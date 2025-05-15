Seit Mai 2025 verfolgt IBM X-Force eine mutmaßliche Spionagekampagne, bei der ZIP-Archive als Waffen eingesetzt werden, um die Backdoors Pubload und Toneshell zu verbreiten. X-Force schreibt diese Kampagne, die wahrscheinlich Ende 2024 begann, dem China-nahen Bedrohungsakteur Hive0154 zu, dessen Operationen sich mit Gruppen wie Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris und Earth Preta überschneiden. Die Archive enthalten Pakete mit politischen Themen, die wahrscheinlich die Regierung, das Militär und Diplomatenpersonal auf den Philippinen, in den USA und in Pakistan anlocken sollen. Hive0154-Subcluster haben in der Vergangenheit ähnliche Taktiken angewandt. Insbesondere haben sie die Malware verwendet, um persistente Hintertüren zu installieren, die einen direkten Zugang zu den Umgebungen der Opfer ermöglichen, um einen erweiterten Einblick in die Entscheidungen der Regierungen zu erhalten. X-Force hat auch beobachtet, wie die Gruppe einen USB-Wurm einsetzt, um Pubload in Taiwan zu verbreiten und dabei möglicherweise Netzwerke zu erreichen, die möglicherweise Air-Gaps haben.
Seit mindestens 2022 nutzt Hive0154 unter anderem die Malware-Familie Toneshell, um weltweite Cyberoperationen durchzuführen. Malware im Zusammenhang mit Toneshell, wie beispielsweise Pubload und Pubshell (auch bekannt als NoFive), deutet darauf hin, dass die Gruppe im Rahmen ihrer Operationen separate Malware-Stränge unterhält. Die Gruppe besteht aus mehreren Untergruppen und zielt auf öffentliche und private Unternehmen ab, darunter Denkfabriken, politische Gruppen, Regierungsbehörden und Einzelpersonen. X-Force bewertet, dass dieser Bedrohungsakteur eine fähige Bedrohung darstellt, wie der Einsatz mehrerer unabhängiger Malware-Loader, Backdoor- und USB-Wurmfamilien sowie die konsistente Berichterstattung seiner Aktivitäten durch mehrere Sicherheitsforschungsteams zeigt.
Im Jahr 2023 berichtete Palo Alto, dass einer der X-Force-Tracks des Hive0154-Subclusters verschiedene Köder nutzte, um die Pubload-Backdoor zu verbreiten. Einige der unten aufgeführten Lockmittel fallen auch mit einer Kampagne gegen Myanmar zusammen, wie sie von CSIRT CTI im Januar 2024 berichtet wurde. Die untenstehenden Köder zeigen Chinas anhaltendes Interesse an südostasiatischen Ländern und Australien.
Name des Köders
Beschreibung
SHA256
Datum
Mitteilung bezüglich UEC, (25.04.2023).zip
Unbekannt
167a842b97d0
April 2023
Am 27. April aktualisierte party list.zip
Unbekannt
41276827827b9
April 2023
Biographie von Senator the Hon Don Farrell.zip
Der Dateiname scheint eine direkte Kopie des Titels zu sein, der auf der Website von Australia's Trade and Tourism über den australischen Handelsminister erscheint.
4fbfbf1cd2efaef1
April 2023
SAC hat einige didaktische Vorgaben für die allgemeine Wahl.
Unbekannt
782e074601f5b1
April 2023
National Security Priority Programs.zip
Unbekannt
a02766b3950dbb
Mai 2023
230605 Protokoll der Ministersitzung (1).zip
Die Akte könnte ein Verweis auf die Erklärung sein, die am 8. Juni 2023 in Paris von Ministern aus Australien, Kanada, Japan, den Vereinigten Staaten, dem Vereinigten Königreich und Neuseeland zu missbräuchlichen Handelspraktiken im asiatisch-pazifischen Raum abgegeben wurde.
178e92c59afe4c
Juni 2023
NUGs außenpolitische Strategie.zip
Die Formulierung erscheint auf dieser CSIS-Indonesien-Webseite, die sich über eine Situation in Myanmar bezieht, das sich in einem Bürgerkrieg befindet, wobei Berichte nahelegen, dass China laut Berichten vom Dezember 2024 erwägt, Sicherheitskräfte zur Unterstützung der Militärjunta-Regierung Myanmars zu entsenden.
ba7c456f229adc
August 2023
Analyse des dritten Treffens des NDSC.zip
Die Akte war möglicherweise Teil einer zuvor von Stately Taurus gemeldeten Kampagne gegen die Regierung von Myanmar Anfang 2024. Etwa im Oktober 2023 geriet Myanmar in einen Bürgerkrieg zwischen Rebellen und Regierung, wobei die Rebellen die Kontrolle über eine wichtige Handelsroute für China faktisch übernommen haben.
