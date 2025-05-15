A partire da maggio 2025, IBM® X-Force sta monitorando una sospetta campagna di spionaggio che utilizza archivi ZIP trasformati in armi per distribuire backdoor Pubload e Toneshell. X-Force attribuisce questa campagna, probabilmente iniziata alla fine del 2024, all'attore delle minacce allineato alla Cina Hive0154, le cui operazioni si sovrappongono a gruppi tracciati come Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta. Gli archivi contengono esche a tema politico, probabilmente concepite per attrarre personale governativo, militare e diplomatico nelle Filippine, negli Stati Uniti e in Pakistan. In passato, i sottocluster Hive0154 hanno utilizzato tattiche simili. In particolare, hanno utilizzato il malware Claimloader per installare backdoor persistenti che facilitano l'accesso diretto agli ambienti delle vittime per ottenere insight avanzato sulle decisioni emergenti dei governi mondiali. X-Force ha anche osservato il gruppo utilizzare un worm USB per diffondere Pubload a Taiwan, raggiungendo potenzialmente delle reti che potrebbero essere isolate.
Almeno dal 2022, Hive0154 ha utilizzato, tra gli altri, la famiglia di malware Toneshell per condurre operazioni informatiche in tutto il mondo. Malware legati a Toneshell, come Pubload e Pubshell (noto anche come NoFive), indicano che il gruppo mantiene filamenti di malware separati come parte delle operazioni. Il gruppo è composto da diversi sottogruppi e si rivolge a organizzazioni pubbliche e private, tra cui think tank, gruppi politici, agenzie di governo e singoli individui. X-Force valuta che questo attore delle minacce sia una minaccia capace, come dimostrato dall'uso di molteplici caricatori malware indipendenti, famiglie backdoor e worm USB, e dalla segnalazione costante delle sue attività da parte di diversi team di ricerca sulla sicurezza.
Nel 2023, Palo Alto ha riferito che una delle tracce X-Force dei sottocluster di Hive0154 stava usando varie esche per diffondere la backdoor di Pubload. Alcune delle esche sottostanti coincidono anche con una campagna contro il Myanmar, come riportato dal CSIRT CTI nel gennaio 2024. Le esche sottostanti mostrano l'interesse continuo della Cina nei paesi del Sud-est asiatico e nell'Australia.
Nome esca
Descrizione
SHA256
Data
Notice re UEC, (04-25-2023 Day).zip
Sconosciuto
167a842b97d0
Aprile 2023
April 27 updated party list.zip
Sconosciuto
41276827827b9
Aprile 2023
Biography of Senator the Hon Don Farrell.zip
Il nome del file sembra essere una copia diretta del titolo che appare sul sito web dell'Australia Trade and Tourism sul Ministro del Commercio australiano.
4fbfbf1cd2efaef1
Aprile 2023
Il SAC prevede alcuni requisiti didattici per le elezioni generali
Sconosciuto
782e074601f5b1
Aprile 2023
National Security Priority Programs.zip
Sconosciuto
a02766b3950dbb
maggio 2023
230605 Ministerial meeting minutes (1).zip
Il fascicolo può essere un riferimento alla dichiarazione rilasciata a Parigi l'8 giugno 2023 dai ministri di Australia, Canada, Giappone, Stati Uniti, Regno Unito e Nuova Zelanda sulle pratiche commerciali abusive riguardanti la regione Asia-Pacifico.
178e92c59afe4c
giugno 2023
NUG's Foreign Policy Strategy.zip
La formulazione appare su questa pagina web di CSIS Indonesia, riguardante una situazione in corso in Myanmar, coinvolta in una guerra civile, mentre i report suggeriscono che la Cina stia considerando l'invio di personale di sicurezza a sostegno del governo della giunta militare del Myanmar, secondo un report di dicembre 2024.
ba7c456f229adc
agosto 2023
Analysis of the third meeting of NDSC.zip
Il fascicolo potrebbe aver fatto parte di una campagna precedentemente segnalata contro il governo del Myanmar da Stately Taurus all'inizio del 2024. Intorno a ottobre 2023, il Myanmar è stato coinvolto in una guerra civile tra fazioni ribelli e governo, in cui le forze ribelli hanno effettivamente preso il controllo di una rotta commerciale chiave per la Cina.
