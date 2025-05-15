Tag
Protezione

Hive0154 prende di mira Stati Uniti, Filippine, Pakistan e Taiwan in una sospetta campagna di spionaggio

la Terra dallo spazio con linee digitali che collegano dei punti sul pianeta

Autori

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

A partire da maggio 2025, IBM® X-Force sta monitorando una sospetta campagna di spionaggio che utilizza archivi ZIP trasformati in armi per distribuire backdoor Pubload e Toneshell. X-Force attribuisce questa campagna, probabilmente iniziata alla fine del 2024, all'attore delle minacce allineato alla Cina Hive0154, le cui operazioni si sovrappongono a gruppi tracciati come Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris e Earth Preta. Gli archivi contengono esche a tema politico, probabilmente concepite per attrarre personale governativo, militare e diplomatico nelle Filippine, negli Stati Uniti e in Pakistan. In passato, i sottocluster Hive0154 hanno utilizzato tattiche simili. In particolare, hanno utilizzato il malware Claimloader per installare backdoor persistenti che facilitano l'accesso diretto agli ambienti delle vittime per ottenere insight avanzato sulle decisioni emergenti dei governi mondiali. X-Force ha anche osservato il gruppo utilizzare un worm USB per diffondere Pubload a Taiwan, raggiungendo potenzialmente delle reti che potrebbero essere isolate.

Risultati principali

  • Hive0154 è un affermato attore delle minacce allineato alla Cina con un ampio arsenale di malware, tecniche coerenti e attività ben documentate negli ultimi anni
  • Tra l'arsenale malware, X-Force ha scoperto diversi strumenti progettati per colpire un destinatario specifico, probabilmente rivolti al personale governativo, militare e diplomatico delle Filippine, degli Stati Uniti e del Pakistan
  • La scoperta di X-Force suggerisce l'uso da parte di Hive0154 di temi geopolitici pensati per destinatari separati: 1. le Filippine, utilizzando le tensioni nel Mar Cinese Meridionale; 2. Pakistan, utilizzando le attività dei separatisti del Belucistan; e 3. gli Stati Uniti, utilizzando note di riunione del Consiglio di Sicurezza Nazionale falsificate
  • Questi attacchi personalizzati suggeriscono che Hive0154 stia probabilmente cercando di ottenere informazioni sulle potenziali strategie e intenti dell'amministrazione statunitense e dei paesi vicini alla Cina
  • Uno dei sottocluster di Hive0154 ha costantemente utilizzato varianti evolutive di Claimloader per distribuire delle backdoor correlate di Pubload e Toneshell e bersagliare entità in Europa, nella regione Asia-Pacifico e negli Stati Uniti
  • X-Force ha indagato sulle recenti attività a Taiwan, dove il worm USB HIUPAN è stato utilizzato per diffondere la backdoor di Pubload a una grande azienda manifatturiera. Hive0154 utilizza anche nomi di file relativi a fatture e documenti legali come esche per prendere di mira Taiwan nel maggio 2025

Panoramica di Hive0154

Almeno dal 2022, Hive0154 ha utilizzato, tra gli altri, la famiglia di malware Toneshell per condurre operazioni informatiche in tutto il mondo. Malware legati a Toneshell, come Pubload e Pubshell (noto anche come NoFive), indicano che il gruppo mantiene filamenti di malware separati come parte delle operazioni. Il gruppo è composto da diversi sottogruppi e si rivolge a organizzazioni pubbliche e private, tra cui think tank, gruppi politici, agenzie di governo e singoli individui. X-Force valuta che questo attore delle minacce sia una minaccia capace, come dimostrato dall'uso di molteplici caricatori malware indipendenti, famiglie backdoor e worm USB, e dalla segnalazione costante delle sue attività da parte di diversi team di ricerca sulla sicurezza.

Uomo che guarda il computer

Rafforza la tua intelligence sulla sicurezza  

Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.  

Attività precedenti

Nel 2023, Palo Alto ha riferito che una delle tracce X-Force dei sottocluster di Hive0154 stava usando varie esche per diffondere la backdoor di Pubload. Alcune delle esche sottostanti coincidono anche con una campagna contro il Myanmar, come riportato dal CSIRT CTI nel gennaio 2024. Le esche sottostanti mostrano l'interesse continuo della Cina nei paesi del Sud-est asiatico e nell'Australia.

Nome esca

Descrizione

SHA256

Data

Notice re UEC, (04-25-2023 Day).zip

Sconosciuto

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

Aprile 2023

April 27 updated party list.zip

Sconosciuto

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

Aprile 2023

Biography of Senator the Hon Don Farrell.zip

Il nome del file sembra essere una copia diretta del titolo che appare sul sito web dell'Australia Trade and Tourism sul Ministro del Commercio australiano.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

Aprile 2023

Il SAC prevede alcuni requisiti didattici per le elezioni generali

Sconosciuto

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

Aprile 2023

National Security Priority Programs.zip

Sconosciuto

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

maggio 2023

230605 Ministerial meeting minutes (1).zip

Il fascicolo può essere un riferimento alla dichiarazione rilasciata a Parigi l'8 giugno 2023 dai ministri di Australia, Canada, Giappone, Stati Uniti, Regno Unito e Nuova Zelanda sulle pratiche commerciali abusive riguardanti la regione Asia-Pacifico.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

giugno 2023

NUG's Foreign Policy Strategy.zip

La formulazione appare su questa pagina web di CSIS Indonesia, riguardante una situazione in corso in Myanmar, coinvolta in una guerra civile, mentre i report suggeriscono che la Cina stia considerando l'invio di personale di sicurezza a sostegno del governo della giunta militare del Myanmar, secondo un report di dicembre 2024.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

agosto 2023

Analysis of the third meeting of NDSC.zip

Il fascicolo potrebbe aver fatto parte di una campagna precedentemente segnalata contro il governo del Myanmar da Stately Taurus all'inizio del 2024. Intorno a ottobre 2023, il Myanmar è stato coinvolto in una guerra civile tra fazioni ribelli e governo, in cui le forze ribelli hanno effettivamente preso il controllo di una rotta commerciale chiave per la Cina. 

