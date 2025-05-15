Tags
Sicherheit

Hive0154 zielt im Rahmen einer mutmaßlichen Spionagekampagne auf die USA, die Philippinen, Pakistan und Taiwan ab

Die Erde aus dem Weltraum mit digitalen Linien, die Punkte auf dem Planeten verbinden

Autoren

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

Seit Mai 2025 verfolgt IBM X-Force eine mutmaßliche Spionagekampagne, bei der ZIP-Archive als Waffen eingesetzt werden, um die Backdoors Pubload und Toneshell zu verbreiten. X-Force schreibt diese Kampagne, die wahrscheinlich Ende 2024 begann, dem China-nahen Bedrohungsakteur Hive0154 zu, dessen Operationen sich mit Gruppen wie Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris und Earth Preta überschneiden. Die Archive enthalten Pakete mit politischen Themen, die wahrscheinlich die Regierung, das Militär und Diplomatenpersonal auf den Philippinen, in den USA und in Pakistan anlocken sollen. Hive0154-Subcluster haben in der Vergangenheit ähnliche Taktiken angewandt. Insbesondere haben sie die Malware verwendet, um persistente Hintertüren zu installieren, die einen direkten Zugang zu den Umgebungen der Opfer ermöglichen, um einen erweiterten Einblick in die Entscheidungen der Regierungen zu erhalten. X-Force hat auch beobachtet, wie die Gruppe einen USB-Wurm einsetzt, um Pubload in Taiwan zu verbreiten und dabei möglicherweise Netzwerke zu erreichen, die möglicherweise Air-Gaps haben.

Wesentliche Feststellungen

  • Hive0154 ist ein etablierter, mit China verbundener Bedrohungsakteur mit einem umfangreichen Malware-Arsenal, konsistenten Techniken und gut dokumentierten Aktivitäten in den letzten Jahren
  • In dem Malware-Arsenal entdeckte X-Force eine Reihe von Tools, die auf eine bestimmte Zielgruppe ausgerichtet sind, wahrscheinlich auf die Regierung, das Militär und das diplomatische Personal der Philippinen, der Vereinigten Staaten und Pakistans
  • Die Erkenntnisse von X-Force deuten darauf hin, dass Hive0154 geopolitische Themen nutzt, die auf unterschiedliche Zielgruppen zugeschnitten sind: 1. auf den Philippinen werden die Spannungen im Südchinesischen Meer thematisiert, 2. in Pakistan werden die Aktivitäten der Separatisten in Belutschistan thematisiert und 3. in den USA werden gefälschte Protokolle von Sitzungen des Nationalen Sicherheitsrates thematisiert.
  • Diese gezielten Angriffe deuten darauf hin, dass Hive0154 wahrscheinlich versucht, Informationen über mögliche Strategien und Absichten der US-Regierung und der Nachbarländer gegenüber China zu gewinnen
  • Einer der Untercluster von Hive0154 hat konsequent weiterentwickelnde Claimloader-Varianten genutzt, um verwandte Pubload- und Toneshell-Backdoors und Zieleinheiten in Europa, der Asien-Pazifik-Region und den USA bereitzustellen
  • X-Force untersuchte die jüngsten Aktivitäten in Taiwan, wo der HIUPAN USB-Wurm verwendet wurde, um die Pubload-Hintertür in einem großen Produktionsunternehmen zu verbreiten. Hive0154 verwendet auch Dateinamen im Zusammenhang mit Rechnungen und Rechtsdokumenten als Köder, um Taiwan im Mai 2025 ins Visier zu nehmen

Überblick über Hive0154

Seit mindestens 2022 nutzt Hive0154 unter anderem die Malware-Familie Toneshell, um weltweite Cyberoperationen durchzuführen. Malware im Zusammenhang mit Toneshell, wie beispielsweise Pubload und Pubshell (auch bekannt als NoFive), deutet darauf hin, dass die Gruppe im Rahmen ihrer Operationen separate Malware-Stränge unterhält. Die Gruppe besteht aus mehreren Untergruppen und zielt auf öffentliche und private Unternehmen ab, darunter Denkfabriken, politische Gruppen, Regierungsbehörden und Einzelpersonen. X-Force bewertet, dass dieser Bedrohungsakteur eine fähige Bedrohung darstellt, wie der Einsatz mehrerer unabhängiger Malware-Loader, Backdoor- und USB-Wurmfamilien sowie die konsistente Berichterstattung seiner Aktivitäten durch mehrere Sicherheitsforschungsteams zeigt.

Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz  

Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.  

Vorherige Aktivität

Im Jahr 2023 berichtete Palo Alto, dass einer der X-Force-Tracks des Hive0154-Subclusters verschiedene Köder nutzte, um die Pubload-Backdoor zu verbreiten. Einige der unten aufgeführten Lockmittel fallen auch mit einer Kampagne gegen Myanmar zusammen, wie sie von CSIRT CTI im Januar 2024 berichtet wurde. Die untenstehenden Köder zeigen Chinas anhaltendes Interesse an südostasiatischen Ländern und Australien.

Name des Köders

Beschreibung

SHA256

Datum

Mitteilung bezüglich UEC, (25.04.2023).zip

Unbekannt

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

April 2023

Am 27. April aktualisierte party list.zip

Unbekannt

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

April 2023

Biographie von Senator the Hon Don Farrell.zip

Der Dateiname scheint eine direkte Kopie des Titels zu sein, der auf der Website von Australia's Trade and Tourism über den australischen Handelsminister erscheint.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

April 2023

SAC hat einige didaktische Vorgaben für die allgemeine Wahl.