4e8717c9812318f8
November 2023
Die präparierten ZIP-Dateien enthalten in der Regel eine umbenannte, legitime ausführbare Datei, wie zum Beispiel SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), die zum Sideloading einer bösartigen DLL verwendet wird. Die DLL ist Teil der Claimloader-Familie, die aus verschiedenen Shellcode-Loader-Varianten besteht, die von Hive0154 im Laufe der Jahre verwendet wurden, um Payloads zu laden, die mit den Backdoor-Familien Pubload und Toneshell in Verbindung stehen.
Im Laufe des Jahres 2024 wurden weitere Aktivitäten von Hive0154 registriert, von denen einige von FatzQuatz, dem Twitter/X-Account von StrikeReadyLabs und Hunt.io berichtet wurden:
Name des Köders
Beschreibung
SHA256
Datum
Besprechungsanfrage--30-31-05.zip
Unbekannt
09597c284
Mai 2024
EBO Brainstorming Freitag, 24. bis
Unbekannt
78a60bea56
Mai 2024
Vorlage für die Teilnehmerliste (24-6-2024).zip
Unbekannt
b7d13787c8be
Juni 2024
Notice of Final Meeting.zip
Unbekannt
fef713b23717
Juli 2024
a1. Leitlinien für den Einsatz von Soft Power zur Förderung des Images Thailands und
Unbekannt
727ccc4560
Juli 2024
Interview mit Surachet
Unbekannt
f00e5ff2dc47
August 2024
IISS Prague Defence Summit 2024.zip
Zuvor wurde über eine Mustang Panda-Kampagne berichtet, die sich an Teilnehmer des IISS Defence Summit in Prag im November 2024 richtete.
1387ec22a339
August 2024
NDI-IRI_Election_
Der Dateiname scheint sich auf den im Juni 2023 veröffentlichten NDI-IRI-Bericht über die Wahlen in Nigeria zu beziehen. Der Bericht wurde mit Unterstützung der US Agency for International Development (USAID) in Auftrag gegeben.
ac989df2715a
August 2024
leadership information list.zip
Unbekannt
3a37a127a4253
August 2024
Aufforderung zur Einreichung von Beiträgen für die 6.
Die Verlockung bezieht sich wahrscheinlich auf ein bilaterales Treffen zwischen Thailand und den Philippinen, das im Oktober 2024 stattfand.
057fd248e0219
September 2024
Bencana_Air_
Das Köderdokument scheint von der Malaysian National Disaster Management Agency (NADMA, Agensi Pengurusan Bencana Negara) und ihren laufenden Reaktionen auf Covid-19 in Malaysia zu stammen.
cc4e5d175fc85685
Oktober 2024
Die DLL-Sideloading-Technik innerhalb von ZIP-Dateien bleibt gleich, jedoch wurden verschiedene Versionen der Claimloader-DLL mit Änderungen am Entschlüsselungsalgorithmus registriert. Einige der Kampagnen verwendeten auch direkt eine Toneshell DLL (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b).
X-Force beobachtete mehrere neue Kampagnen Ende 2024 und Anfang 2025 nach denselben TTPs, die demselben Hive0154-Subcluster zugeordnet wurden. Die neuesten Claimloader-Varianten unterstützen auch das Öffnen von Decoy-PDFs als Teil der Installationsroutine, bevor ihre Shellcode-Nutzlasten eingefügt werden. Sowohl die PDF-Dateien als auch die DLLs verwenden Dateiattribute, die für einen Standardbenutzer verborgen bleiben.
Zwei Köder und ihre zugehörigen Täuschungsaktennamen erwähnen ausdrücklich die Spannungen über das Südchinesische Meer zwischen China und den Philippinen, wobei die philippinische Regierung angesichts zunehmender Aktivitäten des chinesischen Militärs zu enger militärischer Zusammenarbeit mit den USA aufruft. Diese Entwicklungen werden voraussichtlich ein gesteigertes Interesse bei den Empfängern hervorrufen, die dadurch eher geneigt sein könnten, den Anhang zu öffnen. Zu diesen Empfängern können die Regierung der Philippinen, das Militär und das diplomatische Personal gehören, aber auch Mitarbeiter der U.S.-Regierung und des Militärs, deren Aufgaben es rechtfertigen, sich mit dem in den Dateinamen genannten Thema zu befassen.
