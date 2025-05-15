Pada Mei 2025, IBM X-Force melacak kampanye spionase yang dicurigai menggunakan arsip ZIP bersenjata untuk mendistribusikan pintu belakang Pubload dan Toneshell. X-Force mengaitkan kampanye ini, yang kemungkinan dimulai pada akhir 2024, dengan aktor ancaman yang selaras dengan China Hive0154, yang operasinya tumpang tindih dengan kelompok yang dilacak sebagai Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris, dan Earth Preta. Arsip berisi umpan bertema politik yang kemungkinan dirancang untuk menarik personel pemerintah, militer dan diplomatik di Filipina, Amerika Serikat dan Pakistan. Subkluster Hive0154 telah menggunakan taktik serupa di masa lalu. Secara khusus, mereka telah menggunakan malware Claimloader untuk menginstal backdoor persisten yang memfasilitasi akses langsung ke lingkungan korban untuk mendapatkan insight lanjutan tentang keputusan pemerintah dunia yang muncul. X-Force juga mengamati kelompok yang menggunakan cacing USB untuk menyebarkan Pubload di Taiwan, berpotensi menjangkau jaringan yang mungkin mengalami lubang udara.
Setidaknya sejak 2022, Hive0154 telah menggunakan keluarga malware Toneshell antara lain untuk melakukan operasi cyber di seluruh dunia. Malware terkait ToneShell, seperti Pubload dan Pubshell (alias NoFive), menunjukkan kelompok tersebut mempertahankan untaian malware terpisah sebagai bagian dari operasi mereka. Kelompok ini terdiri dari beberapa subcluster dan menargetkan organisasi publik dan swasta, termasuk think tank, kelompok kebijakan, lembaga pemerintah dan individu. X-Force menilai bahwa aktor ancaman ini adalah ancaman yang mampu sebagaimana dibuktikan dengan penggunaan beberapa pemuat malware independen, keluarga cacing backdoor dan USB, dan pelaporan aktivitasnya yang konsisten oleh beberapa tim riset keamanan.
Pada tahun 2023, Palo Alto melaporkan bahwa salah satu subkluster Hive0154 trek X-Force menggunakan berbagai iming-iming untuk menyebarkan backdoor Pubload. Beberapa iming-iming di bawah ini juga bertepatan dengan kampanye melawan Myanmar seperti yang dilaporkan oleh CSIRT CTI pada bulan Januari 2024. Umpan di bawah ini menunjukkan minat China yang berkelanjutan di negara-negara Asia Tenggara dan Australia.
Nama umpan
Deskripsi
SHA256
Tanggal
Notice re UEC, (04-25-2023 Day).zip
Tidak diketahui
167a842b97d0
April 2023
Daftar partai diperbarui 27 April.zip
Tidak diketahui
41276827827b9
April 2023
Biografi Senator yang Terhormat Don Farrell.zip
Nama file tampaknya merupakan salinan langsung dari judul yang muncul di situs Perdagangan dan Pariwisata Australia tentang menteri Perdagangan Australia.
4fbfbf1cd2efaef1
April 2023
SAC memiliki beberapa persyaratan instruksional untuk pemilihan umum
Tidak diketahui
782e074601f5b1
April 2023
National Security Priority Programs.zip
Tidak diketahui
A02766B3950dbb
Mei 2023
230605 Notulen rapat menteri (1).zip
File tersebut mungkin mengacu pada deklarasi yang terjadi di Paris pada 8 Juni 2023 oleh menteri dari Australia, Kanada, Jepang, Amerika Serikat, Inggris, dan Selandia Baru atas praktik perdagangan yang kasar mengenai kawasan Asia-Pasifik.
178e92c59afe4c
Juni 2023
NUG's Foreign Policy Strategy.zip
Kata-kata muncul di halaman web CSIS Indonesia ini, mengenai situasi yang terjadi di Myanmar, yang terlibat dalam perang saudara, dengan laporan menunjukkan bahwa China dilaporkan mempertimbangkan untuk mengirim personel keamanan untuk mendukung pemerintah junta militer Myanmar, menurut laporan Desember 2024.