Unbekannt

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

April 2023

National Security Priority Programs.zip

Unbekannt

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

Mai 2023

230605 Protokoll der Ministersitzung (1).zip

Die Akte könnte ein Verweis auf die Erklärung sein, die am 8. Juni 2023 in Paris von Ministern aus Australien, Kanada, Japan, den Vereinigten Staaten, dem Vereinigten Königreich und Neuseeland zu missbräuchlichen Handelspraktiken im asiatisch-pazifischen Raum abgegeben wurde.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

Juni 2023

NUGs außenpolitische Strategie.zip

Die Formulierung erscheint auf dieser CSIS-Indonesien-Webseite, die sich über eine Situation in Myanmar bezieht, das sich in einem Bürgerkrieg befindet, wobei Berichte nahelegen, dass China laut Berichten vom Dezember 2024 erwägt, Sicherheitskräfte zur Unterstützung der Militärjunta-Regierung Myanmars zu entsenden.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

August 2023

Analyse des dritten Treffens des NDSC.zip

Die Akte war möglicherweise Teil einer zuvor von Stately Taurus gemeldeten Kampagne gegen die Regierung von Myanmar Anfang 2024. Etwa im Oktober 2023 geriet Myanmar in einen Bürgerkrieg zwischen Rebellen und Regierung, wobei die Rebellen die Kontrolle über eine wichtige Handelsroute für China faktisch übernommen haben. 

4e8717c9812318f8
775A94FC2BFFCF050
eacfbc30ea25d0d3
DCFE61B37FE34BB

November 2023

    

Die präparierten ZIP-Dateien enthalten in der Regel eine umbenannte, legitime ausführbare Datei, wie zum Beispiel SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), die zum Sideloading einer bösartigen DLL verwendet wird. Die DLL ist Teil der Claimloader-Familie, die aus verschiedenen Shellcode-Loader-Varianten besteht, die von Hive0154 im Laufe der Jahre verwendet wurden, um Payloads zu laden, die mit den Backdoor-Familien Pubload und Toneshell in Verbindung stehen.

Im Laufe des Jahres 2024 wurden weitere Aktivitäten von Hive0154 registriert, von denen einige von FatzQuatz, dem Twitter/X-Account von StrikeReadyLabs und Hunt.io berichtet wurden:

Name des Köders

Beschreibung

SHA256

Datum

Besprechungsanfrage--30-31-05.zip

Unbekannt

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Mai 2024

EBO Brainstorming Freitag, 24. bis
Samstag, 25. Mai 2024.zip

Unbekannt

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Mai 2024

Vorlage für die Teilnehmerliste (24-6-2024).zip

Unbekannt

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Juni 2024

Notice of Final Meeting.zip

Unbekannt

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Juli 2024

a1. Leitlinien für den Einsatz von Soft Power zur Förderung des Images Thailands und
Wettbewerbsfähigkeit
auf der Weltbühne.pptx

Unbekannt

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Juli 2024

Interview mit Surachet
Praweewongwut.rar

Unbekannt

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

August 2024

IISS Prague Defence Summit 2024.zip

Zuvor wurde über eine Mustang Panda-Kampagne berichtet, die sich an Teilnehmer des IISS Defence Summit in Prag im November 2024 richtete.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

August 2024

NDI-IRI_Election_
Beobachtung_
Mission_Report.zip

Der Dateiname scheint sich auf den im Juni 2023 veröffentlichten NDI-IRI-Bericht über die Wahlen in Nigeria zu beziehen. Der Bericht wurde mit Unterstützung der US Agency for International Development (USAID) in Auftrag gegeben.

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

August 2024

leadership information list.zip

Unbekannt

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

August 2024

Aufforderung zur Einreichung von Beiträgen für die 6.
Philippinen-
Thailand Joint
Kommission für bilaterale
Zusammenarbeit
(JCBC)
Ministerial
Meeting.exe

Die Verlockung bezieht sich wahrscheinlich auf ein bilaterales Treffen zwischen Thailand und den Philippinen, das im Oktober 2024 stattfand.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(legitimate EXE,
corresponding
DLL unknown)

September 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

Das Köderdokument scheint von der Malaysian National Disaster Management Agency (NADMA, Agensi Pengurusan Bencana Negara) und ihren laufenden Reaktionen auf Covid-19 in Malaysia zu stammen. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

Oktober 2024

    

Die DLL-Sideloading-Technik innerhalb von ZIP-Dateien bleibt gleich, jedoch wurden verschiedene Versionen der Claimloader-DLL mit Änderungen am Entschlüsselungsalgorithmus registriert. Einige der Kampagnen verwendeten auch direkt eine Toneshell DLL (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b). 

Spannungen im Südchinesischen Meer

X-Force beobachtete mehrere neue Kampagnen Ende 2024 und Anfang 2025 nach denselben TTPs, die demselben Hive0154-Subcluster zugeordnet wurden. Die neuesten Claimloader-Varianten unterstützen auch das Öffnen von Decoy-PDFs als Teil der Installationsroutine, bevor ihre Shellcode-Nutzlasten eingefügt werden. Sowohl die PDF-Dateien als auch die DLLs verwenden Dateiattribute, die für einen Standardbenutzer verborgen bleiben.