4e8717c9812318f8
Novembre 2023
I file ZIP armati contengono generalmente un eseguibile legittimo rinominato, come SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), utilizzato per installare manualmente una DLL malevola. La DLL fa parte della famiglia Claimloader, composta da diverse varianti di shellcode loader utilizzate da Hive0154 nel corso degli anni per caricare payload associati alle famiglie di backdoor Pubload e Toneshell.
Nel corso del 2024 sono state registrate ulteriori attività su Hive0154, alcune delle quali sono state riportate da FatzQuatz, dall'account Twitter/X di StrikeReadyLabs e da Hunt.io:
Nome esca
Descrizione
SHA256
Data
Meeting Request--30-31-05.zip
Sconosciuto
09597c284
Maggio 2024
EBO Brainstorming Friday 24 to
Sconosciuto
78a60bea56
Maggio 2024
Attendee list template (24-6-2024).zip
Sconosciuto
b7d13787c8be
Giugno 2024
Notice of Final Meeting.zip
Sconosciuto
fef713b23717
Luglio 2024
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Sconosciuto
727ccc4560
Luglio 2024
Interview with Surachet
Sconosciuto
f00e5ff2dc47
Agosto 2024
IISS Prague Defence Summit 2024.zip
La campagna Mustang Panda segnalata in precedenza ha preso di mira i partecipanti al Vertice sulla Difesa dell'IISS a Praga, nel novembre 2024.
1387ec22a339
Agosto 2024
NDI-IRI_Election_
Il nome del file sembra fare riferimento al report NDI-IRI pubblicato nel giugno 2023 sulle elezioni in Nigeria. Il report è stato commissionato con il supporto dell'Agenzia degli Stati Uniti per lo Sviluppo Internazionale (USAID).
ac989df2715a
Agosto 2024
leadership information list.zip
Sconosciuto
3a37a127a4253
Agosto 2024
Request for Inputs for the 6th
L'esca si riferisce probabilmente all'incontro bilaterale tra Thailandia e Filippine avvenuto nell'ottobre 2024.
057fd248e0219
Settembre 2024
Bencana_Air_
Il documento esca sembra provenire dall’Agenzia nazionale malese per la gestione dei disastri (NADMA, Agensi Pengurusan Bencana Negara) e dalle sue risposte in corso al Covid-19 in Malesia.
cc4e5d175fc85685
ottobre 2024
La tecnica di sideloading delle DLL all'interno degli ZIP rimane la stessa, ma sono state registrate versioni diverse della DLL Claimloader con modifiche all'algoritmo di decrittazione. Alcune campagne hanno anche utilizzato direttamente una DLL di Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b).
X-Force ha osservato diverse nuove campagne tra la fine del 2024 e l'inizio del 2025 seguendo gli stessi TTP, attribuiti allo stesso sottocluster Hive0154. Le ultime varianti di Claimloader supportano anche l'apertura di PDF esca come parte della routine di installazione, prima di iniettare i payload shellcode. I PDF, così come le DLL, utilizzano attributi dei file per rimanere nascosti a un utente standard.
Due esche e i relativi nomi di file esca menzionano specificamente le tensioni nel Mar Cinese Meridionale tra Cina e Filippine, con il governo delle Filippine che chiede una stretta cooperazione militare con gli Stati Uniti alla luce delle crescenti attività dell'esercito cinese. Questi sviluppi susciteranno probabilmente un maggiore interesse da parte dei destinatari, che potrebbero essere più propensi ad aprire l'allegato. Tali destinatari possono includere il governo delle Filippine, personale militare e diplomatico, e possono anche coinvolgere personale governativo e militare statunitense il cui compito potrebbe richiedere di affrontare l'argomento presentato dai nomi dei file.