BA7c456F229ADC
Agustus 2023
Analisis pertemuan ketiga NDSC.zip
File tersebut mungkin merupakan bagian dari kampanye yang dilaporkan sebelumnya terhadap pemerintah Myanmar oleh Stately Taurus pada awal 2024. Sekitar Oktober 2023, Myanmar terlibat dalam perang saudara antara faksi pemberontak dan pasukan pemerintah, di mana pasukan pemberontak telah secara efektif menguasai rute perdagangan utama untuk China.
4e8717c9812318f8
November 2023
File ZIP yang dipersenjatai umumnya berisi eksekusi sah yang diganti namanya, seperti SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), yang digunakan untuk mem-sideload DLL berbahaya. DLL adalah bagian dari keluarga Claimloader, yang terdiri dari berbagai varian shellcode loader yang digunakan oleh Hive0154 selama bertahun-tahun untuk memuat muatan yang terkait dengan keluarga backdoor Pubload dan Toneshell.
Sepanjang tahun 2024, aktivitas Hive0154 lebih lanjut tercatat FatzQuatz, StrikeReadyLabs Twitter/X account, dan Hunt.io:
Nama umpan
Deskripsi
SHA256
Tanggal
Pertemuan Request--30-31-05.zip
Tidak diketahui
09597C284
Mei 2024
EBO Brainstorming Jumat 24 hingga
Tidak diketahui
78a60bea56
Mei 2024
Templat daftar peserta (24-6-2024).zip
Tidak diketahui
b7d13787c8be
Juni 2024
Pemberitahuan Pertemuan Akhir.zip
Tidak diketahui
fef713b23717
Juli 2024
A1.Pedoman untuk Mendorong Soft Power untuk Mempromosikan Citra Thailand dan
Tidak diketahui
727cc4560
Juli 2024
Wawancara dengan Surachet
Tidak diketahui
f00e5ff2dc47
Agustus 2024
KTT Pertahanan IISS Praha 2024.zip
Sebelumnya dilaporkan kampanye Mustang Panda menargetkan peserta KTT Pertahanan IISS di Praha, pada November 2024.
1387ec22a339
Agustus 2024
NDI-IRI_Election_
Nama file tampaknya mengacu pada laporan NDI-IRI yang diterbitkan pada Juni 2023 tentang pemilihan di Nigeria. Laporan ini ditugaskan dengan dukungan dari Badan Pembangunan Internasional AS (USAID).
ac989df2715a
Agustus 2024
daftar informasi kepemimpinan.zip
Tidak diketahui
3a37a127a4253
Agustus 2024
Permintaan Input untuk tanggal 6
Iming-iming itu kemungkinan mengacu pada pertemuan bilateral antara Thailand dan Filipina yang terjadi pada Oktober 2024.
057fd248e0219
September 2024
Bencana_Air_
Dokumen iming-iming tersebut tampaknya berasal dari Badan Nasional Penanggulangan Bencana Malaysia (NADMA, Agensi Pengurusan Bencana Negara) dan tanggapan yang sedang berlangsung terhadap Covid-19 di Malaysia.
cc4e5d175fc85685
Oktober 2024
Teknik sideloading DLL dalam ZIP tetap sama, tetapi versi yang berbeda dari DLL Claimloader terdaftar dengan perubahan pada algoritma dekripsi. Beberapa kampanye juga menggunakan DLL Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) secara langsung.
X-Force mengamati beberapa kampanye baru pada akhir 2024 dan awal 2025 mengikuti TTP yang sama, yang dikaitkan dengan subcluster Hive0154 yang sama. Varian Claimloader terbaru juga mendukung pembukaan PDF umpan sebagai bagian dari rutinitas instalasi, sebelum menyuntikkan payload shellcode mereka. PDF, serta DLL, menggunakan atribut file untuk tetap tersembunyi bagi pengguna standar.
Dua umpan dan nama file umpan terkait mereka secara khusus menyebutkan ketegangan di Laut China Selatan antara China dan Filipina, dengan pemerintah Filipina menyerukan kerja sama militer yang erat dengan Amerika Serikat sehubungan dengan meningkatnya kegiatan militer China. Perkembangan ini kemungkinan akan menimbulkan minat yang lebih besar dari para penerima, yang mungkin akan lebih cenderung untuk membuka lampiran. Penerima tersebut mungkin termasuk pemerintah Filipina, personel militer dan diplomatik, dan mungkin juga melibatkan pemerintah AS dan personel militer yang tugasnya mungkin memerlukan keterlibatan dalam topik yang disajikan oleh nama file.