Zwei Köder und ihre zugehörigen Täuschungsaktennamen erwähnen ausdrücklich die Spannungen über das Südchinesische Meer zwischen China und den Philippinen, wobei die philippinische Regierung angesichts zunehmender Aktivitäten des chinesischen Militärs zu enger militärischer Zusammenarbeit mit den USA aufruft. Diese Entwicklungen werden voraussichtlich ein gesteigertes Interesse bei den Empfängern hervorrufen, die dadurch eher geneigt sein könnten, den Anhang zu öffnen. Zu diesen Empfängern können die Regierung der Philippinen, das Militär und das diplomatische Personal gehören, aber auch Mitarbeiter der U.S.-Regierung und des Militärs, deren Aufgaben es rechtfertigen, sich mit dem in den Dateinamen genannten Thema zu befassen.

Name des Köders

Decoy-Dateiname

Zugehörige DLL SHA256

Datum

Bewertungsbericht 10.-17. Okt.\Zusammenstoß zwischen China und den Philippinen über
Souveränität Südchinesisches Meer
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

Oktober 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

November 2024

Beide Köder laden eine Claimloader-DLL nach, die die gleiche Toneshell-Backdoor lädt, die weiter unten beschrieben wird. 

Claimloader

Claimloader ist eine Familie von Loadern, die Hive0154 in der Vergangenheit zum Laden verschiedener Shellcode-Payloads verwendet hat, darunter Toneshell und Pubload. Im Laufe der Jahre hat sich das Programm in verschiedene Versionen mit unterschiedlichen Funktionen entwickelt.

Eines der ersten Beispiele, das Ende 2021 zusammengestellt wurde, wurde von Palo Altos Unit 42 veröffentlicht. Es verwendet eine interessante Technik, indem Shellcode über die UuidFromStringA-API in einen Puffer kopiert wird. Anschließend wird der Shellcode als Callback-Funktion ausgeführt, die an EnumSystemLanguageGroupsA übergeben wird.

Beispielcode für frühen Claimloader
Abbildung 1: Early Claimloader Beispiel (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

Eine ähnliche Technik wurde zuvor von der NCC-Gruppeberichtet.

Im November 2022 berichtete LAC über eine Variante von Claimloader. Es ist wahrscheinlich, dass dabei Regierungsorganisationen auf den Philippinen in einer Infektionskette ins Visier genommen werden, die fast genau der Aktivität in den Jahren 2023-2024 entspricht, die in den vorangegangenen Abschnitten detailliert beschrieben wurde. Die Variante speichert ihre Nutzlast als 32-Byte-Blöcke von verschlüsselten Stack-Strings, bevor sie jeden einzelnen entschlüsselt. Außerdem kopiert er die legitime ausführbare Datei und die Claimloader-DLL in ein neues Verzeichnis, bevor er versucht, über die Registrierung oder geplante Aufgaben eine Persistenz herzustellen, was ihn effektiv zu einem Installer zusätzlich zu einem Loader macht.

Nach der Ausführung erstellt die Malware zunächst einen fest codierten Mutex, um sicherzustellen, dass nur eine einzige Instanz von Claimloader ausgeführt wird. Als nächstes wird nach einem bestimmten Kommandozeilenargument gesucht, das beim ersten Durchlauf nicht vorhanden ist. In diesem Fall kopiert Claimloader sowohl die EXE- als auch die DLL-Datei in ein neues, unauffälliges Verzeichnis, oft unter „C:\ProgramData\“, und imitiert damit ein Softwareverzeichnis wie beispielsweise:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Dieses Verhalten wird von den meisten neueren Claimloader-Beispielen verwendet und kann auch zu erfolglosen Sandbox-Ausführungen führen. 

Anschließend stellt die Malware nach dem Login eine dauerhafte Verbindung her, indem sie den Pfad der EXE-Datei mit dem korrekten Befehlszeilenargument in einem neuen Registrierungsschlüssel speichert, wiederum mit einem unaufdringlichen Softwarenamen unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Der Claimloader verwendet außerdem einen sekundären Persistenzmechanismus, indem er den folgenden Prozess erstellt, um eine geplante Aufgabe zu erstellen, die den Loader alle 5 Minuten ausführt:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Beachten Sie, dass die genauen Techniken abweichen können; in einem Beispiel wurden beispielsweise COM-Objekte verwendet, um die Aufgabe durch Verbindung mit der ITaskService-Schnittstelle zu planen (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Die Entschlüsselungsalgorithmen von Claimloader variierten in ihren Stichproben zwischen DES (neueste Version), mindestens zwei Implementierungen von AES- und XOR-basierten Entschlüsselungsroutinen, die einen fest codierten Seed verwenden, um einen Schlüsselstrom über die _srand() -Funktion zu erzeugen:

Claimloader AES 128 ECB-Entschlüsselung
Abb. 2: Claimloader AES 128 ECB-Entschlüsselung (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Der Claimloader verwendet eine Prüfsumme und eine initialisierte _srand()-Funktion, um während der Entschlüsselung einen Schlüsselstrom zu generieren.
Abb. 3: Claimloader verwendet eine Prüfsumme und hat _srand () gesetzt, um während der Entschlüsselung einen Keystream zu generieren (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Um ihre Payloads nach der Entschlüsselung auszuführen, verwenden die meisten Claimloader-Varianten APIs mit Callback-Funktionen. Es gibt jedoch auch Varianten, die einen neuen Thread erstellen oder die Payload direkt als Funktion aufrufen.

