يستهدف Hive0154 الولايات المتحدة والفلبين وباكستان وتايوان في حملة يُشتبه بأنها تجسسية

الأرض من الفضاء وخطوط رقمية تربط بين مواقع مختلفة على الكوكب.

المؤلفون

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

حتى مايو 2025، تقوم IBM X-Force بتتبُّع حملة يشتبه في كونها تجسسية تستخدم أرشيفات ZIP مسلّحة لتوزيع backdoors مثل Pubload وToneshell. تنسب X-Force هذه الحملة، التي من المرجح أنها بدأت في أواخر 2024، إلى عنصر التهديد المرتبط بالصين Hive0154، والتي تتداخل عملياته مع مجموعات يتم تتبُّعها تحت أسماء Mustang Panda وStately Taurus وCamaro Dragon وTwill Typhoon وPolaris وEarth Preta. تحتوي الأرشيفات على محتويات ذات طابع سياسي يُرجح أنها صُممت لجذب موظفي الحكومة والجيش والبعثات الدبلوماسية في الفلبين والولايات المتحدة وباكستان. استخدمت مجموعات Hive0154 الفرعية أساليب مماثلة في السابق. على وجه التحديد، استخدموا البرمجية الخبيثة Claimloader لتثبيت backdoors دائمة تُتيح الوصول المباشر إلى بيئات الضحايا بهدف الحصول على رؤى متقدمة حول القرارات الناشئة للحكومات العالمية. لاحظت X-Force أيضًا أن المجموعة تستخدم دودة USB لنشر Pubload في تايوان، مع إمكانية الوصول إلى شبكات قد تكون مفصولة عن الشبكة العامة.

النتائج الرئيسية

  • تُعَد Hive0154 جهة تهديد راسخة مرتبطة بالصين، تمتلك ترسانة كبيرة من البرمجيات الخبيثة، وتقنيات متسقة، ونشاطًا موثقًا جيدًا على مدار السنوات الماضية.
  • من بين ترسانة البرمجيات الضارة، اكتشفت X-Force عددًا من الأدوات المصممة لاستهداف جمهور محدد، يُرجح أنها تستهدف موظفي الحكومة والجيش والدبلوماسيين في الفلبين والولايات المتحدة وباكستان.
  • تُشير اكتشافات X-Force إلى استخدام Hive0154 لمواضيع جيوسياسية موجهة لجماهير محددة: 1. الفلبين، مستغلة التوترات في بحر الصين الجنوبي؛ 2. باكستان، باستخدام أنشطة الانفصاليين في بلوشستان؛ و3. الولايات المتحدة، من خلال وثائق مزيفة لاجتماعات مجلس الأمن القومي.
  • تشير هذه الهجمات الموجهة إلى أن Hive0154 تحاول على الأرجح جمع معلومات استخباراتية حول الاستراتيجيات والنوايا المحتملة لإدارة الولايات المتحدة والدول المجاورة للصين.
  • إحدى المجموعات الفرعية لـ Hive0154 استخدمت باستمرار نسخًا متطورة من Claimloader لنشر أبواب خلفية مرتبطة مثل Pubload وToneshell، واستهداف جهات في أوروبا ومنطقة آسيا والمحيط الهادئ والولايات المتحدة.
  • قامت X-Force بالتحقيق في النشاط الأخير في تايوان، حيث تم استخدام دودة USB HIUPAN لنشر backdoor Pubload إلى شركة تصنيع كبرى. كما تستخدم Hive0154 أسماء ملفات مرتبطة بالفواتير والمستندات القانونية كطُعم لاستهداف تايوان في مايو 2025.

نظرة عامة على Hive0154

منذ عام 2022 على الأقل، استخدمت Hive0154 عائلة البرمجيات الضارة Toneshell من بين غيرها لتنفيذ عمليات إلكترونية عالمية. تشير البرمجيات الضارة المرتبطة بـ Toneshell، مثل Pubload وPubshell (المعروفة أيضًا باسم NoFive)، إلى أن المجموعة تحتفظ بخيوط برمجية منفصلة كجزء من عملياتها. تتكون المجموعة من عدة مجموعات فرعية وتستهدف المؤسسات العامة والخاصة، بما في ذلك المجموعات السياسية والوكالات الحكومية والأفراد. تقيِّم X-Force أن عنصر التهديد هذا يُعَد تهديدًا يمتلك قدرات عالية، كما يتضح من استخدامه لعدة محمِّلات برمجيات ضارة مستقلة، ومجموعات أبواب خلفية وUSB worm، والتقارير المستمرة عن نشاطه من قِبل عدة فرق أبحاث أمنية.

النشاط السابق

في عام 2023، أفادت Palo Alto بأن أحد المجموعات الفرعية لـ Hive0154 التي تتتبعها X-Force كانت تستخدم عدة طُعم لنشر الباب الخلفي Pubload. تتزامن بعض الطُعم الواردة أدناه أيضًا مع حملة ضد ميانمار كما ذكرت CSIRT CTI في يناير 2024. وتُظهر الطُعم الموضحة أدناه اهتمام الصين المستمر بالدولة في جنوب شرق آسيا وأستراليا.

اسم الطُعم

الوصف

SHA256

التاريخ

إشعار بشأن UEC، (25-04-2023).zip

غير معروف

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

أبريل 2023

قائمة الأطراف المحدثة بتاريخ 27 أبريل.zip

غير معروف

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

أبريل 2023

Biography of Senator the Hon Don Farrell.zip

يبدو أن اسم الملف هو نسخة مباشرة من العنوان الذي يظهر على موقع وزارة التجارة والسياحة الأسترالية حول وزير التجارة الأسترالي.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

أبريل 2023

لدى SAC بعض المتطلبات التوجيهية للانتخابات العامة.

