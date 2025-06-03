في أوائل مايو 2025، رصد فريق IBM X-Force قيام الجهة Hive0131 بتنفيذ حملات بريد إلكتروني استهدفت مستخدمين في كولومبيا، تضمنت إشعارات إلكترونية بإجراءات جنائية زُعم بأنها صادرة عن السلطة القضائية في كولومبيا. تُعد Hive0131 مجموعة ذات دوافع مالية يُرجَّح أنها تنحدر من أمريكا الجنوبية، وتنفِّذ بشكل منتظم حملات في أمريكا اللاتينية (LATAM) لتوصيل مجموعة واسعة من الحمولات البرمجية الشائعة. تقلِّد الحملات الحالية المراسلات الرسمية وتحتوي على رابط مضمَّن أو ملف PDF جذاب يحتوي على رابط مضمَّن. يؤدي النقر على الرابط المضمَّن إلى بدء سلسلة الإصابة لتنفيذ حصان طروادة المصرفي DCRat في الذاكرة.
يتم تشغيل DCRat وفق نموذج البرمجيات الضارة كخدمة (MaaS)، وقد ظهر لأول مرة على الأقل منذ عام 2018، مع ترويجه على نطاق واسع في منتديات الجرائم الإلكترونية الروسية، حيث يمكن شراؤه بحوالي 7 دولارات أمريكية لاشتراك لمدة شهرين. ينتشر وجود DCRat على نطاق واسع وقد أصبح شائعًا بشكل متزايد في أمريكا اللاتينية والكاريبي منذ عام 2024 على الأقل. خلال صيف 2024، لاحظت X-Force عدة حملات تستهدف كيانات في كولومبيا، جميعها تقلِّد شركة لاتينية متخصصة في النظم البنائية الإلكترونية في المكسيك وكولومبيا. ومع ذلك، وبالنظر إلى الاختلافات في سلسلة الإصابة وآلية توصيل DCRat، تقيِّم X-Force أن حملات عام 2024 والحملات الحالية تم تنفيذها من قِبل جهات فاعلة مختلفة. اعتمدت الحملات التي تم رصدها في عام 2024 بشكل كبير على ملفات RAR محمية بكلمات مرور تحتوي على NSIS لتنفيذ أداة التنزيل GuLoader، في حين تعتمد هذه الحملات الأخيرة على مُحمِّل .NET مُموَّه أطلقنا عليه اسم VMDetectLoader.
يأتي DCRat مزوّدًا بعناصر إضافية قادرة على تنفيذ المهام التالية، مع إمكانية قيام الجهات المهدِّدة بإنشاء عناصر إضافية مخصّصة لتنفيذ مهام إضافية.
MaaS
في أوائل مايو 2025، راقب X-Force حملات البريد الإلكتروني Hive0131 التي تقلِّد هيئة القضاء الكولومبية (Rama Judicial de Colombia)، التي تدعي أنها من الدائرة المدنية في بوغوتا، كولومبيا، لإرسال إشعارات إلكترونية عن الإجراءات الجنائية. تتضمن الحملات التي تم رصدها إما ملف PDF خداعيًّا يحتوي على رابط يقود إلى TinyURL، وإمَّا رابطًا مضمّنًا يؤدي إلى موقع على Google Docs.
نظرة عامة على سلسلة الإصابة - ملف PDF مع رابط TinyURL
بالنسبة لرسائل البريد الإلكتروني التي تحتوي على ملف PDF يؤدي إلى عنوان URL صغير، تتم إعادة توجيه الضحية إلى أرشيف ZIP باسم 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.Uue. يحتوي أرشيف ZIP على ملفات حميدة بالإضافة إلى ملف JavaScript ضار يُسمى 1Juzgado 08 Civil Circuito de Bogotá Notificacion Electronica Orden de Embargo.js. يقوم ملف جافا سكريبت بتنزيل حمولة جافا سكريبت من موقع paste[.]ee ثم يقوم بتنفيذها. ثم تقوم هذه الحمولة بتنفيذ أمر PowerShell الذي يقوم بتنزيل صورة JPG من hxxps://archive[.]org/download/new_ABBAS/new_ABBAS.jpg مع إضافة برنامج تحميل مشفر بصيغة base64 إلى نهاية الملف. بمجرد التنفيذ ، يقوم المحمِّل بتنزيل وتنفيذ DCRat في الذاكرة.