Nachfolgend finden Sie eine Tabelle mit verschiedenen Claimloader-Beispielen und den jeweils verwendeten Techniken:

Beispiel SHA256

DLL-Name

Persistenz

 Entschlüsselung

 Ausführungstechnik

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

Registrierung und geplante
Aufgabe „Amind
PDF“

 _srand() keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

Registrierung und geplante Aufgabe
via COM
„Fhbemb Update“

 AES

Direkter Anruf

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Keine

 AES, wobei die Nutzdaten in Stack-Zeichenfolgen gespeichert werden

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

Registrierung und geplante Aufgabe „jxbrowser-chromiumim“

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

Registrierung und geplante Aufgabe „jxbrowser-chromiumim“

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registrierung und geplante Aufgabe „Wargaming
Group“

 _srand() keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registrierung und geplante Aufgabe „NVIDIA_
GPU_Core“

 DES

EnumFontsW

Mehrere aktuelle Beispiele haben die Unterstützung für die Anzeige einer PDF-Datei als Köder während der ersten Ausführung von Claimloader hinzugefügt.

Claimloader öffnet während der Ausführung eine Köder-PDF-Datei und entfernt deren Dateiattribute.
Abbildung 4: Claimloader öffnet eine Köder-PDF während der Ausführung und entfernt deren Dateiattribute

Nach dem Öffnen der PDF-Datei für den Benutzer entfernt Claimloader die Dateiattribute „System“ und „Versteckt“, um die PDF-Datei für den Benutzer im geöffneten Ordner dauerhaft sichtbar zu machen. 

Die zum Zeitpunkt der Veröffentlichung aktuellste Variante von Claimloader verwendet verschleierte API- und DLL-Namen, die mit 0x99 XOR-verschlüsselt sind. Während der Ausführung entschlüsselt der Loader die Zeichenfolgen und ruft LdrLoadDll und LdrGetProcedureAddress auf, um die Funktionszeiger für die benötigten APIs aufzulösen.

Claimloader löst XOR-verschlüsselte API-Namen auf
Abb. 5: Claimloader löst XOR-verschlüsselte API-Namen auf

Toneshell 

Beide Claimloader-DLLs, die mit den South China Sea-Ködern verbunden sind, laden dieselbe Toneshell-Backdoor (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) als Shellcode, der gleichzeitig eine gültige PE ist. 

Loader-Shellcode im DOS-Header der ToneShell-Backdoor
Abb. 6: Loader-Shellcode im DOS-Header der Toneshell-Backdoor

Der DOS-Header wurde modifiziert, um einen kleinen Stub einzufügen, der eine andere Funktion bei Offset 0x4200 aufruft und dabei die Basisadresse der PE als Argument bereitstellt. Diese Ladefunktion lädt anschließend die PE-Datei manuell, löst die erforderlichen Importe auf und ordnet die Abschnitte im Speicher zu. Diese Technik ermöglicht es Malware-Entwicklern, eine gültige PE-Datei nach der Kompilierung in Shellcode umzuwandeln. 

Die Toneshell-Familie umfasst eine große Anzahl verschiedener Varianten und hat sich im Laufe der Zeit erheblich weiterentwickelt. Obwohl er starke Code-Überschneidungen mit der Pubload-Backdoor aufweist, wird er von X-Force separat verfolgt. Varianten können sich hinsichtlich C2-Mechanismen, benutzerdefinierten C2-Protokollen, unterstützten Befehlen und API-Hashes unterscheiden. X-Force fasst außerdem mehrere Versionen eines USB-Wurm-Frameworks namens „Tonedisk“ unter der Toneshell-Familie zusammen. 

Die Toneshell-Backdoor aus der oben genannten Kampagne ist eine vergleichsweise einfache Variante und dient dazu, über ihren C2-Server eine Reverse-Shell aufzubauen. 

Es beginnt damit, seine APIs aufzulösen und ein neues GUID über CoCreateGuid zu erstellen. Die resultierenden 16 Bytes werden als eindeutige Opferkennung verwendet und in einer neuen Datei geschrieben:

c:\\users\\public\\description.ini

Als Nächstes erstellt sie ein neues Ereignis „Fool87012900137“, das als Mutex verwendet wird, um sicherzustellen, dass es die einzige laufende Instanz ist. Toneshell initialisiert seine Hauptstruktur mit der C2-Serveradresse (45[.]136[.]254[.]193:443), der GUID und dem Computernamen des Opfers sowie weiteren Konfigurationswerten. Außerdem initialisiert es eine Implementierung des Microsoft-PRNG „rand“.

Für jedes Beacon, das den C2-Server nach Befehlen abfragt, erzeugt Toneshell den nächsten 256-Byte-Schlüssel aus dem PRNG, der zur Verschlüsselung der C2-Kommunikation, des GUID und des Computernamens verwendet wird.

Toneshell-Funktion zur Erzeugung des C2-Schlüssels und zur Verschlüsselung des GUID- und Computernamens
Abb. 7: Toneshell-Funktion zur Generierung des C2-Schlüssels und zur Verschlüsselung der GUID und des Computernamens

Die TCP-Beacons enthalten die folgenden Werte, formatiert mit einem Header, der ein TLS-Anwendungsdatenpaket (17 03 03) imitiert:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshell erwartet eine ähnliche Antwort vom Server:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Nach der Entschlüsselung der Antwort wird das erste Byte als Befehlswert geparst, das zweite Byte als Identifikator für erstellte Pipes und der Rest als Befehlsnutzlast.

