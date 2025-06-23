في يونيو 2025، اكتشف باحثو IBM X-Force أن عنصر التهديد المرتبط بالصين، Hive0154، ينشر برمجية Pubload، مستخدمًا مستندات جذابة وأسماء ملفات تستهدف المجتمع التبتي. غالبًا ما تستخدم المجموعات التهديدية الصينية النزاع حول سيادة التبت في عملياتها السيبرانية، حيث تتزامن الحملة الأخيرة مع الأنشطة التي سبقت حدثًا مهمًا للمجتمع التبتي، وهو الذكرى التسعين لميلاد Dalai Lama.
تحتوي عدة محاولات تصيّد لوحظت على المواضيع التالية المتعلقة بالمجتمع التبتي:
تُعَد Hive0154 جهة تهديد راسخة مرتبطة بالصين، تمتلك مجموعة واسعة من البرمجيات الخبيثة، وتقنيات متسقة، وأنشطة موثقة جيدًا على مدى السنوات القليلة الماضية. تتألف المجموعة من عدة مجموعات فرعية وتشارك في هجمات إلكترونية تستهدف المؤسسات العامة والخاصة، بما في ذلك مراكز الفكر ومجموعات السياسات والوكالات الحكومية والأفراد. تُظهر ملاحظات X-Force بشأن استخدام المجموعة لعدة محمّلات برمجيات خبيثة مخصصة، وأبواب خلفية، وعائلات ديدان USB، مدى تطور قدراتهم.يتداخل نشاط Hive0154 مع عناصر التهديد التي تم الإبلاغ عنها علنًا باسم Mustang Panda وStately Taurus وCamaro Dragon وTwill Typhoon وPolaris وEarth Preta.
أوضحت X-Force سابقًا بالتفصيل النشاط المكثف المنسوب إلى فرع فرعي من Hive0154، الذي استهدف الولايات المتحدة والفلبين وباكستان وتايوان في حملة تجسس مشتبه بها بين أواخر 2024 وبداية 2025. تستخدم المجموعة أرشيفات مُسلحة مصدرها رسائل البريد الإلكتروني التصيدية لاستهداف كيانات تشمل الحكومة والجيش والدبلوماسيين في الفلبين والولايات المتحدة وباكستان. تستخدم رسائل البريد الإلكتروني الاحتيالية والأرشيفات وأسماء الملفات الخبيثة إشارات إلى مواضيع جيوسياسية مختلفة مصممة خصوصًا لجمهورها المستهدف لإثارة اهتمام متزايد من المتلقين. تتضمن رسائل البريد الإلكتروني عادةً روابط إلى Google Drive تقوم بتنزيل ملفات ZIP أو RAR معدلة إذا نقر المستلم على الرابط.
تحتوي الأرشيفات على ملف تنفيذي حميد معرض لخطر التحميل الجانبي لملفات DLL، وملف DLL خبيث من نوع Claimloader. عادةً ما يتم تغيير أسماء الملفات التنفيذية لخداع الضحايا وحثهم على فتحها، ما يؤدي على الفور إلى بدء سلسلة العدوى. يقوم برنامج Claimloader الخبيث بإنشاء استمرارية، وفك تشفير حمولة Pubload المضمنة فيه، وحقنها في الذاكرة. يقوم برنامج Pubload أيضًا بتنزيل Pubshell، وهو باب خلفي خفيف الوزن يسهِّل الوصول الفوري إلى الجهاز عبر غلاف عكسي.
عند بدء الحملة في 21 مايو، كان من المرجح أن يشير الطُعم الخاص بـ WPCT أدناه إلى المؤتمر المرتقب المنعقد في طوكيو، اليابان، من 2 إلى 4 يونيو.
اسم الطُعم
بلد المرسل
Claimloader DLL SHA256
التاريخ
(WPCT)-ICT&CTA_Conference
الهند
2bd60685299c62ab
21 مايو 2025
عادةً ما يتم عقد المؤتمر في الولايات المتحدة أو أوروبا، وتمت استضافته في اليابان لأول مرة. وبشكل عام، حضر 142 برلمانيًا وممثلًا من 29 دولة، من بينهم أعضاء برلمانيون من بلجيكا واليابان. وأصدرت السفارة الصينية في اليابان إدانة شديدة اللهجة لتورط الإدارة المركزية التبتية، والمعروفة أيضًا باسم الحكومة التبتية في المنفى، في المؤتمر. أسفرت الاتفاقية عن إعلان طوكيو، الذي أدان قمع الحكومة الصينية في منطقة التبت، ودعا إلى تشريعات دولية لحماية الحرية الثقافية والدينية التبتية. كشف باحثو X-Force عن حملة Hive0154 التي ابتكرت طُعومًا مختلفة قبل المؤتمر وبعده.