غير معروف

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

أبريل 2023

National Security Priority Programs.zip

غير معروف

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

مايو 2023

230605 Ministerial meeting minutes (1).zip

قد يكون الملف إشارة إلى الإعلان الذي صدر في باريس بتاريخ 8 يونيو 2023 من قِبل وزراء من أستراليا وكندا واليابان والولايات المتحدة والمملكة المتحدة ونيوزيلندا بشأن الممارسات التجارية المسيئة في منطقة آسيا والمحيط الهادئ.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

يونيو 2023

NUG's Foreign Policy Strategy.zip

تظهر هذه الصياغة على صفحة CSIS الإندونيسية، فيما يتعلق بالوضع القائم في ميانمار، التي تشهد حربًا أهلية، مع تقارير تشير إلى أن الصين تفكر على ما يبدو في إرسال عناصر أمنية دعمًا لحكومة المجلس العسكري في ميانمار، وفقًا لتقارير ديسمبر 2024.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

أغسطس 2023

Analysis of the third meeting of NDSC.zip

قد يكون الملف جزءًا من الحملة التي تم الإبلاغ عنها سابقًا ضد حكومة ميانمار من قِبل Stately Taurus في أوائل عام 2024. حوالي أكتوبر 2023، انخرطت ميانمار في حرب أهلية بين فصيل متمرد والقوات الحكومية، حيث سيطر المتمردون بشكل فعّال على طريق تجاري رئيسي للصين.

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

نوفمبر 2023

    

عادةً ما تحتوي ملفات ZIP المسلّحة على ملف تنفيذي شرعي مُعاد تسميته، مثل SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942)، ويُستغل في تحميل مكتبة DLL خبيثة بشكل جانبي. تنتمي مكتبة DLL إلى عائلة Claimloader، التي تضم عدة إصدارات مختلفة من عناصر تحميل shellcode استخدمتها Hive0154 عبر السنوات لتحميل حمولات مرتبطة بعائلتي Pubload وToneshell الخلفيتين.

خلال عام 2024، تم تسجيل المزيد من أنشطة Hive0154، والتي تم الإبلاغ عن بعضها بواسطة FatzQuatz، وStrikeReadyLabs حساب Twitter/X، وHunt.io:

اسم الطُعم

الوصف

SHA256

التاريخ

Meeting Request--30-31-05.zip

غير معروف

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

مايو 2024

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

غير معروف

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

مايو 2024

Attendee list template (24-6-2024).zip

غير معروف

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

يونيو 2024

Notice of Final Meeting.zip

غير معروف

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

يوليو 2024

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

غير معروف

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

يوليو 2024

Interview with Surachet
Praweewongwut.rar

غير معروف

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

أغسطس 2024

IISS Prague Defence Summit 2024.zip

تم الإبلاغ سابقًا عن حملة Mustang Panda التي استهدفت المشاركين في قمة الدفاع IISS في براغ، في نوفمبر 2024.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

أغسطس 2024

NDI-IRI_Election_
Observation_
Mission_Report.zip

يبدو أن اسم الملف يشير إلى تقرير NDI-IRI الصادر في يونيو 2023 والمتعلق بالانتخابات في نيجيريا. تم إعداد التقرير بدعم من الوكالة الأمريكية للتنمية الدولية (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

أغسطس 2024

leadership information list.zip

غير معروف

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

أغسطس 2024

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

من المرجَّح أن الطُعم يشير إلى اجتماع ثنائي بين تايلاند والفلبين الذي عُقد في أكتوبر 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(ملف تنفيذي أصلي،
ملف DLL مطابق
غير معروف)

سبتمبر 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

يبدو أن وثيقة الطُعم صادرة عن الوكالة الوطنية لإدارة الكوارث في ماليزيا (NADMA, Agensi Pengurusan Bencana Negara) وتتعلق باستجابتها المستمرة لجائحة كوفيد-19 في ماليزيا.

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

أكتوبر 2024

    

تظل تقنية تحميل DLL الجانبي داخل ملفات ZIP نفسها، لكن تم تسجيل نسخ مختلفة من DLL الخاصة بـ Claimloader مع تغييرات في خوارزمية فك التشفير. كما استخدمت بعض الحملات أيضًا Toneshell DLL (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) مباشرة. 

التوترات بشأن بحر الصين الجنوبي

رصدت X-Force عدة حملات جديدة في أواخر 2024 وأوائل 2025 اتَّبعت نفس الأساليب والتقنيات والإجراءات (TTPs)، ونُسبت إلى نفس المجموعة الفرعية لـ Hive0154. تدعم أحدث نسخ Claimloader أيضًا فتح ملفات PDF وهمية كجزء من روتين التثبيت، قبل حقن الحمولات البرمجية الخاصة بـ shellcode. تستخدم ملفات PDF، بالإضافة إلى ملفات DLL، سمات الملف لتظل مخفية لمستخدم قياسي.

يشير اثنان من الطعوم وأسماء الملفات الوهمية المرتبطة بهما على وجه التحديد إلى التوترات في بحر الصين الجنوبي بين الصين والفلبين، حيث دعت الحكومة الفلبينية إلى تعاون عسكري وثيق مع الولايات المتحدة في ضوء الأنشطة المتزايدة التي يقوم بها الجيش الصيني. ومن المرجح أن تثير هذه التطورات اهتمامًا متزايدًا من المتلقين، الذين قد يكونون أكثر ميلًا لفتح المرفق. قد يشمل هؤلاء المستلمين موظفي الحكومة والجيش والدبلوماسيين في الفلبين، وقد يشمل أيضًا موظفي الحكومة والجيش الأمريكيين الذين تتطلب مهامهم التعامل مع الموضوعات الواردة في أسماء الملفات.