Bevor der Befehl ausgeführt wird, erstellt Toneshell einen neuen Thread, der alle 30 Sekunden herzschlagartige Antwort-Beacons sendet. Jeder Beacon muss außerdem das korrekte niedrigste Byte der nächsten 4 Bytes senden, die vom initialisierten PRNG-Schlüsselstrom generiert werden, um die Integrität der Kommunikation mit dem C2-Server zu Verify. Diese Beacons sind wie folgt formatiert:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Diese Version von Toneshell unterstützt die folgenden C2-Befehlscodes:

Code

Beschreibung

1

Warten – wartet weiterhin auf Befehle mit einer nicht leeren Nutzlast.

2

Neue Datei erstellen (löschen, falls bereits vorhanden)

3

Daten in Datei schreiben

4

Daten in eine Datei schreiben und per Antwortsignal bestätigen

5

Reverse Shell über Pipes erstellen

6

Shell-Befehl in Pipe schreiben

7

Reverse-Shell beenden

Um eine Reverse Shell zu erstellen, richtet Toneshell zwei anonyme Pipes ein und erstellt einen neuen cmd.exe-Prozess, der die Pipes nutzt, um Daten in stdin zu schreiben und Daten von stdout und stderr zu lesen. 

ToneShell mit anonymen Pipes, um eine umgekehrte Shell zu erstellen
Abbildung 8: Toneshell mit anonymen Pipes zur Erstellung einer umgekehrten Shell

Durch Hinzufügen der Handles zu den Pipes in die STARTUPINFO-Struktur des neuen Prozesses kann Toneshell beliebige Befehle ausführen, indem es einfach in die Pipe schreibt. In einem neuen Thread durchsucht Toneshell die Pipe für eine neue Ausgabe mit PeekNamedPipe alle 100 ms. Alle neuen Daten werden von der Leitung ausgelesen und an den C2-Server weitergeleitet.

Aktivität Anfang 2025

Im Februar 2025 beobachtete X-Force eine Hive0154-Kampagne, bei der die Pubload-Backdoor über ähnliche Varianten des Claimloaders wie oben beschrieben bereitgestellt wurde. Die vier unten aufgeführten Beispiele teilen denselben C2-Server 218 [.] 255 [.] 96 [.] 245:443

Name des Köders

Land des Einreichers

Name Claimloader-DLL

Claimloader Mutex

DLL SHA256

Datum

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 Pakistan

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12. Februar 2025

Unbekannt

 Hongkong

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11. März 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 Die Philippinen

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20. März 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 USA

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17. April 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 Die Philippinen

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29. April 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Unbekannt (wahrscheinlich Taiwan)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7. Mai 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taiwan

 helper_
core.dll

 

 Unbekannt

Unbekannt

 8. Mai 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 Unbekannt

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9. Mai 2025

Im Falle der oben genannten LNK-Datei wird die legitime, umbenannte ausführbare Datei ausgeführt, um das DLL-Sideloading von Claimloader zu Initiate:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

Eine der präparierten ZIP-Dateien enthielt eine legitime ausführbare Datei, die in „BLA,BLF,BRAS,BRG,BRA,UBA (Forschung & Analyse) Report.exe“ umbenannt worden war. Bei dem Köder handelt es sich wahrscheinlich um eine Anspielung auf die Baloch Liberation Army (BLA)., eine militante separatistische Gruppe und andere damit verbundene militante Gruppen, die die Gründung eines neuen Staates Belutschistan fordern.  Die Verwendung solcher Namen in dem Köder ist wahrscheinlich ein Versuch eines Angreifers, interessierte Empfänger zum Anklicken des Anhangs zu bewegen.

Eine weitere Datei mit dem Titel „NSC_Meeting_Minutes_Apr2025.lnk“ könnte sich auf eine Sitzung des US-amerikanischen Nationalen Sicherheitsrats und mutmaßliche Protokolle beziehen, die für Personen in der Regierung oder andere Personen, die im Bereich der Geheimdienste, akademisch oder Journalismus mit Bezug zu US-Regierungsangelegenheiten befasst sind, von Interesse sein könnten. Wie der „BLA“-Köder, der potenziell auf pakistanische Beamte abzielt, könnte sich dieser Köder an eine Zielgruppe mit einem unverwechselbaren Dateinamen richten, um die Empfänger zum Anklicken des Anhangs zu verleiten.

Ein Dateiname, „Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe“, könnte sich auf einen bevorstehenden Gipfel der Association of Southeast Asian Nations (ASEAN) am 26. und 27. Mai 2025 in Malaysia beziehen.

Der Dateiname: „豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe“ bezieht sich möglicherweise auf die Zahlungsrechnung des Kraftwerks Fongde in Taiwan vom April/Mai 2015.

Die letzte Datei, „英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe“ könnte sich auf eine angebliche Geheimhaltungsvereinbarung zwischen zwei taiwanesischen Luft- und Raumfahrtunternehmen im Zusammenhang mit unbemannten Luftfahrzeugen (UAV) und der Wartung von Flugzeugen beziehen.

