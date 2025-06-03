2025年5月初旬、IBM® X-Forceは、Hive0131が、コロンビアの司法機関からのものであると称して、刑事訴訟の電子通知とともにコロンビアのユーザーを対象としたEメール・キャンペーンを実施しているのを発見しました。Hive0131は、おそらく南米を拠点とする金銭目的のグループであり、主にラテン・アメリカ（LATAM）で日常的にキャンペーンを実施し、さまざまなコモディティ・ペイロードを提供しています。現在のキャンペーンは、公式の通信を模倣し、埋め込みリンクまたは埋め込みリンクを含むPDFルアーを含めています。埋め込まれたリンクをクリックすると、感染チェーンがInitiateされ、メモリー内でバンキング型トロイの木馬「DCRat」が実行されます。
DCRatはサービスとしてのマルウェア（MaaS）として運営されており、少なくとも2018年に初めて登場し、ロシアのサイバー犯罪フォーラムで大々的に宣伝され、2カ月のサブスクリプションは約7米ドルで購入できます。DCRatの存在は広く、少なくとも2024年以降、中南米でますます人気が高まっています。2024年の夏にかけて、X-Forceはコロンビアの組織を重点的に標的にしたいくつかのキャンペーンを発見しましたが、すべてメキシコとコロンビアの電子文書エコシステムを専門とするLATAM企業を模倣しています。しかしX-Forceは、感染チェーンとDCRatの配信の違いを考慮して、2024年と現在のキャンペーンは異なる攻撃者によって実施されたと評価しています。2024年に発見されたキャンペーンは、GuLoaderのダウンローダーを実行するために、NSISを含むパスワードで保護されたRARファイルに大きく依存していましたが、最近のキャンペーンは、VMDetectLoaderと名付けた難読化された.NETローダーに依存しています。
DCRatには、以下のタスクを実行できるプラグインが付属していますが、脅威アクターは、追加のタスクを実行するためにカスタム・プラグインを作成する場合があります。
2025年5月初旬、X-Forceは、コロンビアのボゴタ民営改善局からのものであると偽るHive0131 Eメール・キャンペーンを発見し、刑事手続きの電子通知を送信しました。発見されたキャンペーンには、TinyURLへのリンクを含むPDFルアーが含まれているか、またはGoogle Docsの場所への埋め込みリンクが含まれています。
感染チェーンの概要 - TinyURLを含むPDF
ミニURLに導くPDFルアーを含むEメールの場合、被害者は1Juzgado 08 Civil Circuito de BoGotá Notificationa Orden de Embargo.Uueという名前のZIPアーカイブにリダイレクトされます。ZIPアーカイブには、無害なファイルと、1Juzzgado 08 Civil Circuito de BoGotá Notificationa Orden de Embargo.jsという名前の悪意のあるJavaScriptファイルが含まれています。JavaScriptファイルは、paste[.]eeサイトからJavaScriptペイロードをダウンロードし、それを実行します。このペイロードは、hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpgからJPGをダウンロードするPowerShellコマンドを実行し、ファイルの最後にbase64でエンコードされたローダーを追加します。実行されると、ローダーはDCRatをダウンロードし、メモリー内で実行します。
このローダーは、サンドボックス環境で実行されているかどうかを判断する機能からVMDetectLoaderという名前が付けられています。分析によると、このローダーはオープンソースプロジェクトhttps://github.com/robsonfelix/VMDetectorを基に開発されていることが判明しました。
感染チェーンの概要 - 埋め込みのGoogle Docsリンク
この感染チェーンは、「CUI 158616000129-2025-10047_122011111777.zip」という名前のパスワードで保護されたZIPアーカイブのGoogle Docsダウンロードへのリンクを含むフィッシングEメールによって開始されます。そのEメールのパスワードは3004です。アーカイブには、バッチ・ファイル・ダウンローダー、CUI 158616000129-2025-10047_122011111777.batが含まれています。
。最終ペイロードは、paste[.]eeを介してVMDetectLoaderによってダウンロードされます。PowerShellスクリプトによって渡されたURL。
VMDetectLoaderは、難読化された.NETローダー（Microsoft.Win32.TaskScheduler.dll）です。これはVirusTotalのhttps://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7で見つけることができます。。ローダーのメタデータを分析すると、このコードはオープンソースプロジェクトhttps://github.com/robsonfelix/VMDetector。
アセンブリの属性：
