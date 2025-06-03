2025년 5월 초, IBM X-Force는 Hive0131이 콜롬비아 사법부를 사칭하여 콜롬비아 사용자들을 대상으로 형사 소송 절차에 대한 전자 통지를 발송하는 이메일 캠페인을 벌이는 것을 관찰했습니다. Hive0131은 남미 출신으로 추정되는 금전적 동기를 가진 그룹으로, 주로 라틴 아메리카(LATAM)에서 다양한 상품 페이로드를 전달하기 위해 정기적으로 캠페인을 수행합니다. 현재 캠페인은 공식 서신을 모방하여 임베드된 링크 또는 임베드된 링크가 포함된 PDF 미끼를 포함하고 있습니다. 포함된 링크를 클릭하면 감염 체인이 시작되어 메모리에서 뱅킹 트로이 목마 'DCRat'이 실행됩니다.
DCRat은 최소 2018년에 처음 등장한 MaaS(Malware-as-a-Service)로 운영되며 러시아 사이버 범죄 포럼에 많이 광고되고 있으며, 2개월 구독료로 약 7달러에 구매할 수 있습니다. DCRat의 존재는 널리 퍼져 있으며 적어도 2024년부터 중남미 지역에서 점점 더 인기를 얻고 있습니다. 2024년 여름, X-Force는 멕시코와 콜롬비아의 전자 문서 에코시스템을 전문으로 하는 LATAM 회사 모방하여 콜롬비아의 기업을 표적으로 삼는 여러 캠페인을 관찰했습니다. 그러나 감염 사슬과 DCRat 전달의 차이를 고려할 때 X-Force는 2024년과 현재의 캠페인이 다양한 행위자에 의해 수행되었다고 평가합니다. 2024년에 관찰된 캠페인은 GuLoader 다운로더를 실행하기 위해 NSIS가 포함된 비밀번호로 보호된 RAR 파일에 크게 의존했지만, 최근의 캠페인은 VMDetectLoader라는 난독화된 .NET 로더에 의존합니다.
위협 행위자는 추가 작업을 수행하기 위해 사용자 지정 플러그인을 만들 수 있지만, DCrat에는 다음 작업을 수행할 수 있는 플러그인이 함께 제공됩니다.
2025년 5월 초, X-Force는 콜롬비아 보고타 민사순회에서 사칭한 콜롬비아 사법부(Rama Judiciary de Colombia)를 모방한 Hive0131 이메일 캠페인이 형사 소송 절차에 대한 전자 알림을 발송하는 것을 관찰했습니다. 관찰된 캠페인에는 TinyURL에 대한 링크가 포함된 PDF 미끼가 포함되어 있거나 Google 문서 위치로 연결되는 링크가 포함되어 있습니다.
감염 사슬 개요 - TinyURL이 포함된 PDF
작은 URL로 연결되는 PDF 미끼가 포함된 이메일의 경우 피해자는 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.Uue라는 ZIP 아카이브로 리디렉션됩니다. ZIP 아카이브에는 무해한 파일과 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.js라는 악성 JavaScript 파일이 포함되어 있습니다. JavaScript 파일은 JavaScript 페이로드를 paste[.]ee 사이트에서 다운로드하여 실행합니다. 그런 다음, 이 페이로드는 파일 끝에 base64로 인코딩된 로더를 추가하여 hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg에서 JPG를 다운로드하는 PowerShell 명령을 실행합니다. 실행되면 로더는 메모리에서 DCRat을 다운로드하고 실행합니다.
로더는 샌드박스 환경에서 실행 중인지 확인할 수 있기 때문에 VMDetectLoader라는 이름이 붙여졌습니다. 분석 결과 로더는 오픈 소스 프로젝트 https://github.com/robsonfelix/VMDetector를 기반으로 하는 것으로 나타났습니다.
감염 사슬 개요 - 내장된 Google Docs 링크
이 감염 체인은 CUI 158616000129-2025-10047_122011111777.zip이라는 비밀번호로 보호된 ZIP 아카이브의 Google Docs 다운로드 링크가 포함된 피싱 이메일로 시작되며, 비밀번호는 이메일에 있고 3004입니다. 아카이브에는 배치 파일 다운로더인 CUI 158616000129-2025-10047_122011111777.bat가 포함되어 있습니다. 이 다운로더는 난독화된 VBScript(VBS) 구성 요소를
그런 다음, 최종 페이로드가 paste[.]ee URL을 통해 VMDetectLoader에 의해 다운로드됩니다. 이 URL은 PowerShell 스크립트에 의해 전달됩니다.