اسم الطُعم

اسم ملف وهمي (طُعم)

Associated DLL SHA256

التاريخ

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

أكتوبر 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

نوفمبر 2024

كِلا الطُعمين يقومان بتحميل DLL من نوع Claimloader على نحو جانبي، والذي يتولى تحميل باب خلفي من نوع Toneshell الموضَّح بالتفصيل لاحقًا.

Claimloader

Claimloader هو مجموعة من أدوات التحميل التي استخدمتها Hive0154 في الماضي لتحميل حمولات shellcode المختلفة، بما في ذلك Toneshell وPubload. وعلى مر السنين، تطورت إلى عدة إصدارات مختلفة بوظائف مختلفة.

تم نشر إحدى العينات المبكرة، التي تم تجميعها في أواخر عام 2021، بواسطة الوحدة 42 في Palo Alto. يستخدم أسلوبًا مثيرًا للاهتمام، وهو نسخ الشفرة البرمجية إلى مخزن مؤقت عبر واجهة برمجة التطبيقات UuidFromStringA. كما يقوم بتنفيذ الكود الخبيث كدالة رد نداء يتم تمريرها إلى EnumSystemLanguageGroupsA.

نموذج مبكر لكود Claimloader
الشكل 1: نموذج مبكر لكود Claimloader (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

تم سابقًا الإبلاغ عن تقنية مماثلة من قبل مجموعة NCC.

في نوفمبر 2022، أبلغ LAC عن متغيّر Claimloader من المحتمل أن يستهدف المؤسسات الحكومية في الفلبين في سلسلة عدوى مطابقة تقريبًا للنشاط في 2023-2024 المفصل في الأقسام السابقة. يقوم هذا النوع من المتغيّرات بتخزين حمولته على شكل كتل من سلاسل المكدس المشفرة بحجم 32 بايت، قبل فك تشفير كل منها. كما يقوم بنسخ الملف التنفيذي الشرعي وملف Claimloader DLL إلى دليل جديد قبل محاولة إنشاء استمرارية عبر السجل أو المهام المجدولة، ما يجعله في الواقع برنامج تثبيت بالإضافة إلى كونه برنامج تحميل.

عند التنفيذ، يبدأ البرنامج الضار بإنشاء mutex مشفر لضمان تشغيل نسخة واحدة فقط من Claimloader. بعد ذلك، يتحقق من وجود وسيط سطر أوامر محدد، وهو غير موجود في التشغيل الأول. إذا كان الأمر كذلك، فسيقوم برنامج Claimloader بنسخ كل من ملف EXE وملف DLL إلى دليل جديد غير مزعج، غالبًا ما يكون تحت "C:\ProgramData\"، محاكيًا دليل برنامج مثل:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

يُستخدم هذا السلوك من قبل معظم عينات Claimloader الأحدث ويمكن أن يؤدي أيضًا إلى عمليات تنفيذ غير ناجحة في بيئة الاختبار المعزولة.

بعد ذلك، يقوم البرنامج الضار بتأسيس استمرارية عند تسجيل الدخول عن طريق تخزين مسار ملف EXE مع وسيطة سطر الأوامر الصحيحة في مفتاح تسجيل جديد مرة أخرى باسم برنامج غير ملحوظ في:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

يستخدم برنامج Claimloader أيضًا آلية استمرارية ثانوية من خلال إنشاء العملية التالية لإنشاء مهمة مجدولة، والتي ستنفِّذ برنامج التحميل كل 5 دقائق:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

لاحِظ أن التقنيات الدقيقة قد تختلف؛ على سبيل المثال، استخدمت إحدى العينات كائنات COM بدلًا من ذلك لجدولة المهمة عن طريق الاتصال بواجهة ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

تختلف خوارزميات فك التشفير في Claimloader في عدد العينات بين DES (أحدث إصدار)، وتطبيقين على الأقل لـ AES، وروتينات فك التشفير القائمة على XOR باستخدام بذرة مضمنة لتوليد سلسلة مفاتيح عبر الدالة _srand() :

فك تشفير Claimloader AES 128 ECB
الشكل 2: فك تشفير Claimloader AES 128 ECB (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
يستخدم برنامج Claimloader مجموع التحقق و_srand()‎ المُهيأة لإنشاء سلسلة مفاتيح أثناء فك التشفير
الشكل 3: يستخدم برنامج Claimloader مجموع التحقق و_srand()‎ المُهيأة لإنشاء سلسلة مفاتيح أثناء فك التشفير (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

لتنفيذ حمولاتهم بعد فك التشفير، تستخدم معظم متغيرات Claimloader واجهات برمجة التطبيقات مع وظائف رد الاتصال، ولكن هناك أيضًا متغيّرات تقوم بإنشاء سلسلة رسائل جديدة أو استدعاء الحمولة مباشرةً كدالة.

فيما يلي جدول لعينات Claimloader المختلفة وتقنياتها:

عينة SHA256

اسم DLL

الاستمرارية

 فك التشفير

 تقنية التنفيذ

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

السجل ومهمة مجدولة باسم
"Amind
PDF"

 _srand() keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

السجل والمهمة المجدولة
عبر COM
"Fhbemb Update"

 AES

استدعاء مباشر

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

لا يوجد

 AES، مع تخزين الحمولة داخل سلاسل موجودة في المجموعة

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

السجل والمهمة المجدولة "jxbrowser-chromiumim"

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

السجل والمهمة المجدولة "jxbrowser-chromiumim"

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

السجل والمهمة المجدولة "Wargaming
Group"

 _srand() keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

السجل والمهمة
المجدولة "NVIDIA_
GPU_Core"

 DES

EnumFontsW

أضافت العديد من النماذج الحديثة دعمًا لعرض ملف PDF وهمي أثناء التنفيذ الأول لبرنامج Claimloader.