Pubload

Pubload ist eine Hintertür, die erstmals von Cisco Talos beschrieben wurde. im Jahr 2022 als ungenannter Stager. Beachten Sie, dass X-Force den Loader für den Shellcode als Claimloader und den First-Stage-Shellcode-Downloader als Pubload identifiziert, während TrendMicro beide als Pubload identifiziert. Der Claimloader wurde verwendet, um sowohl Pubload als auch ToneShell zu laden. Team T5 Tracks von Pubload und Pubshell als NoFive.

Die Pubload-Shellcode-Payload beginnt mit der XOR-Entschlüsselung des restlichen Shellcodes mithilfe eines 32-Byte-XOR-Schlüssels:

Selbstentschlüsselungsroutine für Shellcode veröffentlichen
Abb. 9: Selbstentschlüsselungsroutine des Pubload-Shellcodes

Diese Selbstentschlüsselungsroutine wurde erst ab dem zweiten der vier oben genannten Claimloader-Beispiele hinzugefügt. Nach der Entschlüsselung werden alle erforderlichen APIs aufgelöst, die über den ROR13-Algorithmus verschleiert wurden. Anschließend weist es neuen Speicher zu und richtet seine Hauptstruktur mit einer fest codierten C2-Serveradresse und einem Verschlüsselungsschlüssel ein, bevor es sein Hauptverhalten initiiert.

Die Hauptschleife von Pubload beginnt mit der Aufzählung folgender Werte:

  • Seriennummer des Datenträgers von Laufwerk C über GetVolumeInformationA. Verschleiert durch Hinzufügen von 0x12345678, verwendet als Opfer-ID
  • Die Anzahl der Ticks der Maschine erfolgt über GetTickCount
  • Der Computername des Opfers über GetComputerNameA
  • Der Benutzername des Opfers über GetUserNameA

Diese Werte sind als erste Beacon-Nutzlast formatiert:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

Die Nutzlast wird mit dem fest codierten Schlüssel in vier aufeinanderfolgenden XOR-Schleifen mit unterschiedlichen Schlüsselverschiebungen verschlüsselt:

Pubload aufeinanderfolgende XOR-Verschlüsselungsschleifen
Abb. 10: Pubload aufeinanderfolgende XOR-Verschlüsselungsschleifen

Ähnlich wie bei Toneshell wird die verschlüsselte Nutzlast in ein gefälschtes TLS-Anwendungsdatenpaket eingebunden:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

Das TCP-Paket wird an seinen fest programmierten C2-Server gesendet bei

218[.]255[.]96[.]245:443

Im Gegenzug erwartet Pubload eine Antwort, analysiert als

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Nach erfolgreicher Entschlüsselung der Nutzdaten wird erwartet, dass das erste Byte 0x06 ist, während die restlichen Daten als die unten stehende Struktur analysiert werden, um die empfangenen Shellcode-Nutzdaten per XOR-Verknüpfung zu entschlüsseln:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Schließlich fügt Pubload die notwendige Speicherschutzoption PAGE_EXECUTE_READWRITE hinzu und führt den Shellcode aus, wobei die aufgelisteten Systeminformationen und der C2-Server als Argumente übergeben werden. 

Zweite Phase von Pubload: Pubshell

Die Shellcode-Nutzlast (Pubshell), die sofort von Pubload heruntergeladen wurde, weist mehrere Ähnlichkeiten mit der oben beschriebenen Toneshell-Variante auf und verfügt über dieselbe Funktionalität – eine Reverse-Shell durch Pipes zu erstellen.

Es beginnt mit dem üblichen Einrichtungsverfahren, löst APIs auf, weist Speicher zu, beginnt mit der Hauptstruktur und dem gleichen Schlüssel wie das übergeordnete Pubload-Sample. 

Der erste Beacon ist wie der von Pubload, mit Ausnahme des ersten Bytes der Nutzdaten (Beacon-Code), das 0x0B lautet.

Pubload/Pubshell-Funktion zum Erstellen eines Beacons
Abbildung 11: Pubload/Pubhell-Funktion zum Erstellen eines Beacon

Auch hier fungiert das erste Byte der entschlüsselten Antwort als Befehlscode, um das Verhalten von Pubshell zu bestimmen:

Befehlscode

Beschreibung

1

Setzen Sie die Opfer-ID auf die ursprüngliche verschleierte Seriennummer zurück.

3

Legen Sie eine neue Opfer-ID fest

4

Beacon-Frequenz in Sekunden einstellen (Anfangswert ist 10s).

5

Beaconing beenden

26

Datei löschen

27

Neue Datei erstellen

29

Daten in die neu erstellte Datei schreiben

30

Reverse Shell über Pipes erstellen

31

Neuen Befehl in Pipe schreiben

32

Die Reverse Shell wird beendet und alle Handles und zugehörigen Prozesse werden geschlossen.

48

Befehlsergebnis (stdin, stderr) aus der Pipe lesen

Genau wie Toneshell sendet Pubshell unterschiedliche Antwortcodes an seinen C2-Server zurück, abhängig vom Ergebnis eines Befehls. Beispielsweise geben sowohl die Befehle zum Erstellen einer neuen Datei (27) als auch zum Schreiben in diese Datei (29) im Erfolgsfall den Code 42 und im Fehlerfall den Code 43 zurück. Darüber hinaus enthält Pubshell auch detailliertere Fehlermeldungen, wie zum Beispiel:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

Ähnliche Zeichenketten wurden auch bei anderen Toneshell-Varianten beobachtet.