Name des Köders
Decoy-Dateiname
Zugehörige DLL SHA256
Datum
Bewertungsbericht 10.-17. Okt.\Zusammenstoß zwischen China und den Philippinen über
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
Oktober 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
November 2024
Beide Köder laden eine Claimloader-DLL nach, die die gleiche Toneshell-Backdoor lädt, die weiter unten beschrieben wird.
Claimloader ist eine Familie von Loadern, die Hive0154 in der Vergangenheit zum Laden verschiedener Shellcode-Payloads verwendet hat, darunter Toneshell und Pubload. Im Laufe der Jahre hat sich das Programm in verschiedene Versionen mit unterschiedlichen Funktionen entwickelt.
Eines der ersten Beispiele, das Ende 2021 zusammengestellt wurde, wurde von Palo Altos Unit 42 veröffentlicht. Es verwendet eine interessante Technik, indem Shellcode über die UuidFromStringA-API in einen Puffer kopiert wird. Anschließend wird der Shellcode als Callback-Funktion ausgeführt, die an EnumSystemLanguageGroupsA übergeben wird.
Eine ähnliche Technik wurde zuvor von der NCC-Gruppeberichtet.
Im November 2022 berichtete LAC über eine Variante von Claimloader. Es ist wahrscheinlich, dass dabei Regierungsorganisationen auf den Philippinen in einer Infektionskette ins Visier genommen werden, die fast genau der Aktivität in den Jahren 2023-2024 entspricht, die in den vorangegangenen Abschnitten detailliert beschrieben wurde. Die Variante speichert ihre Nutzlast als 32-Byte-Blöcke von verschlüsselten Stack-Strings, bevor sie jeden einzelnen entschlüsselt. Außerdem kopiert er die legitime ausführbare Datei und die Claimloader-DLL in ein neues Verzeichnis, bevor er versucht, über die Registrierung oder geplante Aufgaben eine Persistenz herzustellen, was ihn effektiv zu einem Installer zusätzlich zu einem Loader macht.
Nach der Ausführung erstellt die Malware zunächst einen fest codierten Mutex, um sicherzustellen, dass nur eine einzige Instanz von Claimloader ausgeführt wird. Als nächstes wird nach einem bestimmten Kommandozeilenargument gesucht, das beim ersten Durchlauf nicht vorhanden ist. In diesem Fall kopiert Claimloader sowohl die EXE- als auch die DLL-Datei in ein neues, unauffälliges Verzeichnis, oft unter „C:\ProgramData\“, und imitiert damit ein Softwareverzeichnis wie beispielsweise:
Dieses Verhalten wird von den meisten neueren Claimloader-Beispielen verwendet und kann auch zu erfolglosen Sandbox-Ausführungen führen.
Anschließend stellt die Malware nach dem Login eine dauerhafte Verbindung her, indem sie den Pfad der EXE-Datei mit dem korrekten Befehlszeilenargument in einem neuen Registrierungsschlüssel speichert, wiederum mit einem unaufdringlichen Softwarenamen unter:
Der Claimloader verwendet außerdem einen sekundären Persistenzmechanismus, indem er den folgenden Prozess erstellt, um eine geplante Aufgabe zu erstellen, die den Loader alle 5 Minuten ausführt:
Beachten Sie, dass die genauen Techniken abweichen können; in einem Beispiel wurden beispielsweise COM-Objekte verwendet, um die Aufgabe durch Verbindung mit der ITaskService-Schnittstelle zu planen (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Die Entschlüsselungsalgorithmen von Claimloader variierten in ihren Stichproben zwischen DES (neueste Version), mindestens zwei Implementierungen von AES- und XOR-basierten Entschlüsselungsroutinen, die einen fest codierten Seed verwenden, um einen Schlüsselstrom über die _srand() -Funktion zu erzeugen:
Um ihre Payloads nach der Entschlüsselung auszuführen, verwenden die meisten Claimloader-Varianten APIs mit Callback-Funktionen. Es gibt jedoch auch Varianten, die einen neuen Thread erstellen oder die Payload direkt als Funktion aufrufen.
Nachfolgend finden Sie eine Tabelle mit verschiedenen Claimloader-Beispielen und den jeweils verwendeten Techniken:
Beispiel SHA256
DLL-Name
Persistenz
Entschlüsselung
Ausführungstechnik
3af7807efb105
Amind
Registrierung und geplante
_srand() keystream
EnumPropsExW
8957c8de9032
libemb
Registrierung und geplante Aufgabe
AES
Direkter Anruf
d665f55555f87
CCleaner
Keine
AES, wobei die Nutzdaten in Stack-Zeichenfolgen gespeichert werden
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
Registrierung und geplante Aufgabe „jxbrowser-chromiumim“
AES
EnumFontsW
a6dfb41bbad08
jx
Registrierung und geplante Aufgabe „jxbrowser-chromiumim“
AES
EnumFontsW
900af2b8d03b4
helper_
Registrierung und geplante Aufgabe „Wargaming
_srand() keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
Registrierung und geplante Aufgabe „NVIDIA_
DES
EnumFontsW
Mehrere aktuelle Beispiele haben die Unterstützung für die Anzeige einer PDF-Datei als Köder während der ersten Ausführung von Claimloader hinzugefügt.