Nama umpan
Nama file umpan
DLL SHA256 terkait
Tanggal
Laporan Penilaian 10-17 Oktober\China, Bentrokan Filipina Berakhir
20241009 Lao PDR_Tinjauan dan Keputusan PEMIMPIN ASEAN tentang 5PC 2024.pdf
93fb8b78d65a9
Oktober 2024
Defense_
2025.pdf
A6DFB41Bbad08E3F
November 2024
Keduanya memikat sampingan DLL Claimloader, yang memuat backdoor Toneshell yang sama yang dirinci lebih lanjut di bawah ini.
Claimloader adalah keluarga loader yang digunakan oleh Hive0154 di masa lalu untuk memuat berbagai payload shellcode, termasuk Toneshell dan Pubload. Selama bertahun-tahun, ia telah berkembang menjadi beberapa versi berbeda dengan fungsionalitas yang bervariasi.
Salah satu sampel awal, yang disusun pada akhir 2021, dipublikasikan oleh Unit 42 Palo Alto. Ini menggunakan teknik yang menarik, menyalin shellcode ke buffer melalui UuidFromStringA API. Selanjutnya mengeksekusi shellcode sebagai fungsi callback yang diteruskan ke EnumSystemLanguageGroupsA.
Teknik serupa sebelumnya dilaporkan oleh kelompok NCC.
Pada bulan November 2022, LAC melaporkan varian Claimloader kemungkinan menargetkan organisasi pemerintah di Filipina dalam rantai infeksi yang hampir persis sama dengan aktivitas pada tahun 2023-2024 yang dirinci di bagian sebelumnya. Varian menyimpan payloadnya sebagai blok 32-byte dari string tumpukan terenkripsi, sebelum mendekripsi masing-masing. Ini juga menyalin eksekusi yang sah dan DLL Claimloader ke direktori baru sebelum mencoba membangun persistensi melalui registri atau tugas terjadwal, secara efektif menjadikannya penginstal selain loader.
Setelah eksekusi, malware dimulai dengan membuat mutex hardcode untuk memastikan hanya satu instance Claimloader yang berjalan. Selanjutnya, ia memeriksa argumen baris perintah tertentu, yang tidak ada pada proses pertama. Jika itu masalahnya, Claimloader akan menyalin EXE dan DLL ke direktori baru yang tidak mencolok, seringkali di bawah “C:\ProgramData\”, meniru direktori perangkat lunak seperti:
Perilaku ini digunakan oleh sebagian besar sampel Claimloader yang lebih baru dan juga dapat menyebabkan eksekusi sandbox yang tidak berhasil.
Selanjutnya, malware menetapkan persistensi pada login dengan menyimpan jalur EXE dengan argumen baris perintah yang benar di kunci registri baru lagi dengan nama perangkat lunak yang tidak mencolok di bawah:
Claimloader juga menggunakan mekanisme persistensi sekunder dengan membuat proses berikut untuk membuat tugas terjadwal, yang akan menjalankan loader setiap 5 menit:
Perhatikan bahwa teknik yang tepat mungkin menyimpang; satu sampel, misalnya, menggunakan objek COM sebagai gantinya untuk menjadwalkan tugas dengan menghubungkan ke antarmuka iTaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Algoritma dekripsi Claimloader bervariasi dalam sampel antara DES (versi terbaru), setidaknya dua implementasi rutinitas dekripsi berbasis AES dan XOR menggunakan seed hardcode untuk menghasilkan keystream melalui fungsi _s rand ():
Untuk mengeksekusi payloadnya setelah dekripsi, sebagian besar varian Claimloader menggunakan API dengan fungsi callback, tetapi ada juga varian yang membuat thread baru atau secara langsung memanggil payload sebagai fungsi.