يطلق على المحمِّل اسم VMDetectLoader بسبب قدرته على تحديد ما إذا كان يعمل في بيئة تجريبية. يشير التحليل إلى أن المحمِّل يعتمد على المشروع مفتوح المصدر https://github.com/robsonfelix/VMDetector.
نظرة عامة على سلسلة الإصابة - رابط Google Docs مضمَّن
تبدأ سلسلة الإصابة هذه عبر رسائل تصيّد احتيالي تحتوي على رابط لتنزيل ملف من Google Docs، وهو أرشيف ZIP محمي بكلمة مرور باسم CUI 158616000129-2025-10047_122011111777.zip، حيث تكون كلمة المرور مذكورة في رسالة البريد الإلكتروني وهي 3004. يحتوي الأرشيف على برنامج تنزيل ملفات دفعية، CUI 158616000129-2025-10047_122011111777.bat، يقوم بتنزيل وتنفيذ مكون VBScript (VBS) مُشفر من
ثم يتم تنزيل الحمولة النهائية بواسطة VMDetectLoader عبر paste[.]ee عنوان URL الذي تم تمريره إليه بواسطة برنامج PowerShell النصي.
VMDetectLoader هو برنامج تحميل .NET مُشفر (Microsoft.Win32.TaskScheduler.dll) والذي يمكن العثور عليه على VirusTotal على الرابط التالي: https://www.virustotal.com/gui/file/0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7. يشير تحليل البيانات الوصفية للمحمِّل إلى أن الكود يعتمد على مشروع مفتوح المصدر https://github.com/robsonfelix/VMDetector.
سمات التجميع:
قبل تحميل الحمولة، يكتشف المحمِّل الأجهزة الافتراضية، ويطبع قائمة بخصائص المضيف على وحدة التحكم إذا تم اكتشاف جهاز افتراضي. على سبيل المثال:
الوظيفة
يتم تنفيذ VMDetectLoader عبر وظيفة
الوسيط
الوصف
$storeman
عنوان URL المعكوس للمدعى الذي يمكن من خلاله تنزيل الحمولة المشفرة بـ Base64.
MSBuilld
عملية الحقن المستهدفة
C:\Users\Public\Downloads
المسار المستخدم في إنشاء مهمة مجدولة:
C:\Users\Public\Downloads\rhabdosteus.js
1
علامة تُشير إلى عمليات التحقق من العمليات
bimetallism
اسم المهمة المجدولة
أثناء التنفيذ، يقوم VMDetectLoader، يقوم XOR بفك تشفير السلاسل البارزة حسب الحاجة من مورد .NET "hIXS".
عينة من السلاسل التي تم فك تشفيرها
الاستمرارية
في حالة تكوينها للقيام بذلك، يتم إنشاء مهمة مجدولة لتنفيذ أمر PowerShell التالي الذي يقوم بتنزيل حمولة JavaScript وتنفيذها:
يمكن إنشاء مهمة أخرى، في حالة تكوينها، لتنفيذ حمولة JavaScript باستخدام الأمر التالي:
قد يقوم المحمِّل أيضًا بإنشاء مفتاح تشغيل التسجيل لتنفيذ الحمولة:
حقن العملية
يتمتع برنامج VMDetectLoader بالقدرة على استخدام تقنية حقن تجويف العملية لتحميل حمولة في مثيلات العمليات المستهدفة المختلفة. على سبيل المثال، بالنسبة للحملة التي تم تحليلها، فإن C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe (32-bit) أو C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe (64-bit) هي العملية المستهدفة. الدالة المسؤولة عن حقن العمليات تُعرَف باسم HackForums.gigajew.x64.Load() للعينات ذات 64 بت وdnlib.IO.Tools.Ande() للعينات ذات 32 بت.