Nach dem Öffnen der PDF-Datei für den Benutzer entfernt Claimloader die Dateiattribute „System“ und „Versteckt“, um die PDF-Datei für den Benutzer im geöffneten Ordner dauerhaft sichtbar zu machen.
Die zum Zeitpunkt der Veröffentlichung aktuellste Variante von Claimloader verwendet verschleierte API- und DLL-Namen, die mit 0x99 XOR-verschlüsselt sind. Während der Ausführung entschlüsselt der Loader die Zeichenfolgen und ruft LdrLoadDll und LdrGetProcedureAddress auf, um die Funktionszeiger für die benötigten APIs aufzulösen.
Beide Claimloader-DLLs, die mit den South China Sea-Ködern verbunden sind, laden dieselbe Toneshell-Backdoor (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) als Shellcode, der gleichzeitig eine gültige PE ist.
Der DOS-Header wurde modifiziert, um einen kleinen Stub einzufügen, der eine andere Funktion bei Offset 0x4200 aufruft und dabei die Basisadresse der PE als Argument bereitstellt. Diese Ladefunktion lädt anschließend die PE-Datei manuell, löst die erforderlichen Importe auf und ordnet die Abschnitte im Speicher zu. Diese Technik ermöglicht es Malware-Entwicklern, eine gültige PE-Datei nach der Kompilierung in Shellcode umzuwandeln.
Die Toneshell-Familie umfasst eine große Anzahl verschiedener Varianten und hat sich im Laufe der Zeit erheblich weiterentwickelt. Obwohl er starke Code-Überschneidungen mit der Pubload-Backdoor aufweist, wird er von X-Force separat verfolgt. Varianten können sich hinsichtlich C2-Mechanismen, benutzerdefinierten C2-Protokollen, unterstützten Befehlen und API-Hashes unterscheiden. X-Force fasst außerdem mehrere Versionen eines USB-Wurm-Frameworks namens „Tonedisk“ unter der Toneshell-Familie zusammen.
Die Toneshell-Backdoor aus der oben genannten Kampagne ist eine vergleichsweise einfache Variante und dient dazu, über ihren C2-Server eine Reverse-Shell aufzubauen.
Es beginnt damit, seine APIs aufzulösen und ein neues GUID über CoCreateGuid zu erstellen. Die resultierenden 16 Bytes werden als eindeutige Opferkennung verwendet und in einer neuen Datei geschrieben:
Als Nächstes erstellt sie ein neues Ereignis „Fool87012900137“, das als Mutex verwendet wird, um sicherzustellen, dass es die einzige laufende Instanz ist. Toneshell initialisiert seine Hauptstruktur mit der C2-Serveradresse (45[.]136[.]254[.]193:443), der GUID und dem Computernamen des Opfers sowie weiteren Konfigurationswerten. Außerdem initialisiert es eine Implementierung des Microsoft-PRNG „rand“.
Für jedes Beacon, das den C2-Server nach Befehlen abfragt, erzeugt Toneshell den nächsten 256-Byte-Schlüssel aus dem PRNG, der zur Verschlüsselung der C2-Kommunikation, des GUID und des Computernamens verwendet wird.
Die TCP-Beacons enthalten die folgenden Werte, formatiert mit einem Header, der ein TLS-Anwendungsdatenpaket (17 03 03) imitiert:
Toneshell erwartet eine ähnliche Antwort vom Server:
Nach der Entschlüsselung der Antwort wird das erste Byte als Befehlswert geparst, das zweite Byte als Identifikator für erstellte Pipes und der Rest als Befehlsnutzlast.
Bevor der Befehl ausgeführt wird, erstellt Toneshell einen neuen Thread, der alle 30 Sekunden herzschlagartige Antwort-Beacons sendet. Jeder Beacon muss außerdem das korrekte niedrigste Byte der nächsten 4 Bytes senden, die vom initialisierten PRNG-Schlüsselstrom generiert werden, um die Integrität der Kommunikation mit dem C2-Server zu Verify. Diese Beacons sind wie folgt formatiert:
Diese Version von Toneshell unterstützt die folgenden C2-Befehlscodes:
Code
Beschreibung
1
Warten – wartet weiterhin auf Befehle mit einer nicht leeren Nutzlast.