Di bawah ini adalah tabel sampel Claimloader yang berbeda dan tekniknya:
Contoh SHA256
Nama DLL
Persistensi
Dekripsi
Teknik eksekusi
3af7807efb105
Amind
Registri dan dijadwalkan
_srand () keystream
EnumPropsExW
8957c8de9032
kebebasan
Registri dan tugas yang dijadwalkan
AES
Panggilan langsung
d665f55555f87
CCleaner
Tidak ada
AES, dengan muatan disimpan dalam string tumpukan
EnumCalendarInfoExW
c7efd45aa7dd1e
Padat
Registri dan tugas terjadwal " jxbrowser-chromiumim "
AES
EnumFontsW
a6dfb41bbad08
jx
Registri dan tugas terjadwal " jxbrowser-chromiumim "
AES
EnumFontsW
900af2b8d03b4
helper_
Registri dan tugas terjadwal " Wargaming
_srand () keystream
EnumFontsW
4C66E7EBF2CA2E
helper_
Registri dan tugas terjadwal "NVIDIA_
DES
EnumFontsW
Beberapa sampel terbaru telah menambahkan dukungan untuk menampilkan PDF umpan selama eksekusi pertama Claimloader.
Setelah membuka file PDF untuk pengguna, Claimloader menghapus atribut file "System" dan "Hidden" untuk membuat PDF terlihat secara permanen oleh pengguna di folder terbuka.
Varian Claimloader terbaru pada saat publikasi menggunakan nama API dan DLL yang dikaburkan, yang dienkripsi XOR dengan 0x99. Selama eksekusi, loader mendekripsi string dan memanggil LdrLoadDll dan LdrGetProcedureAddress untuk menyelesaikan penunjuk fungsi untuk API yang dibutuhkan.
Kedua DLL Claimloader yang terkait dengan umpan Laut China Selatan memuat pintu belakang Toneshell yang sama (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) sebagai kode shell, yang merupakan PE yang valid pada saat yang sama.
DOS Header dimodifikasi untuk menyertakan stub kecil untuk memanggil fungsi lain di offset 0x4200, sambil memberikan alamat dasar PE sebagai argumen. Fungsi loader ini melanjutkan untuk memuat PE secara manual, menyelesaikan impor yang diperlukan dan memetakan bagian ke dalam memori. Teknik ini memungkinkan pengembang malware untuk mengubah PE yang valid menjadi kode shell pasca-kompilasi.
Keluarga Toneshell terdiri dari gudang besar varian yang berbeda dan telah berkembang secara signifikan dari waktu ke waktu. Meskipun berbagi kode yang kuat tumpang tindih dengan backdoor Pubload, itu dilacak secara terpisah oleh X-Force. Varian mungkin berbeda dalam mekanisme C2, protokol C2 khusus, perintah yang didukung dan hash API. X-Force juga mengelompokkan beberapa versi kerangka kerja cacing USB yang disebut "Tonedisk" di bawah keluarga Toneshell.
Backdoor Toneshell dari kampanye di atas adalah varian yang relatif sederhana dan dirancang untuk membangun shell terbalik melalui server C2-nya.
Ini dimulai dengan menyelesaikan API-nya dan membuat GUID baru melalui co CreateGUID. 16 byte yang dihasilkan digunakan sebagai pengenal korban yang unik dan ditulis dalam file baru:
Selanjutnya, ia membuat acara baru " Fool87012900137 ", yang digunakan sebagai mutex untuk memastikan itu adalah satu-satunya instance yang berjalan. Toneshell menginisialisasi struct utamanya dengan alamat server C2 (45 [.] 136 [.] 254 [.] 193:443), GUID dan nama komputer korban, di antara nilai konfigurasi lainnya. Ini juga menginisialisasi implementasi Microsoft " rand " PRNG.
Untuk setiap suar yang menanyakan perintah pada server C2, Toneshell menghasilkan kunci 256-byte berikutnya dari PRNG, yang digunakan untuk mengenkripsi komunikasi C2, GUID dan nama komputer.
Suar TCP berisi nilai-nilai berikut yang diformat dengan header yang meniru paket Data Aplikasi TLS (17 03 03):
Toneshell mengharapkan respons serupa kembali dari server:
Setelah mendekripsi respons, byte pertama diurai sebagai nilai perintah, byte kedua digunakan sebagai pengidentifikasi untuk pipa yang dibuat dan sisanya sebagai payload perintah.
Sebelum menangani perintah, Toneshell membuat thread baru yang mengirimkan suar respons seperti detak jantung setiap 30 detik. Setiap suar juga harus mengirim byte terendah yang benar dari 4 byte berikutnya yang dihasilkan oleh keystream PRNG yang diinisialisasi untuk Verify integritas komunikasi ke server C2. Beacon ini diformat sebagai berikut:
Versi Toneshell ini mendukung kode perintah C2 berikut:
Kode
Deskripsi
1
Tunggu - Lanjutkan menunggu perintah dengan muatan yang tidak kosong.