يقوم برنامج Claimloader بفتح ملف PDF وهمي أثناء التنفيذ وإزالة سمات الملف.
الشكل 4: برنامج Claimloader يفتح ملف PDF وهميًا أثناء التنفيذ ويزيل خصائص الملف.

بعد فتح ملف PDF للمستخدم، يقوم Claimloader بإزالة سمات الملف "System" و"Hidden" لجعل ملف PDF مرئيًا بشكل دائم للمستخدم في المجلد المفتوح. 

يستخدم أحدث إصدار من Claimloader وقت النشر أسماء API وDLL مشوشة، والتي يتم تشفيرها باستخدام XOR مع 0x99. أثناء التنفيذ، يقوم المحمِّل بفك تشفير السلاسل ويستدعي LdrLoadDll وLdrGetProcedureAddress لحل مؤشرات الوظائف لواجهات برمجة التطبيقات التي يحتاجها.

يقوم Claimloader بحل أسماء واجهة برمجة التطبيقات المشفرة باستخدام XOR
الشكل 5: قوم Claimloader بحل أسماء واجهة برمجة التطبيقات المشفرة باستخدام XOR

Toneshell 

كِلا ملفي Claimloader DLL المرتبطين بطُعوم بحر الصين الجنوبي يقومان بتحميل نفس الباب الخلفي Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) كرمز shellcode، وهو ملف PE صالح في نفس الوقت. 

شفرة تحميل في رأس ملف DOS الخاص بالباب الخلفي Toneshell
الشكل 6: شفرة تحميل في رأس ملف DOS الخاص بالباب الخلفي Toneshell

تم تعديل رأس DOS ليشمل جزءًا صغيرًا لاستدعاء وظيفة أخرى عند الإزاحة 0x4200، مع توفير عنوان قاعدة PE كوسيط. تستمر وظيفة التحميل هذه في تحميل ملف PE يدويًا، وحل عمليات الاستيراد الضرورية وتعيين الأقسام في الذاكرة. تسمح هذه التقنية لمطوري البرامج الضارة بتحويل PE صالح إلى shellcode بعد التجميع. 

تضم عائلة Toneshell ترسانة كبيرة من المتغيّرات المختلفة وقد تطورت بشكل كبير بمرور الوقت. على الرغم من أنها تشترك في تداخلات قوية في التعليمات البرمجية مع الباب الخلفي Pubload، فإنها تتم مراقبتها بشكل منفصل بواسطة X-Force. قد تختلف المتغيرات في آليات التحكم والسيطرة، وبروتوكولات التحكم والسيطرة المخصصة، والأوامر المدعومة، وتجزئات واجهة برمجة التطبيقات. كما تقوم X-Force بتجميع إصدارات متعددة من إطار عمل دودة USB يسمى "Tonedisk" ضمن عائلة Toneshell.

الباب الخلفي Toneshell من الحملة المذكورة أعلاه هو نسخة بسيطة نسبيًا ومصمم لإنشاء غلاف عكسي من خلال خادم C2 الخاص به.

يبدأ الأمر بحل واجهات برمجة التطبيقات الخاصة به وإنشاء معرّف فريد عالمي جديد عبر CoCreateGuid. يتم استخدام البايتات الـ 16 الناتجة كمعرِّف فريد للضحية وكتابتها في ملف جديد:

c:\\users\\public\\description.ini

بعد ذلك، يقوم بإنشاء حدث جديد "Fool87012900137"، والذي يستخدمه كقفل متبادل لضمان أنه النسخة الوحيدة قيد التشغيل. يقوم Toneshell بتهيئة بنيته الرئيسية بعنوان خادم C2 (45[.]136[.]254[.]193:443)، وGUID واسم جهاز الكمبيوتر الخاص بالضحية، من بين قِيم التكوين الأخرى. كما يقوم بتهيئة تطبيق Microsoft "rand" PRNG.

لكل منارة تستعلم من خادم C2 عن الأوامر، يُنشئ Toneshell المفتاح التالي المكوَّن من 256 بايت من PRNG، والذي يستخدم لتشفير اتصال C2، وGUID واسم الكمبيوتر.

وظيفة Toneshell لإنشاء مفتاح C2 وتشفير GUID واسم الكمبيوتر
الشكل 7: وظيفة Toneshell لإنشاء مفتاح C2 وتشفير GUID واسم الكمبيوتر

تحتوي إشارات TCP على القيم التالية المنسقة برأس يحاكي حزمة بيانات تطبيق TLS (17 03 03):

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

يتوقع برنامج Toneshell استجابة مماثلة من الخادم:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

بعد فك تشفير الاستجابة، يتم تحليل البايت الأول كقيمة أمر، ويتم استخدام البايت الثاني كمعرِّف للمسارات التي تم إنشاؤها، والباقي كحمولة أمر.

قبل معالجة الأمر، يُنشئ Toneshell سلسلة رسائل جديدة ترسِل إشارات استجابة تشبه نبضات القلب كل 30 ثانية. يجب على كل منارة أيضًا إرسال البايت الأدنى الصحيح من البايتات الأربعة التالية التي تم إنشاؤها بواسطة تدفق مفاتيح PRNG المهيأ للتحقق من سلامة الاتصال بخادم C2. وقد تم تنسيق هذه المنارات على النحو التالي:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

يدعم هذا الإصدار من Toneshell رموز أوامر C2 التالية:

الرمز

الوصف

1

Wait - سيستمر في انتظار الأوامر التي تحتوي على حمولة غير فارغة.