2
Neue Datei erstellen (löschen, falls bereits vorhanden)
3
Daten in Datei schreiben
4
Daten in eine Datei schreiben und per Antwortsignal bestätigen
5
Reverse Shell über Pipes erstellen
6
Shell-Befehl in Pipe schreiben
7
Reverse-Shell beenden
Um eine Reverse Shell zu erstellen, richtet Toneshell zwei anonyme Pipes ein und erstellt einen neuen cmd.exe-Prozess, der die Pipes nutzt, um Daten in stdin zu schreiben und Daten von stdout und stderr zu lesen.
Durch Hinzufügen der Handles zu den Pipes in die STARTUPINFO-Struktur des neuen Prozesses kann Toneshell beliebige Befehle ausführen, indem es einfach in die Pipe schreibt. In einem neuen Thread durchsucht Toneshell die Pipe für eine neue Ausgabe mit PeekNamedPipe alle 100 ms. Alle neuen Daten werden von der Leitung ausgelesen und an den C2-Server weitergeleitet.
Im Februar 2025 beobachtete X-Force eine Hive0154-Kampagne, bei der die Pubload-Backdoor über ähnliche Varianten des Claimloaders wie oben beschrieben bereitgestellt wurde. Die vier unten aufgeführten Beispiele teilen denselben C2-Server 218 [.] 255 [.] 96 [.] 245:443
Name des Köders
Land des Einreichers
Name Claimloader-DLL
Claimloader Mutex
DLL SHA256
Datum
BLA,BLF,
Pakistan
SolidPDF
TB2025
c7efd45aa7
12. Februar 2025
Unbekannt
Hongkong
SolidPDF
MTM2025
087ccc7f6c02
11. März 2025
(The_
Die Philippinen
chrome_
CATM2025
216188ee52b0
20. März 2025
NSC_
USA
helper_
GameBox
900af2b8d03b
17. April 2025
Invitation to
Die Philippinen
helper_
GameGpu
4c66e7ebf2ca2
29. April 2025
豐德電廠
Unbekannt (wahrscheinlich Taiwan)
helper_
GameFind
112118aad0db9ff
7. Mai 2025
英諾飛保
Taiwan
helper_
Unbekannt
Unbekannt
8. Mai 2025
Invitation letter
Unbekannt
helper_
GameBox
7476d6b375d8
9. Mai 2025
Im Falle der oben genannten LNK-Datei wird die legitime, umbenannte ausführbare Datei ausgeführt, um das DLL-Sideloading von Claimloader zu Initiate:
Eine der präparierten ZIP-Dateien enthielt eine legitime ausführbare Datei, die in „BLA,BLF,BRAS,BRG,BRA,UBA (Forschung & Analyse) Report.exe“ umbenannt worden war. Bei dem Köder handelt es sich wahrscheinlich um eine Anspielung auf die Baloch Liberation Army (BLA)., eine militante separatistische Gruppe und andere damit verbundene militante Gruppen, die die Gründung eines neuen Staates Belutschistan fordern. Die Verwendung solcher Namen in dem Köder ist wahrscheinlich ein Versuch eines Angreifers, interessierte Empfänger zum Anklicken des Anhangs zu bewegen.
Eine weitere Datei mit dem Titel „NSC_Meeting_Minutes_Apr2025.lnk“ könnte sich auf eine Sitzung des US-amerikanischen Nationalen Sicherheitsrats und mutmaßliche Protokolle beziehen, die für Personen in der Regierung oder andere Personen, die im Bereich der Geheimdienste, akademisch oder Journalismus mit Bezug zu US-Regierungsangelegenheiten befasst sind, von Interesse sein könnten. Wie der „BLA“-Köder, der potenziell auf pakistanische Beamte abzielt, könnte sich dieser Köder an eine Zielgruppe mit einem unverwechselbaren Dateinamen richten, um die Empfänger zum Anklicken des Anhangs zu verleiten.
Ein Dateiname, „Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe“, könnte sich auf einen bevorstehenden Gipfel der Association of Southeast Asian Nations (ASEAN) am 26. und 27. Mai 2025 in Malaysia beziehen.
Der Dateiname: „豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe“ bezieht sich möglicherweise auf die Zahlungsrechnung des Kraftwerks Fongde in Taiwan vom April/Mai 2015.
Die letzte Datei, „英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe“ könnte sich auf eine angebliche Geheimhaltungsvereinbarung zwischen zwei taiwanesischen Luft- und Raumfahrtunternehmen im Zusammenhang mit unbemannten Luftfahrzeugen (UAV) und der Wartung von Flugzeugen beziehen.