Nome esca
Nome del file Decoy
DLL associata SHA256
Data
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
ottobre 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
Novembre 2024
Entrambe le esche installano manualmente una DLL Claimloader, che carica la stessa backdoor Toneshell descritta più avanti.
Claimloader è una famiglia di loader utilizzata in passato da Hive0154 per caricare vari payload shellcode, tra cui Toneshell e Pubload. Nel corso degli anni, si è evoluta in diverse versioni con funzionalità variabili.
Uno dei primi campioni, compilato alla fine del 2021, è stato pubblicato dall'Unità 42 di Palo Alto. Utilizza una tecnica interessante, copiando shellcode in un buffer tramite l'API UuidFromStringA. Esegue inoltre lo shellcode come funzione di callback passata a EnumSystemLanguageGroupsA.
Una tecnica simile è stata precedentemente segnalata dal gruppo NCC.
Nel novembre 2022, LAC ha segnalato una variante di Claimloader destinata probabilmente alle organizzazioni governative delle Filippine in una catena di infezione, quasi esattamente la stessa dell'attività nel 2023-2024 descritta nelle sezioni precedenti. La variante memorizza il suo payload come blocchi di 32 byte di stringhe stack cifrate, prima di decifrarle singolarmente. Copia inoltre l'eseguibile legittimo e la DLL Claimloader in una nuova directory prima di tentare di stabilire la persistenza tramite il registro o compiti programmati, rendendolo di fatto un installatore oltre che un loader.
Al momento dell'esecuzione, il malware inizia creando un mutex hardcoded per garantire che sia in esecuzione una sola istanza di Claimloader. Successivamente, verifica la presenza di un argomento specifico della riga di comando, che non è presente nella prima esecuzione. In tal caso, Claimloader copierà sia l'EXE che la DLL in una nuova directory discreta, spesso in "C:\ProgramData\", imitando una directory software come:
Questo comportamento è utilizzato dalla maggior parte degli esempi più recenti di Claimloader e può anche portare a esecuzioni sandbox non riuscite.
Successivamente, il malware stabilisce la persistenza al momento dell'accesso, memorizzando il percorso dell'EXE con l'argomento corretto della riga di comando in una nuova chiave di registro, sempre con un nome software non intrusivo:
Claimloader utilizza anche un meccanismo secondario di persistenza creando il seguente processo per creare un compito programmato, che eseguirà il loader ogni 5 minuti:
Si noti che le tecniche esatte possono essere diverse; un campione, ad esempio, ha utilizzato invece gli oggetti COM per pianificare l'attività collegandosi all'interfaccia ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
Gli algoritmi di decrittazione di Claimloader sono variati nei campioni tra DES (ultima versione), almeno due implementazioni di routine di decrittazione basate su AES e XOR che utilizzano un seed hardcoded per generare un flusso di chiavi tramite la funzione _srand( ):
Per eseguire i payload dopo la decrittazione, la maggior parte delle varianti di Claimloader utilizza API con funzioni di callback, ma esistono anche varianti che creano un nuovo thread o chiamano direttamente il payload come funzione.
Di seguito è riportata una tabella con diversi esempi di Claimloader e le relative tecniche:
Esempio SHA256
Nome DLL
Persistenza
Decrittazione
Tecnica di esecuzione
3af7807efb105
Amind
Registry and scheduled
_srand() keystream
EnumPropsExW
8957c8de9032
libemb
Registro e attività programmata
AES
Chiamata diretta
d665f55555f87
CCleaner
Nulla
AES, con payload memorizzato in stringhe di stack
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
Registro e attività pianificata "jxbrowser-chromiumim"
AES
EnumFontsW
a6dfb41bbad08
jx
Registro e attività pianificata "jxbrowser-chromiumim"
AES
EnumFontsW
900af2b8d03b4
helper_
Registro e compito programmato "Wargaming
_srand() keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
Registro e attività pianificata "NVIDIA_
DES
EnumFontsW
Diversi esempi recenti hanno aggiunto il supporto per visualizzare un PDF esca durante la prima esecuzione di Claimloader.