2

إنشاء ملف جديد (احذفه إذا كان موجودًا بالفعل)

3

Write data to file

4

كتابة البيانات في الملف وقم بالتأكيد عبر إشارة الاستجابة

5

إنشاء غلاف عكسي عبر المسارات

6

كتابة أمر shell في المسار

7

إنهاء الغلاف العكسي

لإنشاء غلاف عكسي، يعمل Toneshell على إعداد مسارَين مجهولين وإنشاء عملية cmd.exe جديدة باستخدام المسارات لكتابة البيانات إلى stdin وقراءة البيانات من stdout وstderr. 

يستخدم Toneshell أنابيب مجهولة المصدر لإنشاء غلاف عكسي.
الشكل 8: يستخدم Toneshell مسارات مجهولة لإنشاء غلاف عكسي

بإضافة المقابض إلى المسارات في بنية STARTUPINFO للعملية الجديدة، يمكن لـ Toneshell تنفيذ أوامر عشوائية بمجرد الكتابة إلى المسار. في مؤشر ترابط جديد، يفحص Toneshell المسار بحثًا عن خرج جديد باستخدام PeekNamedPipe‎ كل 100 مللي ثانية. وتتم قراءة أي بيانات جديدة من المسار ثم ترحيلها مرة أخرى إلى خادم C2.

نشاط أوائل عام 2025

اعتبارًا من فبراير 2025، لاحظت X-Force حملة Hive0154 التي تقدِّم الباب الخلفي Pubload من خلال متغيرات مماثلة لـ Claimloader كما هو موضَّح أعلاه. تشترك العينات الأربع أدناه في نفس خادم التحكم والسيطرة (C2) 218[.]255[.]96[.]245:443

اسم الطُعم

دولة المرسل

اسم Claimloader DLL

Claimloader Mutex

DLL SHA256

التاريخ

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 باكستان

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12 فبراير 2025

غير معروف

 هونغ كونغ

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 مارس 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 الفلبين

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20 مارس 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 الولايات المتحدة

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 أبريل 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 الفلبين

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 أبريل 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 غير معروف (من المحتمل أن يكون من تايوان)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7 مايو 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 تايوان

 helper_
core.dll

 

 غير معروف

غير معروف

 8 مايو 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 غير معروف

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 مايو 2025

في حالة ملف LNK المذكور أعلاه، يقوم بتشغيل الملف التنفيذي الذي تمت إعادة تسميته بشكل شرعي لبدء عملية تحميل ملف DLL الجانبي لبرنامج Claimloader:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

أحد ملفات ZIP المستخدمة كسلاح يحتوي على ملف تنفيذي شرعي تمت إعادة تسميته إلى "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe". من المرجح أن يكون الطُعم إشارة إلى جيش تحرير بلوشستان (BLA)، وهو جماعة انفصالية مسلحة، وجماعات مسلحة أخرى مرتبطة به تدعو إلى إنشاء دولة بلوشستان الجديدة. من المرجح أن يكون استخدام مثل هذه الأسماء في الطُعم محاولة من المهاجم لحث المتلقين المهتمين على النقر على المرفق.

قد يشير ملف آخر بعنوان "NSC_Meeting_Minutes_Apr2025.lnk" إلى اجتماع لمجلس الأمن القومي الأمريكي والملاحظات المزعومة التي تم تدوينها، والتي قد تكون ذات أهمية للأفراد في الحكومة الأمريكية أو الأفراد الآخرين المشاركين في الاستخبارات أو الأكاديميين أو الصحافة المتعلقة بالشؤون الحكومية الأمريكية. كما هو الحال في طُعم "BLA" التي تستهدف المسؤولين الباكستانيين، قد يكون هذا الإغراء موجهًا نحو جمهور أمريكي باستخدام اسم ملف مقيد لإغراء المستلمين بالنقر على المرفق.

قد يشير اسم الملف "Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe" إلى قمة رابطة دول جنوب شرق آسيا (ASEAN) القادمة في 26 و27 مايو 2025 في ماليزيا.

اسم الملف، "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe" قد يشير إلى فاتورة دفع محطة طاقة Power في تايوان حول شهر أبريل/مايو 2015.

الملف الأخير، "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe" قد يشير ذلك إلى اتفاقية عدم إفصاح مزعومة بين شركتين تايوانيتين متخصصتين في مجال الطيران والفضاء تتعلقان بالطائرات بدون طيار وصيانة الطائرات.

Pubload

Pubload هو أول باب خلفي وصفته Cisco Talos في عام 2022 على أنه برنامج تسلسلي غير مسمى. لاحظ أن X-Force يحدد أداة تحميل الشفرة الخبيثة باسم Claimloader وأداة تنزيل الشفرة الخبيثة في المرحلة الأولى باسم Pubload، بينما تقارير TrendMicro تحدد كليهما باسم Pubload. تم استخدام Claimloader لتحميل كل من Pubload وToneshell. Team T5 يتتبَّع Pubload وPubshell باسم NoFive.