عملية حقن التجويف:
إذا حدد VMDetectLoader أنه يعمل في بيئة آمنة، فسيتم تحميل الحمولة النهائية عبر عملية تفريغ العملية. في هذه الحالة، الحمولة النهائية هي DCRat مع بيانات التكوين التالية.
يتعقب X-Force العديد من المجموعات العاملة في مجال التهديدات في أمريكا اللاتينية والتي تقوم بحملات بريد إلكتروني لتقديم خدمات التسويق عبر البريد الإلكتروني بهدف تحقيق مكاسب مالية. ومن بين المجموعات التي تم تتبعها Hive0148 وHive0149، والتي تركِّز على تقديم حصان طروادة المصرفي Grandoriero، وHive0153 التي تقدم برامج Adwind وSambaSpy الخبيثة، وHive0131. على الرغم من أن Hive0131 تركِّز عادة على العمليات المتعلقة بتوصيل البرامج الضارة مثل QuasarRAT وNjRAT، فقد لاحظ X-Force زيادة في الحملات التي تتضمن DCRat. مع استمرار رصد البرامج الضارة المصرفية التي يتم إيصالها إلى المستخدمين في أمريكا اللاتينية، يقدِّر فريق IBM X-Force أن أمريكا اللاتينية ستستمر في مواجهة استهداف من قبل جهات تهديد تسعى إلى نشر برامج التجسس المصرفية عبر حملات التصيد الاحتيالي في محاولات للحصول على بيانات اعتماد المستخدم وغيرها من المعلومات الحساسة.
تُنصح الكيانات في أمريكا اللاتينية بتوخي الحذر عند التعامل مع رسائل البريد الإلكتروني التي تحتوي على مرفقات أو روابط أو التي تحث على تنزيل الملفات. بالإضافة إلى ذلك، تُنصح الكيانات بإجراء ما يلي:
المؤشر
نوع المؤشر
السياق
4ce1d456fa8831733ac01c4a2a32044b6581664d3
SHA256
ملف الناقل
6a632d8356f42694adb21c064aa9e8710b65addd
SHA256
أرشيف ZIP
1603c606d62e7794da09c51ca7f321bb555044916
SHA256
DCRat
ceb88c09069b5ddc8ca525b7f2e26c4852465bc0
SHA256
JS
0df13fd42fb4a4374981474ea87895a3830eddcc7f3
SHA256
أداة تحميل .NET مشفرة
db21cc64fb7a7ed9075c96600b7e7e7007a0df7cb8
SHA256
أرشيف ZIP
3c95678d140825b56e04298ce6238ce22b34611d25
SHA256
PS Script
7c3fbea63b7cdf013ef26831bb1850c80f4bfad0103328
SHA256
PS Script
b16588e0e2c6a0c8ff080ded57abe8159008d040ae
SHA256
أداة تنزيل البرامج النصية الدفعية
hxxps://tinyurl[.]com/2ypy4jrz?id=5541213d-0ed8
عنوان URL
رابط PDF مضمَّن
hxxp://paste[.]ee/d/bx699sF9/0
عنوان URL
رابط تنزيل الحمولة
hxxps://docs[.]google[.]com/uc?export=download&id=1aJuQtm8YUqZv12E-atslt_GvBWZ
عنوان URL
رابط بريد إلكتروني مضمَّن
hxxp://paste[.]ee/d/jYHEqBJ3/0
عنوان URL
رابط تنزيل الحمولة
hxxps://archive[.]org/download/new_ABBAS/new_
عنوان URL
عنوان URL لتنزيل JPG
hxxps://ia601205.us.archive[.]org/26/items/new_
عنوان URL
عنوان URL لتنزيل JPG
