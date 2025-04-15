2025 年 3 月下旬，IBM X-Force 牵头处理了一起涉及 Hive0148 的事件响应案例，Hive0148 是一个专注于在整个南美地区进行金融盗窃的南美网络犯罪组织。该事件是 2025 年 2 月 19 日 至 3 月 20 日期间发生的一系列大型攻击活动的一部分，向墨西哥和哥斯达黎加的用户投递 Grandoreiro 银行木马。事件涉及一名受害者收到两封钓鱼邮件，其中一封引导至托管在文件共享服务 mediafire[.]com 上的 ZIP 压缩包。如果点击提供的 URL 后，确定受害者的地理位置是墨西哥或哥斯达黎加，他们会被迅速重定向到一个 contaboserver[.]net 的 URL 以下载该 ZIP 文件。压缩包包含一个恶意的 Visual Basic Script (VBS)，执行后会启动一个具有随机分配名称的可执行文件。受感染系统本身未能恢复这些可执行文件。然而，X-Force 恶意软件团队通过分析恶意 VBS 脚本恢复了该可执行文件，发现它是一个 Grandoreiro 加载器。
X-Force 追踪到投递 Grandoreiro 银行木马的分发者，已知其针对墨西哥和巴西的实体，但也观察到西班牙、哥伦比亚和哥斯达黎加的目标。Grandoreiro 是一种多组件的银行木马，很可能以恶意软件即服务模式运作，具有 字符串解密、域名生成算法等特征，并且能够利用受感染主机上的 Microsoft Outlook 客户端进一步传播钓鱼邮件。 Grandoreiro 包含一个庞大的硬编码目标银行应用程序列表，用于枚举受害者设备、窃取凭证并进行欺诈。
X-Force 至少追踪到三个分发者部署不同版本的 Grandoreiro 银行木马，其中两个被识别为 Hive0148 和 Hive0149，第三个正在开发中。Grandoreiro分发者根据特定的战术、技术和程序 (TTP) 进行分组，例如感染链属性（包括使用不同的加载器和命令与控制 (C2) 技术）、钓鱼主题、目标以及入侵指标 (IOC)。投递 Grandoreiro 的钓鱼活动通常包含与税务管理服务局、联邦电力委员会 (CFE)、电子账单、国家银行以及联邦法院/法律通知相关的主题。
网络钓鱼，恶意软件
X-Force 观察到 2025 年 2 月 19 日 至 3 月 20 日期间多个大型 Hive0148 活动向墨西哥和哥斯达黎加的用户传播 Grandoreiro 银行木马。这些邮件伪装成多个政府组织，包括墨西哥的 税务管理服务局 (SAT)，邮件声称来自财政与公共信贷 秘书处。Hive0148 经常发送与 SAT 或联邦电力委员会 (CFE) 相关，或与财务相关（如账单）主题的电子邮件。
观测到的 Hive0148 所使用的发件人邮箱地址：
在部分观测到的攻击活动中，邮件正文会告知收件人， 一份卷宗号为 [随邮件变化] 的行政行为文件已发送，并可在其 sat[.]gob[.]mx 的税务收件箱中查阅。可能是为了增强真实性，发件人会在邮件中包含以下声明：“SAT 不会通过电子邮件索要个人信息、验证码或密码。如收到可疑信息，请勿分享并通过我们的门户网站举报。您的个人数据依据《个人数据保护指南》及现行税收法规受到保护。它仅用于行使税务机关的职权。”其他邮件内容则伪装来自阿根廷联邦公共收入管理局，声称已生成新的税务文件并产生罚款。
观察到的邮件主题示例：
在所有攻击活动中，邮件正文都会提供一个链接（例如用于查看行政行为文件）以及密码“2025”。受害者点击嵌入的链接后，浏览器会打开并显示一个指向“Documento archivo PDF”的链接。该 URL 为 hxxps[:]//vmi2500223[.]contaboserver[.]net/ 的变体，在完成针对墨西哥或哥斯达黎加（取决于邮件目标）的地理位置检查后，会引导至一个 ZIP 压缩包的下载。如果用户不在墨西哥或哥斯达黎加，则不会被重定向，并会出现超时错误。