Pubload ist eine Hintertür, die erstmals von Cisco Talos beschrieben wurde. im Jahr 2022 als ungenannter Stager. Beachten Sie, dass X-Force den Loader für den Shellcode als Claimloader und den First-Stage-Shellcode-Downloader als Pubload identifiziert, während TrendMicro beide als Pubload identifiziert. Der Claimloader wurde verwendet, um sowohl Pubload als auch ToneShell zu laden. Team T5 Tracks von Pubload und Pubshell als NoFive.
Die Pubload-Shellcode-Payload beginnt mit der XOR-Entschlüsselung des restlichen Shellcodes mithilfe eines 32-Byte-XOR-Schlüssels:
Diese Selbstentschlüsselungsroutine wurde erst ab dem zweiten der vier oben genannten Claimloader-Beispiele hinzugefügt. Nach der Entschlüsselung werden alle erforderlichen APIs aufgelöst, die über den ROR13-Algorithmus verschleiert wurden. Anschließend weist es neuen Speicher zu und richtet seine Hauptstruktur mit einer fest codierten C2-Serveradresse und einem Verschlüsselungsschlüssel ein, bevor es sein Hauptverhalten initiiert.
Die Hauptschleife von Pubload beginnt mit der Aufzählung folgender Werte:
Diese Werte sind als erste Beacon-Nutzlast formatiert:
Die Nutzlast wird mit dem fest codierten Schlüssel in vier aufeinanderfolgenden XOR-Schleifen mit unterschiedlichen Schlüsselverschiebungen verschlüsselt:
Ähnlich wie bei Toneshell wird die verschlüsselte Nutzlast in ein gefälschtes TLS-Anwendungsdatenpaket eingebunden:
Das TCP-Paket wird an seinen fest programmierten C2-Server gesendet bei
Im Gegenzug erwartet Pubload eine Antwort, analysiert als
Nach erfolgreicher Entschlüsselung der Nutzdaten wird erwartet, dass das erste Byte 0x06 ist, während die restlichen Daten als die unten stehende Struktur analysiert werden, um die empfangenen Shellcode-Nutzdaten per XOR-Verknüpfung zu entschlüsseln:
Schließlich fügt Pubload die notwendige Speicherschutzoption PAGE_EXECUTE_READWRITE hinzu und führt den Shellcode aus, wobei die aufgelisteten Systeminformationen und der C2-Server als Argumente übergeben werden.
Die Shellcode-Nutzlast (Pubshell), die sofort von Pubload heruntergeladen wurde, weist mehrere Ähnlichkeiten mit der oben beschriebenen Toneshell-Variante auf und verfügt über dieselbe Funktionalität – eine Reverse-Shell durch Pipes zu erstellen.
Es beginnt mit dem üblichen Einrichtungsverfahren, löst APIs auf, weist Speicher zu, beginnt mit der Hauptstruktur und dem gleichen Schlüssel wie das übergeordnete Pubload-Sample.
Der erste Beacon ist wie der von Pubload, mit Ausnahme des ersten Bytes der Nutzdaten (Beacon-Code), das 0x0B lautet.
Auch hier fungiert das erste Byte der entschlüsselten Antwort als Befehlscode, um das Verhalten von Pubshell zu bestimmen:
Befehlscode
Beschreibung
1
Setzen Sie die Opfer-ID auf die ursprüngliche verschleierte Seriennummer zurück.
3
Legen Sie eine neue Opfer-ID fest
4
Beacon-Frequenz in Sekunden einstellen (Anfangswert ist 10s).
5
Beaconing beenden
26
Datei löschen
27
Neue Datei erstellen
29
Daten in die neu erstellte Datei schreiben
30
Reverse Shell über Pipes erstellen
31
Neuen Befehl in Pipe schreiben
32
Die Reverse Shell wird beendet und alle Handles und zugehörigen Prozesse werden geschlossen.
48
Befehlsergebnis (stdin, stderr) aus der Pipe lesen
Genau wie Toneshell sendet Pubshell unterschiedliche Antwortcodes an seinen C2-Server zurück, abhängig vom Ergebnis eines Befehls. Beispielsweise geben sowohl die Befehle zum Erstellen einer neuen Datei (27) als auch zum Schreiben in diese Datei (29) im Erfolgsfall den Code 42 und im Fehlerfall den Code 43 zurück. Darüber hinaus enthält Pubshell auch detailliertere Fehlermeldungen, wie zum Beispiel:
Ähnliche Zeichenketten wurden auch bei anderen Toneshell-Varianten beobachtet.
