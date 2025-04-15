2025年3月下旬、IBM® X-Forceは、地域全体での金銭的窃盗に焦点を当てた南米サイバー犯罪グループ、Hive0148に関するインシデント対応事件を主導しました。このインシデントは、2025年2月19日から3月20日までの間に発生した一連の大規模なキャンペーンの一部であり、メキシコとコスタリカのユーザーにGrandoreiroバンキング型トロイの木馬が配信されました。このインシデントでは被害者が2件のフィッシングEメールを受け取り、そのうち1件がファイル共有サービスmediafire[.]comにホストされているZIPアーカイブへ誘導されるものでした。提供されたURLをクリックして、被害者の地理位置情報がメキシコまたはコスタリカのいずれかで確立されると、すぐにcontaboserver[.]netにリダイレクトされます。ZipファイルをダウンロードするためのURL。アーカイブには、実行時にランダムに割り当てられた名前で実行可能ファイルを起動する悪意のあるVisual Basic Script（VBS）が含まれています。実行可能ファイル自体は、感染したシステムから回収できませんでした。しかし、X-Forceマルウェア・チームが悪意のあるVBSを分析して実行可能ファイルを復元したところ、これがGrandoreiroローダーであることが判明しました。
X-Forceは、メキシコとブラジルのエンティティを標的とすることが知られているGrandoreiroバンキング型トロイの木馬を配信するディストリビューターを追跡していますが、スペイン、コロンビア、コスタリカでも標的が発見されています。Grandoreiroは、マルチコンポーネント・バンキング型トロイの木馬であり、サービスとしてのマルウェア（MaaS）として運用される可能性があり、文字列復号化、ドメイン生成アルゴリズム（DGA）、感染したホストでMicrosoft Outlookクライアントを使用する機能などの特徴を備えています。フィッシングEメールを拡散する恐れがありますGrandoreiroには、被害者デバイスを列挙し、認証情報を盗み、詐欺を行うために使用する、標的となった銀行アプリケーションの大規模なハード・コード・リストが含まれています。
X-Forceは、Grandoreiroバンキング型トロイの木馬の異なるバージョンを展開している少なくとも3社のディストリビューターを追跡しています。2つはHive0148とHive0149と識別され、3番目は調査中です。Grandoreiroのディストリビューターは、感染チェーン属性（さまざまなローダーやコマンド・アンド・コントロール（C2）手法の使用、フィッシングテーマ、ターゲット、侵害指標（IOC）など、特定の施策、技法、手順（TTP）に基づいて分類されています。Grandoreiroを提供するフィッシング・キャンペーンには、税務行政サービス、連邦電力委員会（CFE）、電子請求書、国立銀行、連邦裁判所/法的通知に関連するテーマが含まれることがよくあります。
X-Forceは、2025年2月19日から3月20日の間に、メキシコとコスタリカのユーザーにGrandoreiroバンキング型トロイの木馬を配信するいくつかの大規模なHive0148キャンペーンを発見しました。このEメールは、メキシコの税務管理サービス（SAT）を含むいくつかの官公庁・自治体を装い、財務および公信用庁からであることを示すEメールを送信します。Hive0148は、SATや連邦電力委員会（CFE）に関連する、または請求書などの財務関連のテーマでEメールを送信することがよくあります。
Hive0148が使用した監視対象送信者のEメール・アドレス：
観察された一部のキャンペーンのEメール本文は、フォリオ番号[メールごとに異なる]で特定された行政行為が送信され、sat[.]gob[.]mxの税務インボックスで確認できることを受信者に通知します。おそらく信憑性を示すため、Eメールの送信者は次のような文言を含めています。「SATは、Eメールを通じて個人情報、コード、またはパスワードを要求することはありません。不審なメッセージを受信した場合は共有せず、ポータルを通じて報告してください。お客様の個人データは、個人データ保護ガイドラインおよび現行の税法に従って保護されます。これは、税務当局の権限を行使する目的にのみ使用されます。」追加のEメールは、アルゼンチン連邦公的所得省からのものであるとされ、新規税務ドキュメントが作成され、罰金が発生したことが記載されています。
観察されたEメール件名のサンプル：
すべてのキャンペーンでは、行政行為（例）やその他の関連ドキュメントを表示するリンクがEメール本文に「2025」というパスワードとともに記載されています。被害者が埋め込まれたリンクをクリックすると、ブラウザーが開いて「Documento Archive PDF」へのリンクが表示されます。hxxps[:]//vmi2500223[.]contaboserver[.]net/のバリエーションであるURLは、Eメールに応じて、メキシコまたはコスタリカの地理位置情報の確認後にZIPアーカイブのダウンロードにつながります。ユーザーがメキシコまたはコスタリカ内にいない場合は、ユーザーはリダイレクトされず、タイムアウト・エラーが表示されます。
