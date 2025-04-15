2025년 3월 말, IBM X-Force는 지역 전역의 금융 절도에 초점을 맞춘 남미 사이버 범죄 그룹인 Hive0148과 관련된 인시던트 대응 사례를 주도했습니다. 이 사건은 2025년 2월 19일부터 3월 20일 사이에 멕시코와 코스타리카의 사용자에게 Grandoreiro 뱅킹 트로이 목마를 전달하는 일련의 대규모 캠페인의 일환이었습니다. 이 사건에서는 피해자가 두 개의 피싱 이메일을 받았으며, 그 중 하나는 파일 공유 서비스인 Mediafire[.]com에서 호스팅되는 ZIP 아카이브로 이어졌습니다. 제공된 URL을 클릭하면 피해자의 지리적 위치가 멕시코 또는 코스타리카로 확인될 경우, 해당 사용자는 즉시 contaboserver[.]net URL로 리디렉션되어 ZIP 파일을 다운로드하게 됩니다. 아카이브에는 실행 시 무작위로 할당된 이름으로 실행 파일을 실행하는 악성 Visual Basic Script(VBS)가 포함되어 있습니다. 감염된 시스템에서 실행 파일 자체를 복구할 수 없습니다. 그러나 X-Force 멀웨어 팀은 악성 VBS를 분석하여 실행 파일을 복구했으며, 이 실행 파일은 Grandoreiro Loader로 밝혀졌습니다.
X-Force는 멕시코와 브라질의 기업을 표적으로 삼는 것으로 알려진 Grandoreiro 뱅킹 트로이 목마를 배포하는 배포자를 추적하지만, 스페인, 콜롬비아, 코스타리카에서도 표적이 관찰되었습니다. Grandoreiro는 다중 구성 요소 뱅킹 트로이 목마로, 서비스형 멀웨어(MaaS) 형태로 운영될 가능성이 높습니다. 문자열 복호화, 도메인 생성 알고리즘(DGA) 등의 특징을 지니며, 감염된 호스트에서 Microsoft Outlook 클라이언트를 활용하여 추가 피싱 이메일을 유포하는 기능도 갖추고 있습니다. Grandoreiro에는 피해자의 디바이스를 열거하고, 자격 증명을 도용하고, 사기를 저지르는 데 사용하는 하드 코딩된 대규모의 표적 뱅킹 애플리케이션 목록이 포함되어 있습니다.
X-Force는 서로 다른 버전의 Grandoreiro 뱅킹 트로이 목마를 배포하는 최소 3개의 배포자를 추적하고 있으며, 이 중 2개는 Hive0148 및 Hive0149로 식별되고 나머지 1개는 개발 중입니다. Grandoreiro 배포자는 다양한 로더 및 명령 및 제어(C2) 기술, 피싱 테마, 대상 및 침해 지표(IOC) 사용을 포함한 감염 체인 속성과 같은 특정 전술, 기술 및 절차(TTP)에 따라 그룹화됩니다. Grandoreiro를 전달하는 피싱 캠페인에는 세금 관리 서비스, 연방 전기 위원회(CFE), 전자 청구, 국립 은행 및 연방 법원/법적 통지와 관련된 주제가 포함되는 경우가 많습니다.
X-Force는 2025년 2월 19일부터 3월 20일까지 멕시코와 코스타리카의 사용자에게 Grandoreiro 뱅킹 트로이 목마를 전달하는 대규모 Hive0148 캠페인을 여러 건 관찰했습니다. 이 이메일은 멕시코 국세청(SAT)을 포함한 여러 정부 조직을 스푸핑하여 재무 및 공공 신용 사무국에서 보낸 것처럼 위장한 이메일입니다. Hive0148은 종종 SAT 또는 연방전기위원회(CFE) 또는 금융 관련 주제(예: 청구)가 포함된 이메일을 보냅니다.
관찰된 발신자 이메일 주소 Hive0148 사용:
관찰된 일부 캠페인의 이메일 본문은 수신자에게 폴리오 번호 [이메일마다 다름]로 식별된 관리 조치가 전송되었음을 알려주며, 수신자의 세금 받은 편지함(at[.]gob[.]mx)에서 검토할 수 있습니다. 이메일 발신자에는 진위를 위해 다음과 같은 문구가 포함되어 있습니다. "SAT는 이메일을 통해 개인 정보, 코드 또는 비밀번호를 요청하지 않습니다. 의심스러운 메시지를 받은 경우 메시지를 공유하지 말고 포털을 통해 신고하세요. 귀하의 개인 데이터는 개인 데이터 보호 지침 및 현행 세금 규정에 따라 보호됩니다. 세무 당국의 권한을 행사하는 데만 사용됩니다." 아르헨티나 연방 공공 소득세청에서 보낸 것으로 추정되는 추가 이메일 내용으로, 새로운 세금 문서가 생성되어 벌금이 부과되었다는 내용이 포함되어 있습니다.