Die Pubshell-Implementierung der Reverse-Shell über anonyme Pipes ist nahezu identisch mit der Toneshell-Implementierung. Anstatt jedoch einen neuen Thread zu starten, um sofort Ergebnisse zurückzugeben, benötigt Pubshell einen zusätzlichen Befehl, um Befehlsergebnisse zurückzugeben. Außerdem unterstützt es nur die Ausführung von „cmd.exe“ als Schale.
In vielerlei Hinsicht scheinen Pubload und Pubshell eine unabhängig entwickelte „Lite-Version“ von Toneshell zu sein, mit weniger Komplexität und deutlichen Codeüberschneidungen.
Im Dezember 2024 beobachtete X-Force weitere Hive0154-Aktivitäten, die mit der Pubload-Backdoor auf Taiwan abzielten. Im März beauftragte X-Force ein großes Produktionsunternehmen mit der Untersuchung einer Pubload-Infektion in Taiwan. Bei dem Vorfall nutzten Bedrohungsakteure den HIUPAN-USB-Wurm, um Claimloader und Pubload über USB-Geräte zu verbreiten. Der Wurm wird wahrscheinlich als Folge-Nutzlast bei ersten Pubload-Infektionen verwendet, um die Anzahl der Infektionen zu erhöhen und möglicherweise Netzwerke zu erreichen, die möglicherweise von einem Air-Gap betroffen sind. Die Beziehung beider Malware-Varianten wurde zuvor von Trend Micro dokumentiert.
HIUPAN (auch bekannt als U2DiskWatch) ist ein USB-Wurm, dessen Haupt-DLL „u2ec.dll“ durch eine legitime EXE-Datei „UsbConfig.exe“ per Sideloading installiert wird, wenn ein Benutzer diese versehentlich von einem USB-Gerät ausführt. Der Wurm erledigt folgende Aufgaben:
HIUPAN verwendet eine Konfigurationsdatei „$.ini“, um einen Sleep-Multiplikator und die Dateinamen seiner Komponenten sowie der zugehörigen Malware zu speichern. Dadurch ist es extrem einfach, den Wurm so zu konfigurieren, dass er beliebige Malware verbreitet, indem man einfach die Payload-Dateien und die textbasierte Konfiguration austauscht.
Die Konfigurationsdatei, die bei Infektionen in Taiwan beobachtet wurde, die Claimloader und Pubload verbreiten, wird unten angezeigt:
Befehlscode
Beschreibung
1
Setzen Sie die Opfer-ID auf die ursprüngliche verschleierte Seriennummer zurück.
3
Legen Sie eine neue Opfer-ID fest
4
Beacon-Frequenz in Sekunden einstellen (Anfangswert ist 10s).
5
Beaconing beenden
26
Datei löschen
27
Neue Datei erstellen
29
Daten in die neu erstellte Datei schreiben
30
Reverse Shell über Pipes erstellen
31
Neuen Befehl in Pipe schreiben
32
Die Reverse Shell wird beendet und alle Handles und zugehörigen Prozesse werden geschlossen.
48
Befehlsergebnis (stdin, stderr) aus der Pipe lesen
HIUPAN ist nicht der einzige USB-Wurm, den Hive0154 verwendet. Mehrere andere Framework und Varianten, die Malware verbreiten, wie beispielsweise Toneshell und Pubshell, sind weiterhin aktiv im Umlauf und werden regelmäßig auf VirusTotal hochgeladen.
Der umfangreiche operative Umfang von Hive0154, der in diesem Blog diskutiert wird, wird durch den Einsatz verschiedener Tools, innovativer Techniken und einer breiten Palette potenzieller Opfer deutlich. China-nahe Unternehmen wie Hive0154 werden ihr umfangreiches Malware-Arsenal weiterentwickeln und ihren Fokus weiterhin auf ostasiatische Unternehmen im privaten und öffentlichen Sektor richten. Ihr breites Spektrum an Werkzeugen, die häufigen Entwicklungszyklen und die Verbreitung von Malware über USB-Würmer machen sie zu einem hochentwickelten Bedrohungsakteur. Organisationen, die von der Aktivität von Hive0154 bedroht sind, sollten ihre defensiven Sicherheitsvorkehrungen verstärken und hinsichtlich der in diesem Bericht genannten Techniken wachsam bleiben.