بعد المؤتمر، تم إصدار العديد من الإعلانات، بما في ذلك خطط العمل الحكيمة بشأن التبت. من المحتمل أن يقوم Hive0154 بنسخه من موقع الويب إلى مستند Microsoft Word الحميد (DOCX) داخل أرشيف مسلح. يحتوي الأرشيف أيضًا على مقالات تم نسخها مباشرةً من العديد من المواقع التبتية (هنا وهنا) فيما يتعلق بالاتفاقية، بالإضافة إلى صور أصلية من المؤتمر. من المرجح أن يؤدي وجود مقالات وصور شرعية بين الملفات التنفيذية المسلحة التي تشترك في نفس الأسماء إلى خداع الضحايا لفتح أحد ملفات EXE عن طريق الخطأ والتسبب في الإصابة دون علم.
"9th WPCT Region-Wise Action Plans on Tibet.exe":
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
تم استخدام صور من الاتفاقية كطُعم: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe".
في حملة أخرى، كشفت X-Force عن ملفات خبيثة إضافية تتعلق بالتبت. تحمل هذه الملفات أسماء تتعلق بموضوعات تهم المجتمع التبتي، مثل التعليم ثنائي اللغة في التبت أو عنوان كتاب نُشر مؤخرًا لـ Dalai Lama. ربما كان اختيار مثل هذه الموضوعات مصممًا لحث المتلقين على الاستجابة والنقر فوق الملف. من الجدير بالذكر أن العينات المتعلقة بالتبت تم تقديمها من الهند، حيث تعمل الحكومة التبتية في المنفى حاليًا، وهذا يشير إلى أن مستلمي الملفات ربما قاموا بإرسالها إلى VirusTotal. في حملة موازية، اكتشفت X-Force ملفًا يحتمل أنه يستهدف البحرية الأمريكية، وربما يناقش اجتماعات مجموعات العمل الجارية بين البحرية الأمريكية وأطراف أخرى.
اسم الطُعم
دولة المرسل
Claimloader DLL SHA256
التاريخ
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
الولايات المتحدة
c80dfc678570bde7c
17 أبريل 2025
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(مترجمة إلى التبتية: Bilingual Education Reform Report/Bilingual Education Reform Report.exe)
الهند
93f1fd31e197a58b03c
26 مايو 2025
صور Voice for the Voiceless/Voice for the Voiceless photos.exe
الهند
3e7384c5e7c5764258
28 مايو 2025
(USPACFLT) Working_Group_
الولايات المتحدة
8cd4324e1e764aafba
9 يونيو 2025
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (مترجم باللغة التبتية: Bilingual Education Reform Report/Bilingual Education Reform Report.exe): الموضوع ذو أهمية كبيرة للمجتمع التبتي، وقد أشارت Human Rights Watch إلى الاندماج الثقافي في التبت في تقريرها.
"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": هذه إشارة إلى كتاب نشره الزعيم التبتي في المنفى، Dalai Lama، في مارس 2025. يكتب عن حواراته مع القادة الصينيين بشأن استقلالية التبت.
"DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe": قد يكون هذا الملف إشارة إلى اتفاق تعدين بين جمهورية الكونغو الديمقراطية (DRC) والولايات المتحدة، وجهود الحصول على دعمها لهذا الاتفاق بعد مراقبة أوكرانيا وهي تصل إلى اتفاق مشابه مع الولايات المتحدة. حتى يونيو 2025، كانت DRC على وشك إتمام الاتفاق مع الولايات المتحدة مقابل المساعدة العسكرية والدبلوماسية ضد متمردي M23 الذين يتم دعمهم من رواندا المجاورة.
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”: قد تكون هذه إشارة إلى الأسطول الباسيفيكي للبحرية الأمريكية وأنشطته للتواصل مع دول حوض المحيط الهادئ. يوفر الأسطول قوات بحرية للقيادة الأمريكية في المحيطين الهندي والهادئ وقد يتم استدعاؤه في حالة نشوب نزاع في تايوان.