تبدأ حمولة شفرة Pubload البرمجية الضارة بفك تشفير باقي شفرتها البرمجية باستخدام مفتاح XOR مكوَّن من 32 بايت:

روتين فك التشفير الذاتي لشفرة shellcode
الشكل 9: روتين فك التشفير الذاتي لشفرة shellcode

تمت إضافة روتين فك التشفير الذاتي هذا بدءًا من العينة الثانية من عينات Claimloader الأربعة المذكورة أعلاه. بعد فك التشفير، ينتقل البرنامج إلى حل جميع واجهات برمجة التطبيقات الضرورية الخاصة به، والتي تم إخفاؤها عبر خوارزمية ROR13. بعد ذلك، يقوم بتخصيص ذاكرة جديدة وإعداد هيكله الرئيسي بعنوان خادم C2 ومفتاح تشفير مضمنين في الكود، قبل بدء سلوكه الرئيسي.

تبدأ الحلقة الرئيسية لبرنامج Pubload بتعداد القيم التالية:

  • رقم التسلسل لوحدة تخزين القرص C، من خلال GetVolumeInformation.تم إخفاء البيانات بإضافة 0x12345678، المستخدمة كمعرف للضحية
  • عدد دقات الآلة عبر GetTickCount
  • اسم الكمبيوتر الخاص بالضحية عبر GetComputerNameA
  • اسم المستخدم للضحية عبر GetUserNameA

يتم تنسيق هذه القيم على أنها حمولة المنارة الأولى:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

يتم تشفير الحمولة باستخدام المفتاح المرمّز في أربع حلقات XOR متتالية مع إزاحات مفاتيح مختلفة:

حلقات تشفير XOR المتتالية في Pubload
الشكل 10: حلقات تشفير XOR المتتالية في Pubload

على غرار Toneshell، يتم وضع الحمولة المشفرة في حزمة بيانات تطبيق TLS مزيفة:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

يتم إرسال حزمة TCP إلى خادم C2 المبرمج مسبقًا على العنوان التالي:

218[.]255[.]96[.]245:443

في المقابل، يتوقع Pubload استجابة يتم تحليلها على النحو التالي:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

بعد فك تشفير الحمولة بنجاح، من المتوقع أن يكون البايت الأول هو 0x06، بينما يتم تحليل باقي البيانات على شكل البنية أدناه لفك تشفير حمولة الشفرة الخبيثة المستلمة باستخدام عملية XOR:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

وأخيرًا، يقوم برنامج Pubload بإضافة خيار حماية الذاكرة PAGE_EXECUTE_READWRITE الضروري وتنفيذ الشفرة الخبيثة، مع توفير معلومات النظام المعدودة وخادم C2 كوسيطات.

المرحلة الثانية من Pubload: ‏Pubshell

تُظهر حمولة الشفرة الضارة (Pubshell) التي يتم تنزيلها على الفور بواسطة Pubload العديد من أوجه التشابه مع متغير Toneshell الذي تمت مناقشته أعلاه ولها نفس الوظيفة - إنشاء غلاف عكسي من خلال المسارات.

يبدأ الأمر بإجراءات الإعداد المعتادة، وحل واجهات برمجة التطبيقات، وتخصيص الذاكرة، وتهيئة بنيته الرئيسية ونفس المفتاح الخاص بعينة Pubload الأصلية.

المنارة الأولى تشبه منارة Pubload، باستثناء البايت الأول من الحمولة (رمز المنارة)، وهو 0x0B.

وظيفة Pubload/Pubshell لإنشاء إشارة
الشكل 11: دالة Pubload/Pubshell لإنشاء إشارة

مرة أخرى، يعمل البايت الأول من الاستجابة التي تم فك تشفيرها كرمز أمر لتحديد سلوك Pubshell:

كود الأوامر

الوصف

1

إعادة تعيين معرّف الضحية إلى الرقم التسلسلي الأولي المبهم

3

تعيين معرِّف الضحية الجديد

4

ضبط تردد الإشارة بالثواني (القيمة الأولية هي 10 ثوانٍ)

5

التوقف عن استخدام الإشارات

26

حذف ملف

27

إنشاء ملف جديد

29

كتابة البيانات إلى ملف تم إنشاؤه حديثًا

30

إنشاء غلاف عكسي عبر المسارات

31

كتابة أمر جديد إلى المسارات

32

إنهاء الغلاف العكسي وإغلاق جميع المعالجات والعمليات المرتبطة بها

48

قراءة نتيجة الأمر (stdin، stderr) من المسار

تمامًا مثل Toneshell، يقوم Pubshell بإرسال رموز استجابة مختلفة إلى خادم C2 الخاص به، اعتمادًا على نتيجة الأمر. على سبيل المثال، فإن كلا الأمرين لإنشاء ملف جديد (27) والكتابة إلى ذلك الملف (29) سيعيدان الرمز 42 عند النجاح و43 عند الفشل. بالإضافة إلى ذلك، يتضمن Pubshell أيضًا سلاسل رسائل خطأ أكثر تفصيلًا، مثل:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

كما لوحظت سلاسل مماثلة في أنواع أخرى من متغيرات Toneshell.

إن تطبيق Pubshell للغلاف العكسي عبر المسارات المجهولة يكاد يكون مطابقًا لتطبيق Toneshell. ومع ذلك، بدلًا من تشغيل سلسلة عمليات جديدة لإرجاع أي نتائج على الفور، يتطلب Pubshell أمرًا إضافيًا لإرجاع نتائج الأوامر. كما أنه يدعم تشغيل "cmd.exe" فقط كغلاف.

من نواحٍ عديدة، يبدو أن Pubload وPubshell عبارة عن "نسخة مبسطة" مطورة بشكل مستقل من Toneshell، مع تعقيد أقل وتداخلات واضحة في التعليمات البرمجية.