ペイロードを読み込む前に、ローダーは仮想マシンを検知し、VMが検出された場合はホスト属性のリストをコンソールに印刷します。例：
機能性
VMDetectLoaderは
引数
説明
$storeman
Base64でエンコードされたペイロードがダウンロードされる逆ペーストURL。
MSBuilld
ターゲット注入プロセス
C:\Users\Public\Downloads
スケジュール済みのタスク作成に使用されるパス：
C:\Users\Public\Downloads\rhabdosteus.js
1
プロセスのチェックを示すフラグ
bimetallism
スケジュールされたタスク名
実行中、VMDetectLoader、XORは必要に応じて参考情報「hIXS」から重要な文字列を復号化します。
復号文字列のサンプル
永続性
そのように設定されている場合は、JavaScriptペイロードをダウンロードして実行する次のPowerShellコマンドを実行するようにスケジュールされたタスクが作成されます。
設定されている場合は、次のコマンドを使用してJavaScriptペイロードを実行する別のタスクを作成することができます。
ローダーはペイロードを実行するためにレジストリーのラン・キーを作成する場合もあります。
プロセス注入
VMDetectLoaderには、プロセス・ホスティング・インジェクション技術を使用して、さまざまなターゲット・プロセス・インスタンスにペイロードをロードする機能があります。例えば、分析されたキャンペーンの場合、C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit)またはC:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit)が対象プロセスです。プロセス・インジェクションを担当する関数は、64ビット・サンプルの場合はHackForums.gigajew.x64.Load()、32ビット・サンプルの場合はdnlib.IO.Tools.Ande()という名前です。
ホクラウド・インジェクションのプロセス：
VMDetectLoaderが安全な環境で実行されていると判断した場合、最終ペイロードはプロセス・ホライズンを介してロードされます。このインスタンスでは、最終ペイロードは、次の構成データを持つDCRatです。
X-Forceは、ラテン・アメリカの脅威環境で活動し、金銭的利益を目的としてMaaSを提供するEメール・キャンペーンを実施するいくつかのグループを追跡しています。追跡されているグループには、Grandorieroバンキング型トロイの木馬の配信に重点を置いたHive0148とHive0149、AdwinとSambaSpyマルウェアを配信するHive0153、およびHive0131があります。Hive0131は通常、QuasarRATやNjRATなどのマルウェアの配布によるオペレーションに焦点を当てていますが、X-ForceはDCRatを関与させるキャンペーンの増加を発見しています。LATAM内のユーザーにバンキング・マルウェアを着実かつ継続的に発見していることから、IBM® X-Forceは、ラテン・アメリカが、ユーザー認証情報やその他の機密情報を入手しようとするフィッシング・キャンペーンを通じてバンキング型トロイの木馬を展開しようとする攻撃者からの標的に直面し続けるだろうと予測しています。
ラテン・アメリカの企業は、添付ファイル、リンク、またはプロンプト・ファイルのダウンロードを含むEメールに注意を払うことが推奨されています。さらに、事業体は以下を実行することが推奨されます。
分類
インジケーター・タイプ
コンテキスト
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
キャリア・ファイル
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
ZIPアーカイブ
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
Obfuscated .NET Loader
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
ZIPアーカイブ
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PSスクリプト
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PSスクリプト
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
バッチ・スクリプト・ダウンローダー
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
埋め込みPDFリンク
hxxp://paste[.]ee/d/bx699sF9/0
URL
ペイロード・ダウンロードURL
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
埋め込みEメール・リンク
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
ペイロード・ダウンロードURL
hxxps://archive[.]org/download/new_ABBAS/new_
URL
JPGダウンロードURL
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
JPGダウンロードURL