Claimloader هي عائلة من عناصر التحميل التي تطورت بشكل كبير على مدار السنوات الماضية. تحتوي على حمولة shellcode مشفرة، يتم فك تشفيرها وحقنها أثناء وقت التشغيل. توفِّر مدونتنا السابقة المزيد من التفاصيل الفنية عن المتغيرات السابقة التي استخدمتها Hive0154.
في عملية التنفيذ الأولى، تبدأ أداة تحميل المطالبات بإنشاء كائن مزامنة جديد لضمان تشغيل مثيل واحد فقط من أداة تحميل المطالبات. ثم ينقل نفسه وملفات EXE الخاصة بعملياته المستخدمة لتحميل ملفات DLL الجانبية إلى دليل جديد تحت اسم جديد، مثل:
بعد ذلك، يستخدم Claimloader واجهة برمجة التطبيقات SHSetValueA() لإنشاء استمرارية لملف EXE عبر مفتاح التسجيل أدناه:
سيؤدي هذا إلى تنفيذ ExE في كل مرة يسجل فيها المستخدم الحالي دخوله إلى الجهاز. يتم تنفيذ العملية باستخدام وسيطة محددة مسبقًا، مثل "Licensing"، والتي تُستخدم لاستدعاء الوظيفة الرئيسية لـ Claimloader.
عند تنفيذ أداة تحميل المطالبات للمرة الثانية بالوسيطة المحددة، يبدأ متغيّر أداة تحميل المطالبات الأحدث بفك تشفير حمولة مضمّنة عبر خوارزمية TripleDES. لم تتم ملاحظة هذه الخوارزمية إلا في إصدارات Claimloader بدءًا من أواخر أبريل 2025. تستخدم المتغيرات المحدثة أيضًا أسماء واجهة برمجة التطبيقات المشفرة باستخدام XOR وواجهات برمجة التطبيقات الأصلية LdrLoadDll () وLdrGetProcedureAddress () لحل عمليات الاستيراد بشكل ديناميكي.
بعد السكون لمدة خمس ثوانٍ، يخصص Claimloader مخزنًا مؤقتًا جديدًا قابلًا للتنفيذ في الذاكرة وينسخ حمولة shellcode فيه. يدخل البرنامج ضار في وضع السكون لمدة 10 ثوانٍ أخرى ثم يدعو واجهة برمجة التطبيقات GetDC() وEnumFontsW()، والتي يستخدمها لتنفيذ الحمولة في الذاكرة عن طريق تمرير نقطة الدخول كدالة استدعاء.
لم تخضع حمولة Pubload shellcode لأي تحديثات منذ تقريرنا الأخير. يحتوي على روتين بسيط لفك التشفير الذاتي قبل تنفيذ وظيفته الرئيسية. Pubload هو باب خلفي بسيط قادر على تنزيل حمولات shellcode مشفرة يتم حقنها في الذاكرة. أحد أوائل الحمولات هو وحدة Pubshell الذي ينفِّذ قشرة عكسية لتمكين الوصول الفوري إلى الجهاز المصاب.
لا يزال Hive0154 عنصر تهديد عالي الكفاءة يمتلك عدة مجموعات فرعية نشطة ودورات تطوير متكررة. تقدِّر X-Force بثقة عالية أن المجموعات المرتبطة بالصين مثل Hive0154 ستواصل تحسين ترسانتها الكبيرة من البرمجيات الخبيثة واستهداف المؤسسات العامة والخاصة حول العالم. يجب على الكيانات المعرضة لنشاط Hive0154 الحفاظ على مستوى عالٍ من الأمن الدفاعي والبقاء يقظة فيما يتعلق بالتقنيات المذكورة في هذا التقرير.
المؤشر
نوع المؤشر
السياق
2bd60685299c62abe500fe80e
SHA256
Claimloader DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader DLL
7979686bf73c2988ab5d57f9605
SHA256
الأرشيف المسلح
ea991719885b2fe91502218ff3be1
SHA256
الأرشيف المسلح
6e408aada775eaf19c524792344c
SHA256
الأرشيف المسلح
57770ede7015734e2d881430423b
SHA256
الأرشيف المسلح
fb33f222b3d4d5edc9b743e6428
SHA256
الأرشيف المسلح
218.255.96[.]245:443
IPv4
خادم Pubload C2