관찰된 이메일 제목의 샘플:
모든 캠페인에서 이메일 본문에는 행정법(예: 행정법령) 또는 기타 관련 문서를 볼 수 있는 링크가 비밀번호 '2025'와 함께 제공됩니다. 피해자가 포함된 링크를 클릭하면 브라우저가 열리고 'Documentoarchivo PDF'에 대한 링크가 표시됩니다. URL은 hxxps[:]//vmi2500223[.]contaboserver[.]net/의 변형이며, 이메일에 따라 멕시코 또는 코스타리카의 지리적 위치를 확인한 후 ZIP 아카이브 다운로드로 연결됩니다. 사용자가 멕시코 또는 코스타리카에 있지 않은 경우 리디렉션되지 않으며 시간 초과 오류가 표시됩니다.
아카이브 파일에는 악의적으로 난독화된 가상 기본 스크립트(VBS)가 포함되어 있습니다. X-Force에서 분석한 VBS인 VER_4138SZOLMCTOhhadOBDO.vbs는 내장된 ZIP 아카이브를 base64로 디코딩하여 %AppData%\<12-char-random-name>.zip으로 시스템에 삭제하는 드로퍼 역할을 합니다 (예: EJHAnQiepmGQ.zip). ZIP 아카이브에는 확장 가능한 마크업 언어(XML) 파일 823213123422HFPZNBLD79004462AEMGNZNC.xml이 포함되어 있으며, 이 파일은 드로퍼로 압축을 풀고 %AppData%\<12-char-random-name>.exe로 이름을 변경(예: EJHAnQiepmGQ.exe)하고 실행합니다. 또한 드로퍼는 최종 페이로드의 경로가 포함된 %AppData%\tYcEsgSvozkyMJsMKC.txt라는 텍스트 파일을 생성합니다.
이 로더 변형은 IBM X-Force에서 2024년에 자세히 설명한 다른 Grandoreiro 로더와 유사하게 작동합니다. EJHAnQiepmGQ.exe가 실행되면 현재 날짜를 기반으로 M/DD/YYYY 형식의 mutex를 만든 후 사용자에게 가짜 PDF 대화 상자를 표시합니다. 오류가 발생하면 실행이 종료되기 전에 두 번째 가짜 Adobe Reader 오류 대화 상자가 표시됩니다. 사용자가 대화 상자를 클릭하면 로더는 실행 중인 분석 도구 프로세스, 레지스트리 키, 사용자 데스크톱 및 특정 디렉터리의 Microsoft 링크 파일에 대한 여러 안티 분석 검사를 수행합니다.
시스템이 검사를 통과하면 로더는 사용자 이름, 바이러스 백신 소프트웨어, 호스트 이름, 볼륨 일련 번호 및 공용 IP 국가 정보와 같은 시스템 정보를 수집하여 C2 서버로 전송합니다. 공개 IP 정보는 http://ip-api.com/json에서 얻을 수 있습니다.
시스템 정보를 가져오면 C2 도메인이 문자열에서 해독됩니다. 도메인의 IP는 DNS 기반 차단을 우회하기 위해 https://dns.google/resolve?name=<C2Server> URL을 통해 DNS over HTTPS를 통해 확인됩니다. 분석된 샘플의 경우 C2는 crispandpotato[.]workisboring[.]com입니다. 그러면 시스템 정보가 C2 서버로 전송되고, 일반적으로 Grandoreiro 뱅킹 트로이목마가 다운로드됩니다.
X-Force는 최근 공식 정부 기관을 사칭하여 Grandoreiro 뱅킹 트로이 목마를 전달하는 피싱 캠페인을 관찰했습니다. Grandoreiro 배포자는 일반적으로 라틴 아메리카의 사용자를 대상으로 하지만 X-Force는 멀웨어가 중남미, 아프리카, 유럽 및 태평양 지역을 포함하여 LATAM 이외의 지역으로 확산되는 것을 관찰했습니다. Grandoreiro 뱅킹 트로이 목마에는 최소 1,500개의 글로벌 뱅킹 애플리케이션이 포함되어 있어 실행을 지원하고 공격자가 60여 개국에서 은행 사기를 수행할 수 있도록 지원합니다. Grandoreiro를 전달하는 캠페인은 뱅킹 트로이 목마와 관련된 잠재적인 영향력이 큰 후속 활동으로 인해 주목할 만합니다. Grandoreiro 멀웨어 감염 캠페인으로 인해 운영자들은 은행 자격 증명을 성공적으로 탈취했으며, 피해자들은 적어도 2017년부터 최소 350만 유로에 달하는 금액의 사기 피해를 입은 것으로 추정됩니다.
이러한 캠페인의 영향을 받을 수 있는 조직은 다음 추천 사항을 검토할 것을 권장합니다.
지표
지시기 유형
컨텍스트
hxxps[:]//vmi(7digits)[.]contaboserver[.]net/
URL
지오펜스 URL 리디렉션
5.189.171.211
IPV4 주소
Contaboserver URL 확인
207.180.209.104
IPV4 주소
Contaboserver URL 확인
5.189.180.157
IPV4 주소
Contaboserver URL 확인
207.180.227.44
IPV4 주소
Contaboserver URL 확인
173.212.198.11
IPV4 주소
Contaboserver URL 확인
173.212.248.93
IPV4 주소
Contaboserver URL 확인
62.17.169.232
IPV4 주소
Contaboserver URL 확인
Crispandpotato[.]workisboring[.]com
FQDN
C2