Dopo aver aperto il file PDF per l'utente, Claimloader rimuove gli attributi "System" e "Hidden" per rendere il PDF permanentemente visibile all'utente nella cartella aperta.
L'ultima variante di Claimloader al momento della pubblicazione utilizza nomi di API e DLL offuscati, che sono criptati XOR con 0x99. Durante l'esecuzione, il loader decripta le stringhe e chiama LdrLoadDll e LdrGetProcedureAddress per risolvere i puntatori di funzione delle API necessarie.
Entrambe le DLL Claimloader associate alle esche del Mar Cinese Meridionale caricano la stessa backdoor Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) come shellcode, che è allo stesso tempo un PE valido.
L'intestazione DoS (Denial-of-Service) è stata modificata per includere un piccolo stub per chiamare un'altra funzione a 0x4200 offset, fornendo al contempo l'indirizzo base del PE come argomento. Questa funzione di loader continua a caricare manualmente il PE, risolvendo le importazioni necessarie e mappando le sezioni nella memoria. Questa tecnica consente agli sviluppatori di malware di convertire un PE valido in shellcode dopo la compilazione.
La famiglia Toneshell comprende un vasto arsenale di diverse varianti e si è evoluta notevolmente nel tempo. Sebbene condivida forti sovrapposizioni di codice con la backdoor Pubload, viene monitorata separatamente da X-Force. Le varianti possono differire nei meccanismi C2, nei protocolli C2 personalizzati, nei comandi supportati e negli hash API. X-Force raggruppa anche più versioni di un framework di worm USB chiamato "Tonedisk" nella famiglia Toneshell.
La backdoor Toneshell della campagna di cui sopra è una variante relativamente semplice ed è progettata per stabilire una reverse shell attraverso il suo server C2.
Inizia risolvendo le sue API e creando un nuovo GUID tramite CoCreateGuid. I 16 byte risultanti vengono utilizzati come identificatore univoco della vittima e vengono scritti in un nuovo file:
Successivamente, crea un nuovo evento "Fool87012900137", che usa come mutex per assicurarsi di essere l'unica istanza in esecuzione. Toneshell inizializza la sua struct principale con l'indirizzo del server C2 (45[.]136[.]254[.]193:443), il GUID e il nome del computer della vittima, oltre ad altri valori di configurazione. Inizia inoltre un'implementazione del "rand" PRNG di Microsoft.
Per ogni beacon che interroga il server C2 per i comandi, Toneshell genera la successiva chiave da 256 byte dal PRNG, che viene utilizzata per crittografare la comunicazione C2, il GUID e il nome del computer.
I beacon TCP contengono i seguenti valori formattati con un'intestazione che imita un pacchetto TLS Application Data (17 03 03):
Toneshell si aspetta una risposta simile dal server:
Dopo aver decrittografato la risposta, il primo byte viene analizzato come valore di comando, il secondo byte viene utilizzato come identificatore per le pipe create e il resto come payload del comando.
Prima di gestire il comando, Toneshell crea un nuovo thread che invia beacon di risposta simili a quelli del battito cardiaco ogni 30 secondi. Ogni beacon deve anche inviare il byte più basso corretto dei successivi 4 byte generati dal flusso di chiave PRNG inizializzato per verificare l'integrità della comunicazione con il server C2. Questi beacon sono formattati come segue:
Questa versione di Toneshell supporta i seguenti codici di comando C2:
Codice
Descrizione
1
Attendi - continuerà ad attendere i comandi con un payload non vuoto.
