Horabot はメキシコで再出現し、より複雑なマルチステージのキルチェーンを用いており、偽の CAPTCHA ルアー、生活の地(Living-off-the-land)スクリプティング、およびメールワームスタイルのスプレッダーを組み合わせてラテンアメリカの銀行型トロイの木馬を配信しています。
SOC Files シリーズのこの号では、弊社の MDR チームが数ヶ月前に追跡した標的型 Horabot キャンペーンを詳細に分析しました。このキャンペーンは、顧客環境で疑わしい MSHTA アクティビティをフラグした エンドポイントアラートのきっかけになりました。
その後の脅威ハンティングとインフラストラクチャ ピボットにより、これが Delphi 銀行型トロイの木馬、メールスプレッダー、および複数層の難読化されたスクリプトを組み合わせたアクティブな Horabot 操作の一部であることが判明しました。
攻撃者が管理していた露出したウェブページには、5,384 件のエントリを含む被害者パネルが表示されており、侵害されたホストの約 93% がメキシコに位置していることが、この波の地理的焦点を示しています。
Kaspersky Endpoint Security がこの実行をブロックし、悪意のあるプロセスを終了して脅威が完全に実行される前に関連ファイルを削除しました。
スクリプトおよびスプレッダー コメント内の言語的痕跡はブラジル ポルトガル語で書かれており、ブラジルを起源とするオペレーターを指していますが、ラテンアメリカのスペイン語圏ターゲットに明確に焦点を当てています。
マルチステージ フィッシング チェーン
感染は、攻撃者インフラ上でホストされた偽の CAPTCHA ページから始まり、このページは被害者に Run ダイアログを開いて、リモート HTA ファイルを指す指定された mshta コマンドを実行するよう指示しています。
上記のインシデントでは、このページは URL https://evs.grupotuis[.]buzz/0capcha17/ に位置していました。
その HTA はブランク ウィンドウを表示しながら、外部 JavaScript を引き出す小さなローダーとして機能し、ページ ヘッダーに VBScript 参照を動的に挿入します。
VBScript レイヤーはサーバー側ポリモーフィズムで提供されます。つまり、各リクエストは若干異なっているが機能的には同等のスクリプトを返し、静的検出を複雑にしています。
その後の VBScript ステージは複雑性が増し、重い難読化、カスタム文字列デコーダー、アンチ VM チェック、基本的なアンチ Avast ロジック、ホスト プロファイリング、およびコマンド アンド コントロール サーバーへのデータ流出を実装しています。
この「ヘビーリフター」スクリプトは AutoIt 実行ファイルをダウンロードし、そのコンパイラー、難読化された AutoIt スクリプト、および暗号化されたブロブをダウンロードして、スタートアップ LNK ファイル経由で永続性を設定し、フォレンジック可視性を減らすために一時的な成果物をクリーンアップします。
より読みやすいバージョンでは、`decode_str()` ルーチンを複製する小さな Python スクリプトを使用して、その文字列がデコードされて置き換えられています。
このステージで入力された露出した被害者パネルは、少なくとも 2025 年 5 月以降のアクティビティを確認し、数千の感染したシステムがあります。
ディスク上で、AutoIt コンポーネントは AES-192 とハードコードされたシード由来のキーを使用してブロブを復号化し、結果をメモリにメモリ内 DLL として直接マップし、単純なオンディスク署名を回避します。
分析により、この DLL は Casbaneiro/Metamorfo/Zusy ファミリーからの周知の Delphi 銀行型トロイの木馬であり、以前はブラジルとメキシコの銀行ユーザーに対するキャンペーンに関連付けられていることが示されています。
これはIndy プロジェクトから OpenSSL ライブラリを埋め込み、HTTPS ベースの C2 を確立し、ブラウザーおよび他のローカル ストアから認証情報を取得する SQL ロジックを含みます。
トロイの木馬はハードコードされた URL からその構成を取得し、C2 ソケット エンドポイント、トリガー文字列、および PowerShell コマンドを定義する暗号化された値を解析します。
これは、文字列と構成の復号化のためのカスタムステートフル XOR 減算暗号、およびソケット トラフィック用のもう 1 つの XOR ベースのスキーム(distinctive “##key1key2key3cipher##” フレームでラップされており、高忠度 IDS 署名に変換できる)を使用しています。
オープン ソース Delphi RAT からの借用されたプロトコル ロジックがそのソケット レイヤーを支えており、キーボード、マウス、および銀行インターフェイスを偽装するオンスクリーン オーバーレイを操作するカスタム コマンドで拡張されています。
メールワーム スプレッダー
認証情報の盗聴を超えて、Horabot は PowerShell で書かれたメールワームのようなスプレッダーで目立ち、ステージド ダウンローダーを通じて調整されます。
最も重要なルーチンはブロブ ファイル(シード値 `99521487` から由来したキーを持つ AES-192 を使用します)を復号化し、メモリに直接ロードしてから、エクスポートされた関数 `B080723_N` を呼び出すことを担当しています。
アクティブ化されると、スプレッダーは Outlook/MAPI オートメーションを悪用してメール アドレスを取得し、ユニークな連絡先を C2 に流出させ、送信済みアイテムをクリアして、スペイン語のフィッシング メッセージを悪意のある添付ファイル付きで大規模に送信します。
これらのメールは通常、インボイスや機密の財務ドキュメントを装い、被害者を同じ偽の CAPTCHA とスクリプティング チェーンを再開する HTML または PDF コンテンツに誘導します。
PowerShell スプレッダーに埋め込まれたコメントは非公式なブラジル ポルトガル語で書かれており、オペレーターの心理状態を明らかにし、この記事のタイトルにも影響を与え、大量メーリングへの「完全に爆発させる」アプローチを強調しています。
以前のレポーティングでは、Horabot は悪意のある HTML 添付ファイルとインボイスをテーマにしたルアーに依存して組織に侵入し、被害者自身のインボックスを使用して横方向に伝播し、フィッシングとワーム動作の境界線をぼかしていることも示しています。
ディフェンダーは複数のレイヤーで検出をアンカーすることができます:Run ダイアログ経由でリモート HTA コンテンツを起動する mshta、チェーンされた JavaScript 異常なドメインからの VBScript 実行、小さいローダーの AutoIt と AES-192、および Casbaneiro スタイルのエクスポート パターンを持つ Delphi DLL。
ネットワーク監視は Horabot の特性的な HTTPS エンドポイントおよび不規則な “##[digits][hex]##” ソケット フレームを監視する必要があります。これは正当な Web トラフィックに対して鋭く目立ち、IDS ルールに適しています。
メール側では、メキシコおよびより広いラテンアメリカの組織は、特に Outlook オートメーションと送信メールの急激な増加が内部アカウントがハイジャックされたことを示唆する場合、インボイスをテーマにした HTML/PDF 添付ファイルに特に注意を払う必要があります。
翻訳元: https://gbhackers.com/horabot-returns-in-mexico/
