory_name>"
rmdir /s /q "<loadDll.directory_name>"
(goto) 2>nul & del "%~f0"

سيحذف البرنامج النصي أعلاه ملفات كل من وحدة Sheriff Downloader وDeputy Loader بالإضافة إلى الدلائل الخاصة بهما قبل حذف نفسه. 

تقنيات عنصر التهديد المماثلة

في أثناء التحليل، تشير العديد من المؤشرات الأولية إلى جهات عناصر التهديد المتمركزة في روسيا، بما في ذلك:

  • يحتوي برنامج Deputy Loader وSheriff Downloader على موارد باللغة الروسية؛
  • استخدمت المنطقة المحلية في روسيا من قبل حساب Dropbox؛
  • استهداف أوكرانيا.

تقيم X-Force أن باب Sheriff الخلفي هو على الأرجح أداة مصممة للتجسس السيبراني وجمع المعلومات الاستخبارية في مقابل الجرائم الإلكترونية ذات الدوافع المالية. يركز البرنامج الضار على استخراج البيانات والتقاط لقطات شاشة مع الحفاظ على ملف منخفض مصمم للاختراقات المطولة. وقد تم تطويره بهدف واضح يتمثل في البقاء سريًا قدر الإمكان، لضمان استمرار تشفير الاتصالات ومعظم القطع الأثرية التي يتم إسقاطها على القرص. تظل اتصال الشبكة خفية من خلال إساءة استخدام واجهة برمجة تطبيقات Dropbox الشرعية وكذلك موقع  ukr.net، وهو موقع إلكتروني مشهور في أوكرانيا، والذي يُستخدم   لتنظيم البرامج الضارة. ينفذ Sheriff أيضًا العديد من وظائف التدمير الذاتي لحذف الآثار بعد التنفيذ. وأخيرًا، تشير التعليمات البرمجية المنظمة جيدًا وبنية المجلدات والتنفيذ المعياري والتسجيل والوظائف الشاملة وقابلية التكوين إلى مستوى إضافي من التطور كما هو متوقع من مجموعة ترعاها الدولة. 

كشف التحقيق أيضًا عن العديد من التداخلات الطفيفة مع الحملات الموثقة سابقًا المنسوبة إلى مجموعة التهديد الروسية المعروفة باسم Turla (والمعروفة ايضًا باسم ITG12). على سبيل المثال، يعرض الباب الخلفي Kazuar .NET الخاص بالمجموعة العديد من أوجه الشبه مع Sheriff، بما في ذلك:

  • كما يحتفظ Kazuar أيضًا ببنية مجلد مشابه قليلاً؛
  • على الرغم من اختلافه، يقوم Kazuar بإنشاء معرّف GUID واستخدام الرقم التسلسلي للضحية؛
  • ينفذ Kazuar أيضًا عملية التسجيل ويستخدم التشفير AES وRSA؛
  • كما أن Kazuar معياري أيضًا، على الرغم من أنه يشير إلى "المكونات الإضافية" بدلاً من الوحدات النمطية؛
  • يستخدم Azuar أيضًا قيم الحد الأقصى والحد الأدنى للفترة الزمنية؛
  • يدعم Kazuar أوامر مماثلة لأوامر Sheriff، بما في ذلك "Suicide" ولقطة الشاشة وتنفيذ سطر الأوامر والتنفيذ الثنائي وحذف الملفات والاستخراج والتحديث الذاتي.

الجدير بالملاحظة أن الباب الخلفي Crutch المنسوب إلى Turla من قبل ESET يستخدم أيضًا واجهة برمجة تطبيقات Dropbox للاتصال C2 بطريقة مشابهة خاصة بـ Sheriff، على الرغم من أنه لا يعتمد على .NET.

كشف البحث الإضافي أيضًا عن تداخل Sheriff مع البوابة الخلفية لعملية Groundbait’s Prikormka، بما في ذلك:

  • الباب الخلفي المعياري مع وحدة التنزيل والوحدة الأساسية ولقطة الشاشة؛
  • تحتفظ Prikormka أيضًا بمجلدين في %USERPROFILE%\AppData\Local\ لعمليات التحميل والتنزيل؛
  • يستخدم Prikormka أيضًا امتدادات مخصصة لتحديد الملفات المراد تشفيرها وضغطها قبل الاستخراج؛
  • استخدمت وحدة لقطة الشاشة الخاصة بـ "Prikormka ".tgz كجزء من الامتداد المخصص، وتستخدم وحدة لقطة الشاشة الخاصة بـ "Sheriff ".tg؛
  • تدرج وحدات Prikormka "Cycle" كواحدة من وظائف التصدير المطلوبة، والتي تشبه فئة "MainCycle" المستخدمة بواسطة وحدة Sheriff Downloader النمطية.

وثقت Kaspersky Labs لاحقًا تداخلاً قويًا بين Prikormka وCloudWizard APT. لاحظت X-Force أيضًا العديد من أوجه الشبه بين Sheriff وCloudWizard، بما في ذلك:

  • الباب الخلفي المعياري مع وحدة رئيسية لإدارة التكوين وC2 لكل وحدة؛
  • يستخدم CloudWizard أيضًا AES وRSA لتشفير/فك تشفير ملفات ZIP قبل/بعد التحميل والتنزيل؛
  • يدعم CloudWizard أيضًا Dropbox كآلية C2 مع مصادقة OAuth؛
  • يحتوي كلٌّ من CloudWizard وSheriff على دالة "GetSettings"/"get_Settings" لاسترداد تكوين كل وحدة نمطية؛
  • تدعم كل من وحدة "لقطة الشاشة" الخاصة بكل من CloudWizard وSheriff الوسيطة "WindowsTitle"، لمقارنتها بعنوان النافذة الحالية قبل التقاط لقطة شاشة؛
  • يشارك CloudWizard وPrikormka وSheriff لقطة الشاشة نفسها التي تلتقط فترة زمنية مدتها 15 دقيقة؛ و
  • يُطلق على وحدات قائمة الملفات الخاصة بـ CloudWizard وPrikormka اسم "الشجرة"، وهو الاسم الذي يستخدمه Sheriff لاستخراج قائمة الملفات.