2
Crea un nuovo file (elimina se esiste già)
3
Scrivi dati nel file
4
Scrivi i dati nel file e conferma tramite il beacon di risposta
5
Crea shell inversa tramite pipe
6
Scrivi il comando shell nella pipe
7
Termina la shell inversa
Per creare una shell inversa, Toneshell imposta due pipe anonime e crea un nuovo processo cmd.exe utilizzando le pipe per scrivere dati su stdin e leggere dati da stdout e stderr.
Aggiungendo gli handle ai pipe nella struttura STARTUPINFO del nuovo processo, Toneshell può eseguire comandi arbitrari semplicemente scrivendo nel pipe. In un nuovo thread, Toneshell cerca nuovi output utilizzando PeekNamedPipe ogni 100 ms. Qualsiasi nuovo dato viene letto dalla pipe e ritrasmesso al server C2.
A febbraio 2025, X-Force ha osservato una campagna Hive0154 che forniva la backdoor Pubload tramite varianti simili di Claimloader descritte sopra. I quattro campioni qui sotto condividono lo stesso server C2 218[.]255[.]96[.]245:443
Nome esca
Paese mittente
Nome DLL di Claimloader
Claimloader Mutex
DLL SHA256
Data
BLA,BLF,
Pakistan
SolidPDF
TB2025
c7efd45aa7
12 febbraio 2025
Sconosciuto
Hong Kong
SolidPDF
MTM2025
087ccc7f6c02
11 marzo 2025
(The_
Filippine
chrome_
CATM2025
216188ee52b0
20 marzo 2025
NSC_
Stati Uniti
helper_
GameBox
900af2b8d03b
17 aprile 2025
Invitation to
Filippine
helper_
GameGpu
4c66e7ebf2ca2
29 aprile 2025
豐德電廠
Sconosciuto (probabilmente Taiwan)
helper_
GameFind
112118aad0db9ff
7 maggio 2025
英諾飛保
Taiwan
helper_
Sconosciuto
Sconosciuto
8 maggio 2025
Invitation letter
Sconosciuto
helper_
GameBox
7476d6b375d8
9 maggio 2025
Nel caso del file LNK sopra, viene eseguito l'eseguibile legittimo rinominato per iniziare il sideloading DLL di Claimloader:
Uno dei file ZIP trasformati in arma conteneva un eseguibile legittimo rinominato in "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe". L'esca è probabilmente un riferimento all'Esercito di Liberazione Baloch (BLA), un gruppo separatista militante, e ad altri gruppi militanti associati che chiedono la creazione di una nuova nazione chiamata Balochistan. L'uso di tali nomi nell'esca è probabilmente uno sforzo dell'attaccante per spingere i destinatari interessati a fare clic sull'allegato.
Un altro file, "NSC_Meeting_Minutes_Apr2025.lnk", può riferirsi a una riunione del Consiglio di sicurezza nazionale degli Stati Uniti e a presunti appunti presi, che potrebbe interessare persone del governo degli Stati Uniti o altre persone coinvolte nell'intelligence, nel mondo accademico o nel giornalismo che riguardano gli affari governativi degli Stati Uniti. Come per l'esca 'BLA' che potrebbe prendere di mira funzionari pakistani, questa esca potrebbe essere rivolta a un destinatario statunitense con un nome di file prigioniero per invogliare i destinatari a fare clic sull'allegato.
Un nome di file, "Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe", può riferirsi a un prossimo vertice dell'Associazione delle Nazioni del Sud-Est asiatico (ASEAN) il 26 e 27 maggio 2025, in Malesia.
Il nome del file, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", potrebbe riferirsi alla fattura di pagamento della centrale elettrica Fongde di Taiwan risalente ad aprile/maggio 2015.
L'ultimo file, "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe", potrebbe riferirsi a un presunto accordo di non divulgazione tra due aziende aerospaziali taiwanesi in relazione ai veicoli aerei senza pilota (UAV) e alla manutenzione degli aeromobili.