Indikator
Art des Indikators
Kontext
167a842b97d0434f20e0
SHA256
Hive0154 bewaffnetes Archiv
41276827827b95c9b5a9f
SHA256
Hive0154 bewaffnetes Archiv
4fbfbf1cd2efaef1906f0bd2
SHA256
Hive0154 bewaffnetes Archiv
782e074601f5b17e045d7c
SHA256
Hive0154 bewaffnete SFX
a02766b3950dbb86a1293
SHA256
Hive0154 bewaffnetes Archiv
178e92c59afe4c59043657
SHA256
Hive0154 bewaffnetes Archiv
ba7c456f229adc4bd75bfb8
SHA256
Hive0154 bewaffnetes Archiv
4e8717c9812318f8775a94fc
SHA256
Hive0154 bewaffnetes Archiv
09597c2844067d8ee671313
SHA256
Hive0154 bewaffnetes Archiv
78a60bea5693138c771386b8
SHA256
Hive0154 bewaffnetes Archiv
fef713b237179f4d6bea899687
SHA256
Hive0154 bewaffnetes Archiv
727ccc4560fb11627870ff2cac2
SHA256
Hive0154 bewaffnetes Archiv
f00e5ff2dc47a7625c86ac8978
SHA256
Hive0154 bewaffnetes Archiv
1387ec22a3391647e25d2cb722
SHA256
Hive0154 bewaffnetes Archiv
ac989df2715a26df9e039e9e0d
SHA256
Hive0154 bewaffnetes Archiv
3a37a127a425360d00588bf652
SHA256
Hive0154 bewaffnetes Archiv
cc4E5D175FC85685e7F31C2E7797
SHA256
Hive0154 bewaffnetes Archiv
e4A4803CB04B58C07230B1368
SHA256
Hive0154 bewaffnetes Archiv
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Hive0154 bewaffnetes Archiv
b7d13787c8be72dcc584c516e7
SHA256
Hive0154 bewaffnetes Archiv
76cc0fd64A2FC67BC0146F04819
SHA256
Hive0154 bewaffnetes Archiv
c49c686c26845b9ef0913642ca
SHA256
Hive0154 bewaffnetes Archiv
b8865a77cb8f0706b50d4d85bf
SHA256
Hive0154 bewaffnetes Archiv
98c1527d4b064fcf4a95488c345
SHA256
Hive0154 bewaffnetes Archiv
6f5c50f37b6753366066c65b3e
SHA256
Hive0154 bewaffnetes Archiv
d99e33878e23582308b1e217aff
SHA256
Hive0154 bewaffnetes Archiv
cf61b7a9bdde2a39156d88f309f
SHA256
Frühe Claimloader-Beispiele
93fb8b78d65a9ef790be6d2055
SHA256
Claimloader-DLL
895b8e0c1d2e4cae16508ded50
SHA256
Claimloader-DLL
a6dfb41bbad08e3fe663efa325e
SHA256
Claimloader-DLL
3af7807efb10525196c562c1f91d2
SHA256
Claimloader-DLL
8957c8de9032b347ee1a15abbae
SHA256
Claimloader-DLL
d665f55555f87b515cb8ef1adce9
SHA256
Claimloader-DLL
c7efd45aa7dd1ecd05571f15d83e
SHA256
Claimloader-DLL
a6dfb41bbad08e3fe663efa325e
SHA256
Claimloader-DLL
8f4ee5e0b85020f2a040f54dccd
SHA256
Claimloader-DLL
087ccc7f6c022dc5fd40ade3ef6a
SHA256
Claimloader-DLL
216188ee52b067f761bdf3c45663
SHA256
Claimloader-DLL
900af2b8d03b40cdb027126d47
SHA256
Claimloader-DLL
4c66e7ebf2ca2ecf00379463835
SHA256
Claimloader-DLL
112118aad0db9ff6c78dce2e81d9
SHA256
Claimloader-DLL
7476d6b375d8b1962624723aab
SHA256
Claimloader-DLL
0bd114fecfd3c09820fa013d8cd8
SHA256
ToneShell-Backdoor
5d7b9605cf85371da0849b8297
SHA256
ToneShell-Backdoor
62087a1226c5433d6f6184d627
SHA256
ToneShell-Backdoor
534853913ad1e9b7ae7dade841
SHA256
Pubload-Backdoor
2da73366f9efc0d1c05c72e404
SHA256
Pubload-Backdoor
b04775803e48979b68480a49
SHA256
Pubshell-Backdoor
b4c37e3995d5ff94754cedd49f
SHA256
HIUPAN USB-Wurm
f5fd2905d90755d021e1442c34f
SHA256
HIUPAN USB-Wurm
45[.]136[.]254[.]193:443
IP-Adresse, Port
ToneShell C2 Server
45[.]144[.]165[.]66
IP-Adresse, Port
ToneShell C2 Server
218[.]255[.]96[.]245:443
IP-Adresse, Port
C2-Server veröffentlichen
103[.]27[.]202[.]132
IP-Adresse, Port
ToneShell C2 Server
45[.]12[.]91[.]223:443
IP-Adresse, Port
C2-Server veröffentlichen