يعتقد X-Force أن الباب الخلفي باسم Sheriff قد استُخدم كجزء من عملية مستهدفة. من المحتمل أن يكون البرنامج الضار مرتبطًا ببرنامج CloudWizard APT المتوافق مع روسيا، والذي عُرف عنه أنه كان يستهدف كيانات في أوكرانيا في الماضي. هناك احتمال أقل للاتصال بمجموعة التهديد Turla (ITG12) بسبب التداخلات الطفيفة بين TTPs والبرامج الضارة. 

الخاتمة

يعرض الباب الخلفي باسم Sheriff واستخدامه في عمليات التجسس الإلكتروني المفصلة في هذا التقرير العديد من الميزات المثيرة للاهتمام. أولاً، الباب الخلفي باسم Sheriff عبارة عن أداة تجسس معيارية مصممة جيدًا تتيح الوصول على المدى الطويل إلى بيئة الضحية. ثانيًا، يسلط هيكلها المعياري وميزات التدمير الذاتي التي تتسم بها على اهتمام المطورين باكتشاف أدواتهم وتحليلها. بعد ذلك، فإن القدرة على تنظيم البرامج الضارة على ukr.net هي أيضًا قدرات متقدمة لعنصر التهديد.

التوصيات

توصي X-Force الأفراد والكيانات المرتبطة بالقطاع الحكومي أو العسكري أو القطاع الدفاعي في أوكرانيا بالبقاء في حالة أمن دفاعي مشدد:

  • ابحث عن حركة مرور غير عادية باستخدام خدمات حل عناوين IP العامة مثل  https://api.ipify[.]org
  • ابحث عن حركة مرور غير عادية تتواصل مع واجهة برمجة التطبيقات Dropbox:
    • https://api.dropboxapi.com
    • https://content.dropboxapi.com
  • تثبيت برنامج مكافحة الفيروسات وتكوينه.
  • تحديث قواعد مراقبة أمان الشبكة ذات الصلة.

الملحق التقني

لجعل الإسناد أكثر شفافية وتشجيع المزيد من التعاون بين الباحثين، تم تحميل العينات إلى VirusTotal بواسطة IBM X-Force. 

المؤشر

نوع المؤشر

السياق

60f20be29cafea3402c8cb396
c1cb43ef21ec1b401ad1d4239c0
A990670DAA8D

SHA256

الوحدة النمطية الرئيسية المشفرة "RDZXVh"

86b8d48df5787d57836276219
A9E3DBC0D7E56D68CF99b514A
ca55564f818182

SHA256

ملف تهيئة Sheriff "n5K3B"

8832fb7ef434a56f9d151d8e1eb
DA94544A90a420fee0820b5b0
8d95224763f5

SHA256

أداة تحميل Deputy "t5cby.dll"

8c22326d08a6334181c06e25c6
DF35032CD6916CFBE692D66FC8D
b3aa8b70e42

SHA256

وحدة لقطة الشاشة المشفرة "dowtuxZmI"

8d4df90f4e7fc6d9d08d4b5a27
2037ee7c565def9df180ad1eb08
EFE8D357BD4

SHA256

 الوحدة الرئيسية Sheriff "1Pr3v"

92b9ef4e81610487ea9df255fa83
A8E6C3BD2726CCDB909988E8C8
b919506289

SHA256

ملف تكوين Sheriff "mInv.cfg"

e2b892533bd4135004778783b95
E833fca6ee740bf0a1cb2d5d1a44b
93fd7962

SHA256

فك تشفير ملف ZIP لوحدة لقطة الشاشة

EC84AE8DB92A88109BC68BAEFC3B
0a9de8579129d7a5a431072f09fdc
b8c7862

SHA256

 وحدة لقطة الشاشة Sheriff "NeXSv"

F9e237a939b998fe071E0101904F7D
10cde6ce7b1cb4df1e7d345094af6b
048e

SHA256

وحدة أداة تنزيل Sheriff “DZtdI.dll”

http://ukr[.]net/8V3fDJ0U/RDZXV

عنوان URL

عنوان URL لتنزيل Sheriff. لاحظ أن ukr.net موقع إلكتروني مشروع.

https://api.ipify[.]org

عنوان URL

تستخدم الخدمة المشروعة لتحديد عنوان IP العام، وغالبًا ما يساء استخدامها من قبل مؤلفي البرامج الضارة.

تم الآن دمج استعلامات التهديدات IBM X-Force Premier مع OpenCTI، ما يوفر استعلامات تهديدات قابلة للتنفيذ حول نشاط التهديد، وغير ذلك الكثير. الوصول إلى رؤى حول عناصر التهديد والبرامج الضارة ومخاطر الصناعة. قم بتثبيت OpenCTI Connector لتعزيز الكشف والاستجابة، ما يعزز أمنك السيبراني من خلال خبرة IBM X-Force. ابقَ في الصدارة—بادر بالتكامل اليوم.