Pubload è una backdoor descritta per la prima volta da Cisco Talos nel 2022 come stager senza nome. Si noti che X-Force identifica il loader per lo shellcode come Claimloader e il downloader di shellcode di primo stadio come Pubload, mentre la segnalazione di TrendMicro identifica entrambi come Pubload. Claimloader è stato utilizzato per caricare sia Pubload che Toneshell. Il Team T5 traccia Pubload e Pubshell come NoFive.
Il payload shellcode di Pubload inizia decifrando tramite XOR il resto dello shellcode utilizzando una chiave XOR a 32 byte:
Questa routine di autodecrittazione è stata aggiunta solo a partire dal secondo dei quattro esempi di Claimloader sopra riportati. Dopo la decrittazione, procede a risolvere tutte le API necessarie, offuscate tramite l'algoritmo ROR13. Successivamente, alloca nuova memoria e imposta la struttura principale con un indirizzo server C2 e una chiave di crittografia, prima di avviare il comportamento principale.
Il ciclo principale di Pubload inizia enumerando i seguenti valori:
Questi valori sono formattati come il primo payload del beacon:
Il payload viene criptato usando la chiave codificata in quattro cicli XOR consecutivi con diversi spostamenti di chiave:
Analogamente a Toneshell, il payload crittografato viene inserito in un falso pacchetto di dati applicativi TLS:
Il pacchetto TCP viene inviato al server C2 codificato a
In cambio, Pubload si aspetta una risposta analizzata come
Dopo la decodifica riuscita del payload, il primo byte dovrebbe essere 0x06, mentre il resto dei dati viene analizzato come struttura sottostante per decodificare in XOR il payload dello shellcode ricevuto:
Infine, Pubload aggiunge la necessaria opzione di protezione della memoria PAGE_EXECUTE_READWRITE ed esegue lo shellcode, fornendo come argomenti le informazioni di sistema enumerate e il server C2.
Il payload shellcode (Pubshell) scaricato immediatamente da Pubload mostra diverse somiglianze con la variante Toneshell discussa sopra e ha la stessa funzionalità: creare uno shell inverso attraverso le pipe.
Inizia con la consueta procedura di configurazione, risolvendo le API, allocando la memoria e inizializzando la struttura principale e la stessa chiave del campione Pubload padre.
Il primo beacon è simile a quello di Pubload, tranne per il primo byte del payload (codice beacon), che è 0x0B.
Anche in questo caso, il primo byte della risposta decrittata serve da codice di comando per determinare il comportamento di Pubshell:
Codice di comando
Descrizione
1
Reimposta l'ID della vittima sul numero di serie offuscato iniziale
3
Imposta un nuovo ID vittima
4
Imposta la frequenza del beacon in secondi (il valore iniziale è 10s)
5
Arresta il beacon
26
Elimina file
27
Crea nuovo file
29
Scrivi i dati in un file appena creato
30
Crea shell inversa tramite pipe
31
Scrivi un nuovo comando nella pipe
32
Termina la shell inversa e chiudi tutti gli handle e i processi associati
48
Leggi il risultato del comando (stdin, stderr) dalla pipe
Proprio come Toneshell, Pubshell invia diversi codici di risposta al server C2, a seconda del risultato di un comando. Ad esempio, sia i comandi per creare un nuovo file (27) che per scrivere su quel file (29) restituiranno il codice 42 in caso di successo e 43 in caso di fallimento. Inoltre, Pubshell include anche stringhe di messaggi di errore più dettagliate, come ad esempio:
Stringhe simili sono state osservate anche in altre varianti di Toneshell.
L'implementazione Pubshell del reverse shell tramite pipe anonimi è quasi identica a Toneshell. Tuttavia, invece di eseguire un nuovo thread per restituire immediatamente i risultati, Pubshell richiede un comando aggiuntivo per restituire i risultati del comando. Inoltre supporta solo l'esecuzione di "cmd.exe" come una shell.