2
Buat file baru (hapus jika sudah ada)
3
Menulis data ke file
4
Tulis data ke file dan konfirmasikan melalui respons beacon
5
Buat shell terbalik melalui pipa
6
Tulis perintah shell ke pipa
7
Akhiri shell terbalik
Untuk membuat shell terbalik, Toneshell menyiapkan dua pipa anonim dan membuat proses cmd.exe baru menggunakan pipa untuk menulis data ke stdin dan membaca data dari stdout dan stderr.
Dengan menambahkan pegangan ke pipa ke dalam struktur STARTUPINFO dari proses baru, Toneshell dapat menjalankan perintah arbitrer hanya dengan menulis ke pipa. Di thread baru, Toneshell mengintip pipa untuk output baru menggunakan PeekNamedPipe setiap 100ms. Setiap data baru dibaca dari pipa dan diteruskan kembali ke server C2.
Pada Februari 2025, X-Force mengamati kampanye Hive0154 yang mengirimkan backdoor Pubload melalui varian Claimloader serupa seperti yang dijelaskan di atas. Keempat sampel di bawah ini berbagi server C2 yang sama 218 [.] 255 [.] 96 [.] 245:443
Nama umpan
Negara pengirim
Nama DLL Claimloader
Klaim loader Mutex
DLL SHA256
Tanggal
BLA, BLF,
Pakistan
SolidPDF
TB2025
c7efd45aa7
12 Februari 2025
Tidak diketahui
Hong Kong
SolidPDF
MTM2025
087CCC7F6C02
11 Maret 2025
(The_
Filipina
Chrome_
CATM2025
216188ee52b0
20 Maret 2025
NSC_
Amerika Serikat
helper_
GameBox
900af2b8d03b
17 April 2025
Undangan untuk
Filipina
helper_
GameGpu
4c66e7ebf2ca2
29 April 2025
豐德電廠
Tidak diketahui (kemungkinan Taiwan)
helper_
GameFind
112118aad0db9ff
7 Mei 2025
英諾飛保
Taiwan
helper_
Tidak diketahui
Tidak diketahui
8 Mei 2025
Surat undangan
Tidak diketahui
helper_
GameBox
7476d6b375d8
9 Mei 2025
Dalam kasus file LNK di atas, ia mengeksekusi eksekusi yang diganti namanya yang sah untuk memulai sideloading DLL dari Claimloader:
Salah satu file ZIP yang dipersenjatai berisi eksekusi sah yang diganti namanya menjadi “BLA, BLF, BRAS, BRG, BRA, UBA (Research & Analysis) Report.exe”. Iming-iming tersebut kemungkinan besar merujuk pada Tentara Pembebasan Baloch (BLA), sebuah kelompok separatis militan, dan kelompok-kelompok militan terkait lainnya yang menyerukan pendirian negara baru Balochistan. Penggunaan nama-nama tersebut dalam umpan kemungkinan merupakan upaya penyerang untuk meminta penerima yang tertarik untuk mengklik lampiran.
File lain, “NSC_Meeting_Minutes_Apr2025.lnk”, dapat merujuk ke pertemuan Dewan Keamanan Nasional A.S. dan catatan yang diklaim diambil, yang akan menarik bagi individu di pemerintah A.S. atau individu lain yang terlibat dalam intelijen, akademisi atau jurnalisme yang melibatkan urusan pemerintah A.S.. Seperti dalam umpan ‘BLA’ yang berpotensi menargetkan pejabat Pakistan, umpan ini mungkin diarahkan untuk A.S. audiens dengan nama file tawanan untuk menarik penerima untuk mengklik lampiran.
Nama file, “Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe”, dapat merujuk pada KTT Asosiasi Bangsa-Bangsa Asia Tenggara (ASEAN) mendatang pada 26 dan 27 Mei 2025, di Malaysia.
Nama file, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", dapat merujuk pada faktur pembayaran pembangkit listrik Fongde Taiwan sekitar April/Mei 2015.
File terakhir, “英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe”, dapat merujuk pada perjanjian non-pengungkapan yang seharusnya antara dua perusahaan kedirgantaraan Taiwan terkait dengan kendaraan udara tak berawak (UAV) dan pemeliharaan pesawat terbang.