这些压缩包文件包含 一个经过混淆的恶意 Virtual Basic Script (VBS)。X-Force 分析了一个名为 VER_4138SZOLMCTOhhadOBDO.vbs 的 VBS，其功能是作为一个释放器，对嵌入的 ZIP 压缩包进行 base64 解码，并将其释放到系统中，保存为 %AppData%\<12-char-random-name>.zip （例如： EJHAnQiepmGQ.zip）。该 ZIP 压缩包包含一个可扩展标记语言文件 823213123422HFPZNBLD79004462AEMGNZNC.xml ，该文件由释放器解压，重命名为 %AppData%\<12-char-random-name>.exe （例如： EJHAnQiepmGQ.exe）并执行。该释放器还会创建一个名为 %AppData%\tYcEsgSvozkyMJsMKC.txt 的文本文件，其中包含最终有效载荷的路径。
此加载器变体的运作模式与 IBM X-Force 在 2024 年报告过的其他 Grandoreiro 加载器类似。 当 EJHAnQiepmGQ.exe 被执行时，它会根据当前日期创建一个格式为 M/DD/YYYY 的互斥锁，然后向用户显示一个虚假的 PDF 对话框。如果出现任何错误，则在执行终止前会显示第二个虚假的 Adobe Reader 错误对话框。一旦用户点击对话框，加载器会执行多项反分析检查，检查是否存在正在运行的分析工具进程、注册表项、用户桌面上的 Microsoft 链接文件以及某些特定目录。
如果系统通过检查，加载器会收集系统信息，如用户名、杀毒软件、主机名、卷序列号和公共 IP 所属国家信息，以发送到 C2 服务器。公共 IP 信息从 http://ip-api.com/json 获取。
获取系统信息后，C2 域名会从字符串中解密。域名的 IP 地址通过 DNS over HTTPS，经由 URL https://dns.google/resolve?name=<C2Server> 来解析，以规避基于 DNS 的拦截。对于所分析的样本，C2 是 crispandpotato[.]workisboring[.]com。随后系统信息被发送到 C2 服务器，通常，Grandoreiro 银行木马会被下载下来。
X-Force 近期观测到一场冒充官方政府实体、旨在传播 Grandoreiro 银行木马的钓鱼攻击活动。Grandoreiro 的分发者通常以拉丁美洲用户为目标；然而， X-Force 已观察到该恶意软件扩散到拉丁美洲以外，包括中美洲、南美洲、非洲、欧洲和太平洋地区。Grandoreiro 银行木马包含 至少 1,500 个全球银行应用程序作为攻击目标，支持在 60 多个国家执行并使得攻击者能够实施银行欺诈。传播 Grandoreiro 的攻击活动值得关注，是因为与银行木马相关联的后续活动可能产生高影响。导致感染的攻击活动已使得 Grandoreiro 操作者成功窃取银行登录凭证等用户数据，并导致受害者自至少 2017 年以来可能至少损失 350 万欧元 。
我们鼓励可能受这些行动影响的组织查看以下建议：
指示符
指标类型
情境化
hxxps[:]//vmi（7 位数字）[.]contaboserver[.]net/
URL
地理围栏 URL 重定向
5.189.171.211
IPV4 地址
Contaboserver URL 解析
207.180.209.104
IPV4 地址
Contaboserver URL 解析
5.189.180.157
IPV4 地址
Contaboserver URL 解析
207.180.227.44
IPV4 地址
Contaboserver URL 解析
173.212.198.11
IPV4 地址
Contaboserver URL 解析
173.212.248.93
IPV4 地址
Contaboserver URL 解析
62.17.169.232
IPV4 地址
Contaboserver URL 解析
crispandpotato[.]workisboring[.]com
FQDN
C2