Per diversi aspetti, Pubload e Pubshell sembrano essere una "versione lite" si Toneshell sviluppata indipendentemente, con meno sofisticazione e chiare sovrapposizioni di codice.
Nel dicembre 2024, X-Force ha osservato un'ulteriore attività di Hive0154 rivolta a Taiwan con la backdoor Pubload. A marzo, X-Force ha collaborato con una grande azienda manifatturiera per indagare su un'infezione da Pubload a Taiwan. Durante l'incidente, attori delle minacce hanno utilizzato il worm USB HIUPAN per diffondere Claimloader e Pubload tramite dispositivi USB. Il worm viene probabilmente utilizzato come payload successivo nelle infezioni iniziali di Pubload per aumentarne il numero e potenzialmente raggiungere reti che potrebbero essere sottoposte a isolamento fisico. La relazione tra entrambe le varianti di malware era stata documentata in precedenza da Trend Micro.
HIUPAN (noto anche come U2DiskWatch) è un worm USB, la cui DLL principale "u2ec.dll" viene trasferita tramite un EXE legittimo "UsbConfig.exe" quando un utente lo esegue involontariamente da un dispositivo USB. Il worm svolge le seguenti attività:
HIUPAN utilizza un file di configurazione "$.ini" per memorizzare un moltiplicatore di sospensione e i nomi dei file dei suoi componenti e del malware associato. Questa modalità di azione rende estremamente semplice configurare il worm per diffondere qualsiasi malware semplicemente scambiando i file di payload e la configurazione basata su testo.
Di seguito è riportato il file di configurazione osservato nelle infezioni con sede a Taiwan che diffondono Claimloader e Pubload:
Codice di comando
Descrizione
1
Reimposta l'ID della vittima sul numero di serie offuscato iniziale
3
Imposta un nuovo ID vittima
4
Imposta la frequenza del beacon in secondi (il valore iniziale è 10s)
5
Arresta il beacon
26
Elimina file
27
Crea nuovo file
29
Scrivi i dati in un file appena creato
30
Crea shell inversa tramite pipe
31
Scrivi un nuovo comando nella pipe
32
Termina la shell inversa e chiudi tutti gli handle e i processi associati
48
Leggi il risultato del comando (stdin, stderr) dalla pipe
HIUPAN non è l'unico worm USB utilizzato da Hive0154. Diversi altri framework e varianti che distribuiscono malware, come Toneshell e Pubshell, sono ancora in fase di diffusione attiva e vengono regolarmente caricati su VirusTotal.
L'ampia portata operativa di Hive0154 trattata in questo blog diventa evidente attraverso l'utilizzo di strumenti diversi, tecniche innovative e una vasta gamma di potenziali vittime. I gruppi allineati alla Cina come Hive0154 continueranno a perfezionare il loro vasto arsenale di malware e a concentrarsi sulle organizzazioni con sede in Asia orientale nel settore privato e pubblico. L'ampia gamma di strumenti, i frequenti cicli di sviluppo e la distribuzione di malware basati su worm USB li rendono un attore delle minacce sofisticato. Le entità a rischio di attività di Hive0154 devono mantenere un elevato livello di sicurezza difensiva e rimanere vigili sulle tecniche menzionate in questo report.