استهداف تايوان باستخدام HIUPAN USB Worm

في ديسمبر 2024، رصدت X-Force نشاطًا إضافيًا لـ Hive0154 يستهدف تايوان باستخدام الباب الخلفي Pubload. في شهر مارس، تعاونت X-Force مع شركة تصنيع كبرى للتحقيق في عدوى Pubload في تايوان. في الحادثة، استخدم المهاجمون دودة HIUPAN USB لنشر Claimloader وPubload من خلال أجهزة USB. من المحتمل أن يتم استخدام الدودة كحمولة لاحقة في إصابات Pubload الأولية لزيادة عدد الإصابات وربما الوصول إلى الشبكات التي قد تكون معزولة عن العالم الخارجي. تم توثيق العلاقة بين كِلا نوعي البرامج الضارة سابقًا بواسطة Trend Micro.

HIUPAN (المعروف أيضًا باسم U2DiskWatch) هو دودة USB، يتم تحميل ملف DLL الرئيسي الخاص بها "u2ec.dll" من خلال ملف EXE مشروع "UsbConfig.exe" عندما يقوم المستخدم بتشغيله عن غير قصد من جهاز USB. تُنجز الدودة المهام التالية:

  • تنسخ نفسها ومكونات البرامج الضارة المصاحبة لها إلى دليل على جهاز الضحية: C:\ProgramData\Intel\_\
  • تؤسس الاستمرارية عبر مفتاح السجل HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • تعدِّل مفاتيح السجل لضمان عدم ظهور الملفات والامتدادات المخفية في Windows Explorer: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • تقوم بتشغيل الملف التنفيذي الرئيسي للبرمجية الضارة المصاحبة، وتراقب العملية لإعادة تشغيلها إذا لزم الأمر.
  • تراقب اتصالات أجهزة USB الجديدة. في حال العثور عليها، يقوم HIUPAN بنسخ نفسه ومكونات البرامج الضارة المصاحبة له إلى القرص الجديد في مجلد فرعي مخفي "<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\" ويخفي أي ملفات أخرى موجودة لضمان أن يكون "UsbConfig.exe" هو الملف الوحيد المرئي على الجهاز.

يستخدم برنامج HIUPAN ملف تكوين "$.ini" لتخزين مُضاعِف النوم وأسماء ملفات مكوناته والبرامج الضارة المصاحبة له. وهذا يجعل من السهل للغاية تهيئة الدودة لنشر أي برامج ضارة عن طريق تبادل ملفات الحمولة والتكوين النصي.

يظهر أدناه ملف التكوين الذي تم رصده في الإصابات التي تنتشر في تايوان والتي تستخدم Claimloader وPubload:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

كود الأوامر

الوصف

1

إعادة تعيين معرّف الضحية إلى الرقم التسلسلي الأولي المبهم

3

تعيين معرِّف الضحية الجديد

4

ضبط تردد الإشارة بالثواني (القيمة الأولية هي 10 ثوانٍ)

5

التوقف عن استخدام الإشارات

26

حذف ملف

27

إنشاء ملف جديد

29

كتابة البيانات إلى ملف تم إنشاؤه حديثًا

30

إنشاء غلاف عكسي عبر المسارات

31

كتابة أمر جديد إلى المسارات

32

إنهاء الغلاف العكسي وإغلاق جميع المعالجات والعمليات المرتبطة بها

48

قراءة نتيجة الأمر (stdin، stderr) من المسار

لا يُعَد HIUPAN الدودة الوحيدة التي تستخدمها Hive0154 عبر منفذ USB. لا تزال العديد من الأطر والمتغيرات الأخرى التي تنشر البرامج الضارة، مثل Toneshell وPubshell، تنتشر بنشاط ويتم تحميلها بانتظام إلى VirusTotal.

الخاتمة

يتضح النطاق التشغيلي الواسع لـ Hive0154 الذي تمت مناقشته في هذه المدونة من خلال استخدامهم لأدوات متنوعة وتقنيات مبتكرة ومجموعة واسعة من الضحايا المحتملين. ستواصل الجماعات المتحالفة مع الصين مثل Hive0154 تحسين ترسانتها الكبيرة من البرامج الضارة وستحافظ على تركيزها على المؤسسات الموجودة في شرق آسيا في القطاعين الخاص والعام. إن مجموعتهم الواسعة من الأدوات، ودورات التطوير المتكررة، وتوزيع البرامج الضارة القائمة على دودة USB، تسلط الضوء عليهم كجهة تهديد متطورة. ينبغي على الكيانات المعرضة لخطر نشاط Hive0154 أن تظل في حالة تأهب أمني دفاعي عالية وأن تظل متيقظة فيما يتعلق بالتقنيات المذكورة في هذا التقرير.

التوصيات

  • المراقبة والبحث في الشبكات عن حزم بيانات تطبيق TLS 1.2 (العنوان: 17 03 03) دون مصافحة TLS سابقة كعلامة على وجود تحميل عام أو إشارة إرشاد Toneshell.
  • المراقبة والبحث في الشبكات عن حزم بيانات التطبيق TLS 1.3 المزيفة (العنوان: 17 03 04)، والتي تستخدمها بعض متغيرات Toneshell. يتم إرسال حزم TLS 1.3 الحقيقية مع عناوين TLS 1.2 القديمة للتوافق مع الإصدارات السابقة مع الوكلاء الذين يقبلون إصدارات TLS معينة فقط.
  • المراقبة والبحث عن محركات أقراص USB التي تحتوي على أسماء ملفات تنفيذية مشبوهة، وملفات DLL، ومجلدات مخفية، والتي قد تشير إلى إصابة الجهاز بدودة USB.raqib w.
  • مراقبة وتعقُّب الدلائل المشبوهة وغير المعروفة في C:\ProgramData\ التي تحتوي على EXE مشروع عرضة للتحميل الجانبي لملفات DLL وDLL المقابل.
  • مراقبة تقنيات الاستمرارية والبحث عنها مثل مفتاح التشغيل الخاص بالسجل والمهام المجدولة.
  • مراقبة أي نشاط غير عادي للشبكة أو الاستمرارية أو تعديل الملفات يأتي من الملفات التنفيذية للعملية التي تبدو حميدة والتي تؤدي إلى تحميل ملف DLL ضار.

