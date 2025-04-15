2025년 3월 말, IBM X-Force는 지역 전역의 금융 절도에 초점을 맞춘 남미 사이버 범죄 그룹인 Hive0148과 관련된 인시던트 대응 사례를 주도했습니다. 이 사건은 2025년 2월 19일부터 3월 20일 사이에 멕시코와 코스타리카의 사용자에게 Grandoreiro 뱅킹 트로이 목마를 전달하는 일련의 대규모 캠페인의 일환이었습니다. 이 사건에서는 피해자가 두 개의 피싱 이메일을 받았으며, 그 중 하나는 파일 공유 서비스인 Mediafire[.]com에서 호스팅되는 ZIP 아카이브로 이어졌습니다. 제공된 URL을 클릭하면 피해자의 지리적 위치가 멕시코 또는 코스타리카로 확인될 경우, 해당 사용자는 즉시 contaboserver[.]net URL로 리디렉션되어 ZIP 파일을 다운로드하게 됩니다. 아카이브에는 실행 시 무작위로 할당된 이름으로 실행 파일을 실행하는 악성 Visual Basic Script(VBS)가 포함되어 있습니다. 감염된 시스템에서 실행 파일 자체를 복구할 수 없습니다. 그러나 X-Force 멀웨어 팀은 악성 VBS를 분석하여 실행 파일을 복구했으며, 이 실행 파일은 Grandoreiro Loader로 밝혀졌습니다.

X-Force는 멕시코와 브라질의 기업을 표적으로 삼는 것으로 알려진 Grandoreiro 뱅킹 트로이 목마를 배포하는 배포자를 추적하지만, 스페인, 콜롬비아, 코스타리카에서도 표적이 관찰되었습니다. Grandoreiro는 다중 구성 요소 뱅킹 트로이 목마로, 서비스형 멀웨어(MaaS) 형태로 운영될 가능성이 높습니다. 문자열 복호화, 도메인 생성 알고리즘(DGA) 등의 특징을 지니며, 감염된 호스트에서 Microsoft Outlook 클라이언트를 활용하여 추가 피싱 이메일을 유포하는 기능도 갖추고 있습니다. Grandoreiro에는 피해자의 디바이스를 열거하고, 자격 증명을 도용하고, 사기를 저지르는 데 사용하는 하드 코딩된 대규모의 표적 뱅킹 애플리케이션 목록이 포함되어 있습니다.

X-Force는 서로 다른 버전의 Grandoreiro 뱅킹 트로이 목마를 배포하는 최소 3개의 배포자를 추적하고 있으며, 이 중 2개는 Hive0148 및 Hive0149로 식별되고 나머지 1개는 개발 중입니다. Grandoreiro 배포자는 다양한 로더 및 명령 및 제어(C2) 기술, 피싱 테마, 대상 및 침해 지표(IOC) 사용을 포함한 감염 체인 속성과 같은 특정 전술, 기술 및 절차(TTP)에 따라 그룹화됩니다. Grandoreiro를 전달하는 피싱 캠페인에는 세금 관리 서비스, 연방 전기 위원회(CFE), 전자 청구, 국립 은행 및 연방 법원/법적 통지와 관련된 주제가 포함되는 경우가 많습니다.