VMDetectLoader는 난독화된 .NET 로더입니다(Microsoft.Win32.TaskScheduler.dll). 이는 VirusTotal(https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7)에서 확인할 수 있습니다. 로더의 메타데이터를 분석한 결과, 코드가 오픈 소스 프로젝트 https://github.com/robsonfelix/VMDetector를 기반으로 하고 있음을 알 수 있습니다.
어셈블리 속성:
로더는 페이로드를 로드하기 전에 가상 머신을 탐지하고 가상 머신이 감지되면 콘솔에 호스트 속성 목록을 출력합니다. 예를 들면 다음과 같습니다.
기능성
VMDetectLoader는
인수
설명
$storeman
Base64로 인코딩된 페이로드가 다운로드되는 역순(reversed) Pastee URL입니다.
MSBuilld
타겟 인젝션 프로세스
C:\Users\Public\Downloads
예약된 작업을 만드는 데 사용되는 경로:
C:\Users\Public\Downloads\rhabdosteus.js
1
프로세스 검사를 나타내는 플래그
bimetallism
예약된 작업 이름
실행 중에 VMDetectLoader, XOR은 필요에 따라 .NET 리소스 'hIXS'에서 주목할 만한 문자열을 해독합니다.
복호화된 문자열 샘플
지속성
그렇게 하도록 구성된 경우 JavaScript 페이로드를 다운로드하고 실행하는 다음 PowerShell 명령을 실행하도록 예약된 작업이 생성됩니다.
다음 명령을 사용하여 자바스크립트 페이로드를 실행하도록 구성된 경우 다른 작업을 생성할 수 있습니다.
로더는 페이로드를 실행하기 위해 레지스트리 실행 키를 생성할 수도 있습니다.
프로세스 인젝션
VMDetectLoader에는 프로세스 할로잉 인젝션(process hollowing injection) 기법을 사용하여 페이로드를 다양한 대상 프로세스 인스턴스에 로드할 수 있는 기능이 있습니다. 예를 들어, 분석된 캠페인의 경우C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe(32-bit) 또는 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe(64비트)가 대상 프로세스입니다. 프로세스 인젝션을 담당하는 함수의 이름은 64비트 샘플의 경우 HackForums.gigajew.x64.Load()이고, 32비트 샘플의 경우 dnlib.IO.Tools.Ande()입니다.
프로세스 할로잉 인젝션 프로세스:
VMDetectLoader가 안전한 환경에서 실행 중이라고 판단하면 프로세스 할로잉을 통해 최종 페이로드가 로드됩니다. 이 경우 최종 페이로드는 다음과 같은 구성 데이터가 포함된 DCRat입니다.
X-Force는 라틴 아메리카 환경에서 금전적 이득을 목적으로 MaaS를 제공하는 이메일 캠페인을 수행하는 여러 그룹을 추적합니다. 추적된 그룹 중에는 Grandoriero Banking 트로이 목마를 전달하는 데 중점을 둔 Hive0148 및 Hive0149, Adwind 및 SambaSpy 멀웨어를 전달하는 Hive0153, Hive0131이 있습니다. Hive0131은 일반적으로 QuasarRAT 및 NjRAT과 같은 멀웨어를 전송하는 작업에 초점을 맞추고 있지만 X-Force는 dCraT와 관련된 캠페인이 증가하고 있음을 확인했습니다. IBM X-Force는 중남미 지역의 사용자에게 뱅킹 멀웨어가 지속적으로 전달되고 있는 상황에서 라틴 아메리카는 사용자 자격 증명 및 기타 민감한 정보를 얻기 위해 피싱 캠페인을 통해 뱅킹 트로이 목마를 배포하려는 위협 행위자가 계속 표적이 될 것으로 평가합니다.
LATAM 지역의 기업들은 첨부 파일, 링크 또는 파일 다운로드를 유도하는 이메일에 주의를 기울이는 것이 좋습니다. 또한 다음을 수행할 것을 권장합니다.
지표
지표 유형
컨텍스트
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
캐리어 파일
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
ZIP 아카이브
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
난독화된 .NET 로더
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
ZIP 아카이브
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS 스크립트
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS 스크립트
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
배치 스크립트 다운로더
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
URL
내장된 PDF 링크
hxxp://paste[.]ee/d/bx699sF9/0
URL
페이로드 다운로드 URL
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
URL
내장된 이메일 링크
hxxp://paste[.]ee/d/jYHEqBJ3/0
URL
페이로드 다운로드 URL
hxxps://archive[.]org/download/new_ABBAS/new_
URL
JPG 다운로드 URL
hxxps://ia601205.us.archive[.]org/26/items/new_
URL
JPG 다운로드 URL