アーカイブ・ファイルには、悪意のある難読化された仮想基本スクリプト（VBS）が含まれています。X-Forceが分析したVBSの1つであるVER_4138SZOLMCTOhhadOBDO.vbsは、base64デコードを行うドロッパーとして機能し、埋め込まれたZIPアーカイブを%AppData%\<12-char-random-name>.zipとしてシステムにドロップします。（例：EJHAnQiepmGQ.zip）。ZIPアーカイブには、拡張マークアップ言語（XML）ファイル823213123422HFPZNBLD79004462AEMGNZNC.xmlが含まれており、このファイルはドロッパーによって解凍され、%AppData%\<12-char-random-name>.exe（例：EJHAnQiepmGQ.exe）に名前が変更されて実行されます。ドロッパーは、最終的なペイロードのパスを含む%AppData%\tYcEsgSvozkyMJsMKC.txtという名前のテキスト・ファイルも作成します。
このローダーの亜種は、IBM X-Forceによって2024年に詳細に説明されているように、他のGrandoreiroローダーと同様に動作します。EJHAnQiepmGQ.exeが実行されると、M/DD/YYYY形式の現在の日付に基づいてミューテックスが作成され、偽のPDFダイアログ・ボックスがユーザーに表示されます。エラーが発生した場合、実行が終了する前に2番目の偽のAdobe Readerエラー・ダイアログが表示されます。ユーザーがダイアログ・ボックスをクリックすると、ローダーは、実行中の分析ツール・プロセス、レジストリ・キー、ユーザーのデスクトップ上のMicrosoftリンクファイル、および特定のディレクトリについて、いくつかの分析対策チェックを実行します。
システムがチェックに合格すると、ローダーは、ユーザー名、ウイルス対策ソフトウェア、ホスト名、ボリューム・シリアル番号、パブリックIPの国または地域情報などのシステム情報を収集し、C2サーバーに送信します。パブリックIP情報は、http://ip-api.com/jsonから取得されます。
システム情報が取得されると、C2ドメインは文字列から復号化されます。ドメインのIPは、DNSベースのブロックを回避するために、URL https://dns.google/resolve?name=<C2Server>を介してDNS over HTTPS経由で解決されます。分析されたサンプルの場合、C2はcrispandpotato[.]workisboring[.]comです。その後、システム情報がC2に送信され、通常、Grandoreiroバンキング型トロイの木馬がダウンロードされます。
X-Forceは、官公庁・自治体を装った最近のフィッシング・キャンペーンで、Grandoreiroバンキング型トロイの木馬を配布していることを確認しました。Grandoreiroのディストリビューターは通常、ラテンアメリカのユーザーを標的としていますが、X-Forceは、このマルウェアがラテンアメリカ以外の中南米、アフリカ、ヨーロッパ、太平洋地域に広がっていることを確認しています。Grandoreiro バンキング型トロイの木馬には、標的となる少なくとも1,500のグローバル・バンキング・アプリケーションが含まれており、攻撃者が実行をサポートし、60以上の国または地域で銀行詐欺を実行できるようにします。Grandoreiroを配信するキャンペーンは、バンキング型トロイの木馬に関連する潜在的な大きな影響を与える後続のアクティビティーのために注目されます。感染を引き起こすキャンペーンにより、Grandoreiroの実行者は銀行の認証情報などのユーザーデータを成功裏に取得し、被害者は少なくとも2017年以降に350万ユーロの詐取に遭っています。
これらのキャンペーンの影響を受ける可能性のある組織には、次の推奨事項を確認することをお勧めします。
分類
インジケーターの種類
コンテキスト
hxxps[:]//vmi（7桁）[.]contaboserver[.]net/
URL
ジオフェンスされたURLリダイレクト
5.189.171.211
IPV4アドレス
ContaboserverURL解決
207.180.209.104
IPV4アドレス
ContaboserverURL解決
5.189.180.157
IPV4アドレス
ContaboserverURL解決
207.180.227.44
IPV4アドレス
ContaboserverURL解決
173.212.198.11
IPV4アドレス
ContaboserverURL解決
173.212.248.93
IPV4アドレス
ContaboserverURL解決
62.17.169.232
IPV4アドレス
ContaboserverURL解決
crispandpotato[.]workisboring[.]com
FQDN
C2