Pubload adalah pintu belakang yang pertama kali dijelaskan oleh Cisco Talos pada tahun 2022 sebagai stager yang tidak disebutkan namanya. Perhatikan bahwa X-Force mengidentifikasi loader untuk shellcode sebagai Claimloader dan pengunduh shellcode tahap pertama sebagai Pubload, sedangkan laporan TrendMicro mengidentifikasi keduanya sebagai Pubload. Claimloader telah digunakan untuk memuat Pubload dan Toneshell. Tim T5 melacak Pubload dan PubShell sebagai NoFive.
Payload shellcode Pubload dimulai dengan XOR mendekripsi sisa shellcode-nya menggunakan kunci XOR 32-byte:
Rutinitas dekripsi diri ini hanya ditambahkan dimulai dengan yang kedua dari empat sampel Claimloader di atas. Setelah dekripsi, ia melanjutkan untuk menyelesaikan semua API yang diperlukan, dikaburkan melalui algoritma ROR13. Selanjutnya, ia mengalokasikan memori baru dan mengatur struktur utamanya dengan alamat server C2 yang telah dikodekan sebelumnya dan kunci enkripsi, sebelum memulai perilaku utamanya.
Loop utama Pubload dimulai dengan menyebutkan nilai-nilai berikut:
Nilai-nilai ini diformat sebagai muatan suar pertama:
Payload dienkripsi menggunakan kunci hardcode dalam empat loop XOR berturut-turut dengan offset kunci yang berbeda:
Mirip dengan Toneshell, payload terenkripsi ditempatkan ke dalam paket Data Aplikasi TLS palsu:
Paket TCP dikirim ke server C2 hardcode-nya di
Sebagai imbalannya, Pubload mengharapkan respons yang diurai sebagai
Setelah berhasil dekripsi payload, byte pertama diharapkan menjadi 0x06, sedangkan sisa data diurai sebagai struct di bawah ini untuk XOR mendekripsi payload shellcode yang diterima:
Akhirnya, Pubload menambahkan opsi perlindungan memori PAGE_EXECUTE_READWRITE yang diperlukan dan mengeksekusi shellcode, sambil memberikan info sistem yang disebutkan dan server C2 sebagai argumen.
Payload shellcode (Pubshell) yang segera diunduh oleh Pubload menampilkan beberapa kesamaan dengan varian Toneshell yang dibahas di atas dan memiliki fungsi yang sama—untuk membuat shell terbalik melalui pipa.
Ini dimulai dengan prosedur penyiapan biasa, menyelesaikan API, mengalokasikan memori dan menginisialisasi struct utamanya dan kunci yang sama dengan sampel Pubload induknya.
Suar pertama seperti Pubload, kecuali untuk byte pertama dari payload (kode sbeacon), yaitu 0x0B.
Sekali lagi, byte pertama dari respons yang didekripsi bertindak sebagai kode perintah untuk menentukan perilaku Pubshell:
Kode perintah
Deskripsi
1
Setel ulang ID korban ke nomor seri awal yang dikaburkan
3
Tetapkan ID korban baru
4
Tetapkan frekuensi suar dalam detik (nilai awal adalah 10 detik)
5
Hentikan suar
26
Menghapus file
27
Membuat file baru
29
Tulis data ke file yang baru dibuat
30
Buat shell terbalik melalui pipa
31
Tulis perintah baru ke pipa
32
Hentikan shell terbalik dan tutup semua pegangan dan proses terkait
48
Baca hasil perintah (stdin, stderr) dari pipa
Sama seperti Toneshell, Pubshell mengirimkan kembali kode respons yang berbeda ke server C2-nya, tergantung pada hasil perintah. Misalnya, kedua perintah untuk membuat file baru (27) dan menulis ke file itu (29) akan mengembalikan kode 42 setelah berhasil dan 43 pada kegagalan. Selain itu, Pubshell juga menyertakan string pesan kesalahan yang lebih rinci, seperti:
String serupa juga diamati pada varian Toneshell lainnya.
Implementasi Pubshell dari shell terbalik melalui pipa anonim hampir identik dengan Toneshell. Namun, alih-alih menjalankan thread baru untuk segera mengembalikan hasil apa pun, Pubshell memerlukan perintah tambahan untuk mengembalikan hasil perintah. Ini juga hanya mendukung menjalankan "cmd.exe" sebagai cangkang.