Die Pubshell-Implementierung der Reverse-Shell über anonyme Pipes ist nahezu identisch mit der Toneshell-Implementierung. Anstatt jedoch einen neuen Thread zu starten, um sofort Ergebnisse zurückzugeben, benötigt Pubshell einen zusätzlichen Befehl, um Befehlsergebnisse zurückzugeben. Außerdem unterstützt es nur die Ausführung von „cmd.exe“ als Schale.

In vielerlei Hinsicht scheinen Pubload und Pubshell eine unabhängig entwickelte „Lite-Version“ von Toneshell zu sein, mit weniger Komplexität und deutlichen Codeüberschneidungen.

HIUPAN USB Worm zielt auf Taiwan

Im Dezember 2024 beobachtete X-Force weitere Hive0154-Aktivitäten, die mit der Pubload-Backdoor auf Taiwan abzielten. Im März beauftragte X-Force ein großes Produktionsunternehmen mit der Untersuchung einer Pubload-Infektion in Taiwan. Bei dem Vorfall nutzten Bedrohungsakteure den HIUPAN-USB-Wurm, um Claimloader und Pubload über USB-Geräte zu verbreiten. Der Wurm wird wahrscheinlich als Folge-Nutzlast bei ersten Pubload-Infektionen verwendet, um die Anzahl der Infektionen zu erhöhen und möglicherweise Netzwerke zu erreichen, die möglicherweise von einem Air-Gap betroffen sind. Die Beziehung beider Malware-Varianten wurde zuvor von Trend Micro dokumentiert. 

HIUPAN (auch bekannt als U2DiskWatch) ist ein USB-Wurm, dessen Haupt-DLL „u2ec.dll“ durch eine legitime EXE-Datei „UsbConfig.exe“ per Sideloading installiert wird, wenn ein Benutzer diese versehentlich von einem USB-Gerät ausführt. Der Wurm erledigt folgende Aufgaben:

  • Kopiert sich selbst und die dazugehörigen Malware-Komponenten in ein Verzeichnis auf dem Rechner des Opfers: C:\ProgramData\Intel\_\
  • Stellt die Persistenz über den Registrierungsschlüssel HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run her.
  • Ändert Registrierungsschlüssel, um sicherzustellen, dass versteckte Dateien und Dateierweiterungen im Windows Explorer nicht sichtbar sind: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Führt die Hauptausführungsdatei der begleitenden Malware aus und überwacht den Prozess, um ihn gegebenenfalls neu zu starten.
  • Überwacht neue USB-Geräteanschlüsse. Wenn HIUPAN gefunden wird, kopiert es sich selbst und die zugehörigen Malware-Komponenten in ein verstecktes Unterverzeichnis „<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\“ auf dem neuen Laufwerk und verbirgt alle anderen vorhandenen Dateien, um sicherzustellen, dass „UsbConfig.exe“ die einzige sichtbare Datei auf dem Gerät ist.

HIUPAN verwendet eine Konfigurationsdatei „$.ini“, um einen Sleep-Multiplikator und die Dateinamen seiner Komponenten sowie der zugehörigen Malware zu speichern. Dadurch ist es extrem einfach, den Wurm so zu konfigurieren, dass er beliebige Malware verbreitet, indem man einfach die Payload-Dateien und die textbasierte Konfiguration austauscht.

Die Konfigurationsdatei, die bei Infektionen in Taiwan beobachtet wurde, die Claimloader und Pubload verbreiten, wird unten angezeigt:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Befehlscode

Beschreibung

1

Setzen Sie die Opfer-ID auf die ursprüngliche verschleierte Seriennummer zurück.

3

Legen Sie eine neue Opfer-ID fest

4

Beacon-Frequenz in Sekunden einstellen (Anfangswert ist 10s).

5

Beaconing beenden

26

Datei löschen

27

Neue Datei erstellen

29

Daten in die neu erstellte Datei schreiben

30

Reverse Shell über Pipes erstellen

31

Neuen Befehl in Pipe schreiben

32

Die Reverse Shell wird beendet und alle Handles und zugehörigen Prozesse werden geschlossen.

48

Befehlsergebnis (stdin, stderr) aus der Pipe lesen

HIUPAN ist nicht der einzige USB-Wurm, den Hive0154 verwendet. Mehrere andere Framework und Varianten, die Malware verbreiten, wie beispielsweise Toneshell und Pubshell, sind weiterhin aktiv im Umlauf und werden regelmäßig auf VirusTotal hochgeladen.

Zusammenfassung

Der umfangreiche operative Umfang von Hive0154, der in diesem Blog diskutiert wird, wird durch den Einsatz verschiedener Tools, innovativer Techniken und einer breiten Palette potenzieller Opfer deutlich. China-nahe Unternehmen wie Hive0154 werden ihr umfangreiches Malware-Arsenal weiterentwickeln und ihren Fokus weiterhin auf ostasiatische Unternehmen im privaten und öffentlichen Sektor richten. Ihr breites Spektrum an Werkzeugen, die häufigen Entwicklungszyklen und die Verbreitung von Malware über USB-Würmer machen sie zu einem hochentwickelten Bedrohungsakteur. Organisationen, die von der Aktivität von Hive0154 bedroht sind, sollten ihre defensiven Sicherheitsvorkehrungen verstärken und hinsichtlich der in diesem Bericht genannten Techniken wachsam bleiben.