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

أرشيف Hive0154 المسلّح

41276827827b95c9b5a9f
BD198b7CFF2aef6f90f2b2B
3ea84fadb69c55efa171

SHA256

أرشيف Hive0154 المسلّح

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

أرشيف Hive0154 المسلّح

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

مؤثرات صوتية في Hive0154 تم تحويلها إلى سلاح

A02766B3950DBB86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

أرشيف Hive0154 المسلّح

178e92c59afe4c59043657
9d9ba98f6afafDDF1bf05f57
0539729a8f0034d798

SHA256

أرشيف Hive0154 المسلّح

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

أرشيف Hive0154 المسلّح

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

أرشيف Hive0154 المسلّح

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

أرشيف Hive0154 المسلّح

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
D1084BC9ed370BD

SHA256

أرشيف Hive0154 المسلّح

FEF713b237179F4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

أرشيف Hive0154 المسلّح

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
CB80D771FA22

SHA256

أرشيف Hive0154 المسلّح

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

أرشيف Hive0154 المسلّح

1387ec22a3391647e25d2cb722
CD89E255D3EBFE586CF5F699EA
e22c6e008c34

SHA256

أرشيف Hive0154 المسلّح

AC989DF2715A26DF9e039E9E0D
73ed84337eeb07a4a45901858
ACBB09c9050c4

SHA256

أرشيف Hive0154 المسلّح

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
A752BA3C3FD

SHA256

أرشيف Hive0154 المسلّح

cc4e5d175fc85685e7f31c2e7797
A3D3A74e751716724B86033e92
321fef1bae

SHA256

أرشيف Hive0154 المسلّح

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

أرشيف Hive0154 المسلّح

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

أرشيف Hive0154 المسلّح

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
E376b3c01DC2

SHA256

أرشيف Hive0154 المسلّح

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

أرشيف Hive0154 المسلّح

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

أرشيف Hive0154 المسلّح

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
A6CAB1EF5AF

SHA256

أرشيف Hive0154 المسلّح

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

أرشيف Hive0154 المسلّح

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

أرشيف Hive0154 المسلّح

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

أرشيف Hive0154 المسلّح

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

عينة مبكرة من Claimloader

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

ملف DLL الخاص بـ Claimloader

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

ملف DLL الخاص بـ Claimloader

A6DFB41bBAD08E3fe663EFA325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

ملف DLL الخاص بـ Claimloader

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
حوالي 1714d01

SHA256

ملف DLL الخاص بـ Claimloader

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

ملف DLL الخاص بـ Claimloader

D665F55555F87b515cb8ef1ADCE9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

ملف DLL الخاص بـ Claimloader

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

ملف DLL الخاص بـ Claimloader

A6DFB41bBAD08E3fe663EFA325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

ملف DLL الخاص بـ Claimloader

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f898f032e
020e371dba

SHA256

ملف DLL الخاص بـ Claimloader

087ccc7f6c022dc5fd40ade3ef6a
DAECD51F47E52619CAE6b585b84
b7acc7633

SHA256

ملف DLL الخاص بـ Claimloader

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

ملف DLL الخاص بـ Claimloader

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

ملف DLL الخاص بـ Claimloader

4c66e7ebf2ca2ecf00379463835
E6A2D5b0231D93fb27s4a968E75
F45b9b7ADBC

 

SHA256

ملف DLL الخاص بـ Claimloader

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
F71ed8EC

 

SHA256

 

ملف DLL الخاص بـ Claimloader

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

ملف DLL الخاص بـ Claimloader

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68DDF1023B

SHA256

تونيشل مستتر

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

تونيشل مستتر

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
AC1E354201

SHA256

تونيشل مستتر

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
CD3F0666EAD

SHA256

باب تحميل خلفي

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172FA602c

SHA256

باب تحميل خلفي

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

بوب شيل مستتر

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

دودة يو اس بي هيوبان

f5fd2905d90755d021e1442c34f
A628D56598AE1043A7c1103bd5
e21c7706168

SHA256

دودة يو اس بي هيوبان

45[.]136[.]254[.]193:443

عنوان IP، المنفذ

خادم Toneshell C2

45[.]144[.]165[.]66

عنوان IP، المنفذ

خادم Toneshell C2

218[.]255[.]96[.]245:443

عنوان IP، المنفذ

خادم Pubload C2

103[.]27[.]202[.]132

عنوان IP، المنفذ

خادم Toneshell C2

45[.]12[.]91[.]223:443

عنوان IP، المنفذ

خادم Pubload C2

تم الآن دمج مؤشر IBM X-Force Premier Threat Intelligence مع OpenCTI، ما يوفر معلومات استخباراتية قابلة للتنفيذ حول نشاط التهديد، وغيرها الكثير. يمكنك الوصول إلى رؤى حول عنصر التهديد والبرنامج الضار ومخاطر الصناعات. قم بتثبيت OpenCTI Connector لتعزيز الكشف والاستجابة، ما يعزز أمنك الإلكتروني من خلال خبرة IBM X-Force. واصل التقدم - ابدأ بالدمج اليوم.

