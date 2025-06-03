2025 年 5 月初，IBM X-Force 观察到 Hive0131 发起针对哥伦比亚用户的电子邮件活动，冒充哥伦比亚司法机构发送刑事案件电子通知。 Hive0131 是一个很可能源自南美、以经济利益为动机的组织，例行在拉丁美洲 (LATAM) 开展活动，主要目的是投放各种商业化的恶意载荷。当前的活动模仿官方信函，内容包含一个嵌入式链接，或一个带有嵌入式链接的 PDF 诱饵文件。点击该嵌入式链接将启动感染链条，在内存中执行银行木马“DCRat”。
DCRat 以恶意软件即服务 (MaaS) 模式运作，至少于 2018 年首次出现，并在俄罗斯网络犯罪论坛上大量宣传，购买约 7 美元可使用两个月。DCRat 的存在非常广泛，至少自 2024 年以来在拉丁美洲日益流行。在 2024 年夏季，X-Force 观察到多个活动主要针对哥伦比亚的实体，均模仿一家在墨西哥和哥伦比亚专门从事电子文档生态系统的 LATAM 公司。然而，鉴于感染链条和 DCRat 投放方式的差异，X-Force 评估认为 2024 年的活动与当前活动是由不同行为者实施的。2024 年观察到的活动大量使用受密码保护的 RAR 文件（内含 NSIS 安装包）来释放 GuLoader 下载器，而近期这些活动则依赖于一个我们命名为 VMDetectLoader 的混淆 .NET 加载器。
DCRat 附带具有以下任务能力的插件，不过威胁参与者也可以创建自定义插件以完成额外任务：
MaaS
2025 年 5 月初，X-Force 观察到 Hive0131 的电子邮件活动模仿哥伦比亚司法机构，声称来自哥伦比亚波哥大民事巡回法院，发送刑事案件电子通知。观察到的活动要么包含一个带有 TinyURL 链接的 PDF 诱饵，要么包含一个指向 Google 文档位置的嵌入式链接。
感染链条概述 - 含 TinyURL 的 PDF
对于包含引导至 TinyURL 链接的 PDF 诱饵的电子邮件，受害者会被重定向到一个名为 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue 的 ZIP 压缩包。该 ZIP 压缩包内含正常的文件（作为诱饵）和一个名为 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js 的恶意 JavaScript 文件。该 JavaScript 文件从 paste[.]ee 站点下载一个 JavaScript 载荷 并执行。此载荷随后执行一个 PowerShell 命令，从 hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg 下载一个 JPG 文件，该文件末尾附加了一个 base64 编码的加载器。一旦执行，该加载器便在内存中下载并执行 DCRat。
该加载器因其能够判断自身是否在沙箱环境中运行而被命名为 VMDetectLoader 。分析表明，该加载器基于开源项目 https://github.com/robsonfelix/VMDetector。
感染链条概述 - 嵌入式 Google 文档链接
此感染链条始于包含 Google 文档下载链接的钓鱼邮件，该链接指向一个名为 CUI 158616000129-2025-10047_122011111777.zip 的受密码保护的ZIP压缩包，密码在邮件中提供，为 3004。 该压缩包包含一个批处理文件下载器 CUI 158616000129-2025-10047_122011111777.bat，该下载器从
最终载荷随后由 VMDetectLoader 通过 PowerShell 脚本传递给它的 paste[.]ee URL 下载。
VMDetectLoader 是一个混淆的 .NET 加载器（Microsoft.Win32.TaskScheduler.dll），可在 VirusTotal 上找到：https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7。对该加载器元数据的分析表明，其代码基于开源项目 https://github.com/robsonfelix/VMDetector。
程序集属性：
在加载有效载荷之前，该加载器会检测虚拟机，如果检测到虚拟机，则将一系列主机属性列表打印到控制台。例如：
功能
VMDetectLoader 通过其
参数
说明
$storeman
一个反转的 Pastee URL，用于下载 base64 编码的有效载荷。
MSBuilld
目标注入进程
C:\Users\Public\Downloads
用于创建计划任务的路径：
C:\Users\Public\Downloads\rhabdosteus.js
1
指示进行进程检查的标志
bimetallism
计划任务名称
在执行过程中，VMDetectLoader 会根据需要从 .NET 资源“hIXS”中 XOR 解密相关字符串。
示例解密字符串
持久性
如果配置要求，它会创建一个计划任务来执行以下 PowerShell 命令，以下载并执行一个 JavaScript 有效载荷：
如果配置要求，可能会创建另一个任务，使用以下命令执行 JavaScript 有效载荷：
该加载器也可能创建一个注册表运行项来执行有效载荷：
进程注入
VMDetectLoader 采用了进程空洞化注入技术将有效载荷加载到不同的目标进程实例中。例如，在所分析的攻击活动中，目标进程是 C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe（32 位） 或 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe（64 位） 。负责进程注入的函数在 64 位样本中名为 HackForums.gigajew.x64.Load() ，在 32 位样本中名为 dnlib.IO.Tools.Ande() 。
进程镂空注入过程：
如果 VMDetectLoader 判定其运行环境安全，便会通过进程镂空技术加载最终有效载荷。在此实例中，最终有效载荷是 DCRat，并附有以下配置数据。
X-Force 追踪到多个活跃在拉丁美洲威胁领域的组织，它们通过电子邮件活动传播 MaaS 以谋取经济利益。被追踪的组织包括专注于传播 Grandoriero 银行木马的 Hive0148 和 Hive0149，传播 Adwind 和 SambaSpy 恶意软件的 Hive0153，以及 Hive0131。尽管 Hive0131 通常专注于传播 QuasarRAT 和 NjRAT 等恶意软件，但 X-Force 观察到其涉及 DCRat 的攻击活动有所增加。鉴于持续观察到银行恶意软件被传播给 LATAM 用户，IBM X-Force 评估认为，拉丁美洲将继续面临威胁参与者的针对性攻击，他们试图通过网络钓鱼活动部署银行木马，以窃取用户凭证和其他敏感信息。
建议 LATAM 的实体谨慎处理包含附件、链接或提示下载文件的电子邮件。此外，建议相关实体采取以下措施：
指示符
指标类型
上下文
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
载体文件
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
ZIP 压缩包
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
混淆的 .NET 加载器
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
ZIP 压缩包
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS 脚本
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS 脚本
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
批处理脚本下载器
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
嵌入式 PDF 链接
hxxp://paste[.]ee/d/bx699sF9/0
URL
有效载荷下载 URL
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
嵌入式电子邮件链接
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
有效载荷下载 URL
hxxps://archive[.]org/download/new_ABBAS/new_
URL
JPG 下载 URL
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
JPG 下载 URL
IBM X-Force Premier 威胁情报现已与 OpenCTI 集成，提供有关此威胁活动及其他活动的可操作威胁情报。获取有关威胁参与者、恶意软件和行业风险的深入洞察。安装 OpenCTI 连接器 以增强检测和响应能力，利用 IBM X-Force 的专业知识加强您的网络安全。保持领先优势——立即集成。