Empfehlungen

  • Überwachen und suchen Sie in Netzwerken nach TLS 1.2-Anwendungsdatenpaketen (Header: 17 03 03) ohne vorherigen TLS-Handshake als Indiz für ein Pubload- oder Toneshell-Beacon.
  • Überwachen und suchen Sie in Netzwerken nach gefälschten TLS 1.3 Anwendung Daten-Paketen (Header: 17 03 04), die von einigen Toneshell-Varianten verwendet werden. Echte TLS 1.3-Pakete werden mit Altlast-TLS 1.2-Headern gesendet, um die Abwärtskompatibilität mit Proxys zu gewährleisten, die nur bestimmte TLS-Versionen akzeptieren.
  • Überwachen und suchen Sie nach USB-Laufwerken mit verdächtigen ausführbaren Dateien, DLLs und versteckten Verzeichnissen, die auf ein mit einem USB-Wurm infiziertes Gerät hindeuten könnten.
  • Überwachen und suchen Sie in C:\ProgramData\ nach verdächtigen und unbekannten Verzeichnissen, die eine legitime, für DLL-Sideloading anfällige EXE-Datei und eine entsprechende DLL-Datei enthalten.
  • Überwachen und suchen Sie nach Persistenztechniken wie dem Run-Schlüssel der Registrierung und geplanten Aufgaben.
  • Überwachen Sie ungewöhnliche Netzwerk-, Persistenz- oder Dateiänderungsaktivitäten, die von scheinbar harmlosen Prozess-Executables ausgehen, die eine bösartige DLL sideloaden

Indikatoren für Kompromittierung

Indikator

Art des Indikators

Kontext

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Hive0154 bewaffnetes Archiv

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Hive0154 bewaffnetes Archiv

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Hive0154 bewaffnetes Archiv

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

Hive0154 bewaffnete SFX

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Hive0154 bewaffnetes Archiv

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Hive0154 bewaffnetes Archiv

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Hive0154 bewaffnetes Archiv

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Hive0154 bewaffnetes Archiv

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Hive0154 bewaffnetes Archiv

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Hive0154 bewaffnetes Archiv

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Hive0154 bewaffnetes Archiv

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Hive0154 bewaffnetes Archiv

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Hive0154 bewaffnetes Archiv

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Hive0154 bewaffnetes Archiv

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Hive0154 bewaffnetes Archiv

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Hive0154 bewaffnetes Archiv

cc4E5D175FC85685e7F31C2E7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Hive0154 bewaffnetes Archiv

e4A4803CB04B58C07230B1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Hive0154 bewaffnetes Archiv

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Hive0154 bewaffnetes Archiv

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Hive0154 bewaffnetes Archiv

76cc0fd64A2FC67BC0146F04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Hive0154 bewaffnetes Archiv

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Hive0154 bewaffnetes Archiv

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
A6cab1EF5af

SHA256

Hive0154 bewaffnetes Archiv

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Hive0154 bewaffnetes Archiv

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Hive0154 bewaffnetes Archiv

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Hive0154 bewaffnetes Archiv

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Frühe Claimloader-Beispiele

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

Claimloader-DLL

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

Claimloader-DLL

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

Claimloader-DLL

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

Claimloader-DLL

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

Claimloader-DLL

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

Claimloader-DLL

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

Claimloader-DLL

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

Claimloader-DLL

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

Claimloader-DLL

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

Claimloader-DLL

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

Claimloader-DLL

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

Claimloader-DLL

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

Claimloader-DLL

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

Claimloader-DLL

7476d6b375d8b1962624723aab
e6f5054567ce151ade06AEE1353f6
49c4c4e763

SHA256

Claimloader-DLL

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

ToneShell-Backdoor

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

ToneShell-Backdoor

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

ToneShell-Backdoor

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Pubload-Backdoor

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Pubload-Backdoor

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Pubshell-Backdoor

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

HIUPAN USB-Wurm

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

HIUPAN USB-Wurm

45[.]136[.]254[.]193:443

IP-Adresse, Port

ToneShell C2 Server

45[.]144[.]165[.]66

IP-Adresse, Port

ToneShell C2 Server

218[.]255[.]96[.]245:443

IP-Adresse, Port

C2-Server veröffentlichen

103[.]27[.]202[.]132

IP-Adresse, Port

ToneShell C2 Server

45[.]12[.]91[.]223:443

IP-Adresse, Port

C2-Server veröffentlichen

IBM X-Force Premier Threat-Intelligence ist nun mit OpenCTI integriert und liefert umsetzbar Threat-Intelligence zu dieser Bedrohungsaktivität und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den OpenCTI-Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Bleiben Sie einen Schritt voraus –integrieren Sie noch heute!

Mixture of Experts | 12. Dezember, Folge 85

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Alle Episoden von Mixture of Experts ansehen
Weiterführende Lösungen
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen (Mobile Threat Defense, MTD)

Schützen Sie Ihre mobile Umgebung mit den umfassenden Lösungen von IBM MaaS360 zur Abwehr von mobilen Sicherheitsbedrohungen.

 Lösungen zur Abwehr von mobilen Sicherheitsbedrohungen kennenlernen
Machen Sie den nächsten Schritt

Profitieren Sie von umfassenden Lösungen für das Bedrohungsmanagement, die Ihr Unternehmen fachkundig vor Cyberangriffen schützen.

 Mehr über Threat Management Services erfahren Bedrohungsorientiertes Briefing buchen