Dalam beberapa hal, Pubload dan Pubshell tampaknya merupakan versi "lite" dari Toneshell yang dikembangkan secara independen, dengan kecanggihan yang kurang dan tumpang tindih kode yang jelas.
Pada Desember 2024, X-Force mengamati aktivitas Hive0154 tambahan yang menargetkan Taiwan dengan pintu belakang Pubload. Pada bulan Maret, X-Force terlibat dengan perusahaan manufaktur besar untuk menyelidiki infeksi Pubload di Taiwan. Dalam insiden tersebut, pelaku ancaman memanfaatkan worm USB HIUPAN untuk menyebarkan Claimloader dan Pubload melalui perangkat USB. Cacing tersebut kemungkinan digunakan sebagai muatan lanjutan pada infeksi Pubload awal untuk meningkatkan jumlah infeksi dan berpotensi menjangkau jaringan yang mungkin memiliki celah udara. Hubungan kedua varian malware ini telah didokumentasikan sebelumnya oleh Trend Micro.
HIUPAN (alias U2DiskWatch) adalah cacing USB, yang DLL utamanya “u2ec.dll” diunggah melalui EXE “UsbConfig.exe” yang sah ketika pengguna secara tidak sengaja mengeksekusinya dari perangkat USB. Cacing ini melakukan tugas-tugas berikut:
HIUPAN menggunakan file konfigurasi “$.ini” untuk menyimpan pengganda tidur dan nama file komponen dan malware yang menyertainya. Ini membuatnya sangat mudah untuk mengkonfigurasi worm untuk menyebarkan malware apa pun hanya dengan bertukar file muatan dan konfigurasi berbasis teks.
File konfigurasi yang diamati pada infeksi berbasis Taiwan yang menyebarkan Claimloader dan Pubload ditampilkan di bawah ini:
Kode perintah
Deskripsi
1
Setel ulang ID korban ke nomor seri awal yang dikaburkan
3
Tetapkan ID korban baru
4
Tetapkan frekuensi suar dalam detik (nilai awal adalah 10 detik)
5
Hentikan suar
26
Menghapus file
27
Membuat file baru
29
Tulis data ke file yang baru dibuat
30
Buat shell terbalik melalui pipa
31
Tulis perintah baru ke pipa
32
Hentikan shell terbalik dan tutup semua pegangan dan proses terkait
48
Baca hasil perintah (stdin, stderr) dari pipa
HIUPAN bukan satu-satunya worm USB yang digunakan oleh Hive0154. Beberapa kerangka kerja dan varian lain yang mendistribusikan malware, seperti Toneshell dan Pubshell, masih aktif menyebar dan secara teratur diunggah ke VirusTotal.
Ruang lingkup operasional yang luas dari Hive0154 yang dibahas dalam blog ini menjadi jelas melalui pemanfaatan beragam alat, teknik inovatif, dan beragam calon korban. Kelompok-kelompok yang bersekutu dengan China seperti Hive0154 akan Lanjutkan memperbaiki gudang malware besar mereka dan mempertahankan fokus pada organisasi yang berbasis di Asia Timur di sektor swasta dan publik. Beragam alat mereka, siklus pengembangan yang sering, dan distribusi malware berbasis cacing USB menyoroti mereka sebagai aktor ancaman yang canggih. Entitas yang berisiko aktivitas Hive0154 harus tetap pada keadaan keamanan defensif yang tinggi dan tetap waspada sehubungan dengan teknik yang disebutkan dalam laporan ini.