Indicatore
Tipo di indicatore
Contesto
167a842b97d0434f20e0
SHA256
Archivio armato Hive0154
41276827827b95c9b5a9f
SHA256
Archivio armato Hive0154
4fbfbf1cd2efaef1906f0bd2
SHA256
Archivio armato Hive0154
782e074601f5b17e045d7c
SHA256
SFX armato Hive0154
a02766b3950dbb86a1293
SHA256
Archivio armato Hive0154
178e92c59afe4c59043657
SHA256
Archivio armato Hive0154
ba7c456f229adc4bd75bfb8
SHA256
Archivio armato Hive0154
4e8717c9812318f8775a94fc
SHA256
Archivio armato Hive0154
09597c2844067d8ee671313
SHA256
Archivio armato Hive0154
78a60bea5693138c771386b8
SHA256
Archivio armato Hive0154
fef713b237179f4d6bea899687
SHA256
Archivio armato Hive0154
727ccc4560fb11627870ff2cac2
SHA256
Archivio armato Hive0154
f00e5ff2dc47a7625c86ac8978
SHA256
Archivio armato Hive0154
1387ec22a3391647e25d2cb722
SHA256
Archivio armato Hive0154
ac989df2715a26df9e039e9e0d
SHA256
Archivio armato Hive0154
3a37a127a425360d00588bf652
SHA256
Archivio armato Hive0154
cc4e5d175fc85685e7f31c2e7797
SHA256
Archivio armato Hive0154
e4a4803cb04b58c07230b1368
SHA256
Archivio armato Hive0154
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Archivio armato Hive0154
b7d13787c8be72dcc584c516e7
SHA256
Archivio armato Hive0154
76cc0fd64a2fc67bc0146f04819
SHA256
Archivio armato Hive0154
c49c686c26845b9ef0913642ca
SHA256
Archivio armato Hive0154
b8865a77cb8f0706b50d4d85bf
SHA256
Archivio armato Hive0154
98c1527d4b064fcf4a95488c345
SHA256
Archivio armato Hive0154
6f5c50f37b6753366066c65b3e
SHA256
Archivio armato Hive0154
d99e33878e23582308b1e217aff
SHA256
Archivio armato Hive0154
cf61b7a9bdde2a39156d88f309f
SHA256
Esempio iniziale di Claimloader
93fb8b78d65a9ef790be6d2055
SHA256
DLL Claimloader
895b8e0c1d2e4cae16508ded50
SHA256
DLL Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL Claimloader
3af7807efb10525196c562c1f91d2
SHA256
DLL Claimloader
8957c8de9032b347ee1a15abbae
SHA256
DLL Claimloader
d665f55555f87b515cb8ef1adce9
SHA256
DLL Claimloader
c7efd45aa7dd1ecd05571f15d83e
SHA256
DLL Claimloader
a6dfb41bbad08e3fe663efa325e
SHA256
DLL Claimloader
8f4ee5e0b85020f2a040f54dccd
SHA256
DLL Claimloader
087ccc7f6c022dc5fd40ade3ef6a
SHA256
DLL Claimloader
216188ee52b067f761bdf3c45663
SHA256
DLL Claimloader
900af2b8d03b40cdb027126d47
SHA256
DLL Claimloader
4c66e7ebf2ca2ecf00379463835
SHA256
DLL Claimloader
112118aad0db9ff6c78dce2e81d9
SHA256
DLL Claimloader
7476d6b375d8b1962624723aab
SHA256
DLL Claimloader
0bd114fecfd3c09820fa013d8cd8
SHA256
Backdoor di Toneshell
5d7b9605cf85371da0849b8297
SHA256
Backdoor di Toneshell
62087a1226c5433d6f6184d627
SHA256
Backdoor di Toneshell
534853913ad1e9b7ae7dade841
SHA256
Backdoor di Pubload
2da73366f9efc0d1c05c72e404
SHA256
Backdoor di Pubload
b04775803e48979b68480a49
SHA256
Backdoor di Pubshell
b4c37e3995d5ff94754cedd49f
SHA256
Worm USB HIUPAN
f5fd2905d90755d021e1442c34f
SHA256
Worm USB HIUPAN
45[.]136[.]254[.]193:443
Indirizzo IP, porta
Server Toneshell C2
45[.]144[.]165[.]66
Indirizzo IP, porta
Server Toneshell C2
218[.]255[.]96[.]245:443
Indirizzo IP, porta
Server Pubload C2
103[.]27[.]202[.]132
Indirizzo IP, porta
Server Toneshell C2
45[.]12[.]91[.]223:443
Indirizzo IP, porta
Server Pubload C2