Indikator
Jenis Indikator
Konteks
167a842b97d0434f20e0
SHA256
Hive0154 arsip bersenjata
41276827827b95c9b5a9f
SHA256
Hive0154 arsip bersenjata
4fbfbf1cd2efaef1906f0bd2
SHA256
Hive0154 arsip bersenjata
782e074601f5b17e045d7c
SHA256
SFX yang dipersenjatai Hive0154
A02766b3950dbb86a1293
SHA256
Hive0154 arsip bersenjata
178e92c59afe4c59043657
SHA256
Hive0154 arsip bersenjata
ba7c456f229adc4bd75bfb8
SHA256
Hive0154 arsip bersenjata
4e8717c9812318f8775a94fc
SHA256
Hive0154 arsip bersenjata
09597c2844067d8ee671313
SHA256
Hive0154 arsip bersenjata
78a60bea5693138c771386b8
SHA256
Hive0154 arsip bersenjata
FEF713B237179F4d6bea899687
SHA256
Hive0154 arsip bersenjata
727cc4560fb11627870ff2cac2
SHA256
Hive0154 arsip bersenjata
f00e5ff2dc47a7625c86ac8978
SHA256
Hive0154 arsip bersenjata
1387ec22a3391647e25d2cb722
SHA256
Hive0154 arsip bersenjata
ac989df2715a26df9e039e9e0d
SHA256
Hive0154 arsip bersenjata
3a37a127a425360d00588bf652
SHA256
Hive0154 arsip bersenjata
cc4e5d175fc85685e7f31c2e7797
SHA256
Hive0154 arsip bersenjata
e4a4803cb04b58c07230b1368
SHA256
Hive0154 arsip bersenjata
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Hive0154 arsip bersenjata
b7d13787c8be72dcc584c516e7
SHA256
Hive0154 arsip bersenjata
76cc0fd64a2fc67bc0146f04819
SHA256
Hive0154 arsip bersenjata
c49c686c26845b9ef0913642ca
SHA256
Hive0154 arsip bersenjata
b8865a77cb8f0706b50d4d85bf
SHA256
Hive0154 arsip bersenjata
98c1527d4b064fcf4a95488c345
SHA256
Hive0154 arsip bersenjata
6f5c50f37b6753366066c65b3e
SHA256
Hive0154 arsip bersenjata
d99e33878e23582308b1e217aff
SHA256
Hive0154 arsip bersenjata
cf61b7a9bdde2a39156d88f309f
SHA256
Sampel Claimloader Awal
93fb8b78d65a9ef790be6d2055
SHA256
DLL Pemuat Klaim
895b8e0c1d2e4cae16508ded50
SHA256
DLL Pemuat Klaim
A6DFB41Bbad08E3FE663EFA325E
SHA256
DLL Pemuat Klaim
3af7807efb10525196c562c1f91d2
SHA256
DLL Pemuat Klaim
8957c8de9032b347ee1a15abbae
SHA256
DLL Pemuat Klaim
d665f55555f87b515cb8ef1adce9
SHA256
DLL Pemuat Klaim
c7efd45aa7dd1ecd05571f15d83e
SHA256
DLL Pemuat Klaim
A6DFB41Bbad08E3FE663EFA325E
SHA256
DLL Pemuat Klaim
8f4ee5e0b85020f2a040f54dccd
SHA256
DLL Pemuat Klaim
087ccc7f6c022dc5fd40ade3ef6a
SHA256
DLL Pemuat Klaim
216188ee52b067f761bdf3c45663
SHA256
DLL Pemuat Klaim
900af2b8d03b40cdb027126d47
SHA256
DLL Pemuat Klaim
4c66e7ebf2ca2ecf00379463835
SHA256
DLL Pemuat Klaim
112118aad0db9ff6c78dce2e81d9
SHA256
DLL Pemuat Klaim
7476d6b375d8b1962624723aab
SHA256
DLL Pemuat Klaim
0BD114FECFD3C09820FA013D8CD8
SHA256
Pintu belakang Toneshell
5d7b9605cf85371da0849b8297
SHA256
Pintu belakang Toneshell
62087a1226c5433d6f6184d627
SHA256
Pintu belakang Toneshell
534853913ad1e9b7ae7dade841
SHA256
Pintu belakang Pubload
2da73366f9efc0d1c05c72e404
SHA256
Pintu belakang Pubload
b04775803e48979b68480a49
SHA256
Pintu belakang Pubshell
b4c37e3995d5ff94754cedd49f
SHA256
HIUPAN USB worm
f5fd2905d90755d021e1442c34f
SHA256
HIUPAN USB worm
45[.]136[.]254[.]193:443
Alamat IP, port
Server Toneshell C2
45[.]144[.]165[.]66
Alamat IP, port
Server Toneshell C2
218[.]255[.]96[.]245:443
Alamat IP, port
Server Pubload C2
103[.]27[.]202[.]132
Alamat IP, port
Server Toneshell C2
45[.]12[.]91[.]223:443
Alamat IP, port
Server Pubload C2