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

Novembre 2023

    

I file ZIP armati contengono generalmente un eseguibile legittimo rinominato, come SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942), utilizzato per installare manualmente una DLL malevola. La DLL fa parte della famiglia Claimloader, composta da diverse varianti di shellcode loader utilizzate da Hive0154 nel corso degli anni per caricare payload associati alle famiglie di backdoor Pubload e Toneshell.

Nel corso del 2024 sono state registrate ulteriori attività su Hive0154, alcune delle quali sono state riportate da FatzQuatz, dall'account Twitter/X di StrikeReadyLabs e da Hunt.io:

Nome esca

Descrizione

SHA256

Data

Meeting Request--30-31-05.zip

Sconosciuto

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

Maggio 2024

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

Sconosciuto

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

Maggio 2024

Attendee list template (24-6-2024).zip

Sconosciuto

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

Giugno 2024

Notice of Final Meeting.zip

Sconosciuto

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

Luglio 2024

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

Sconosciuto

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

Luglio 2024

Interview with Surachet
Praweewongwut.rar

Sconosciuto

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

Agosto 2024

IISS Prague Defence Summit 2024.zip

La campagna Mustang Panda segnalata in precedenza ha preso di mira i partecipanti al Vertice sulla Difesa dell'IISS a Praga, nel novembre 2024.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

Agosto 2024

NDI-IRI_Election_
Observation_
Mission_Report.zip

Il nome del file sembra fare riferimento al report NDI-IRI pubblicato nel giugno 2023 sulle elezioni in Nigeria. Il report è stato commissionato con il supporto dell'Agenzia degli Stati Uniti per lo Sviluppo Internazionale (USAID).

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

Agosto 2024

leadership information list.zip

Sconosciuto

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

Agosto 2024

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

L'esca si riferisce probabilmente all'incontro bilaterale tra Thailandia e Filippine avvenuto nell'ottobre 2024.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(EXE legittimo,
DLL corrispondente
sconosciuta)

Settembre 2024

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

Il documento esca sembra provenire dall’Agenzia nazionale malese per la gestione dei disastri (NADMA, Agensi Pengurusan Bencana Negara) e dalle sue risposte in corso al Covid-19 in Malesia. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

ottobre 2024

    

La tecnica di sideloading delle DLL all'interno degli ZIP rimane la stessa, ma sono state registrate versioni diverse della DLL Claimloader con modifiche all'algoritmo di decrittazione. Alcune campagne hanno anche utilizzato direttamente una DLL di Toneshell (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b). 

Tensioni sul Mar Cinese Meridionale

X-Force ha osservato diverse nuove campagne tra la fine del 2024 e l'inizio del 2025 seguendo gli stessi TTP, attribuiti allo stesso sottocluster Hive0154. Le ultime varianti di Claimloader supportano anche l'apertura di PDF esca come parte della routine di installazione, prima di iniettare i payload shellcode. I PDF, così come le DLL, utilizzano attributi dei file per rimanere nascosti a un utente standard.

Due esche e i relativi nomi di file esca menzionano specificamente le tensioni nel Mar Cinese Meridionale tra Cina e Filippine, con il governo delle Filippine che chiede una stretta cooperazione militare con gli Stati Uniti alla luce delle crescenti attività dell'esercito cinese. Questi sviluppi susciteranno probabilmente un maggiore interesse da parte dei destinatari, che potrebbero essere più propensi ad aprire l'allegato. Tali destinatari possono includere il governo delle Filippine, personale militare e diplomatico, e possono anche coinvolgere personale governativo e militare statunitense il cui compito potrebbe richiedere di affrontare l'argomento presentato dai nomi dei file.

Nome esca

Nome del file Decoy

DLL associata SHA256

Data

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

ottobre 2024

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

Novembre 2024

Entrambe le esche installano manualmente una DLL Claimloader, che carica la stessa backdoor Toneshell descritta più avanti. 

Claimloader

Claimloader è una famiglia di loader utilizzata in passato da Hive0154 per caricare vari payload shellcode, tra cui Toneshell e Pubload. Nel corso degli anni, si è evoluta in diverse versioni con funzionalità variabili.

Uno dei primi campioni, compilato alla fine del 2021, è stato pubblicato dall'Unità 42 di Palo Alto. Utilizza una tecnica interessante, copiando shellcode in un buffer tramite l'API UuidFromStringA. Esegue inoltre lo shellcode come funzione di callback passata a EnumSystemLanguageGroupsA.

codice di esempio del claimloader iniziale
Fig. 1: Esempio iniziale di Claimloader (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

Una tecnica simile è stata precedentemente segnalata dal gruppo NCC.

Nel novembre 2022, LAC ha segnalato una variante di Claimloader destinata probabilmente alle organizzazioni governative delle Filippine in una catena di infezione, quasi esattamente la stessa dell'attività nel 2023-2024 descritta nelle sezioni precedenti. La variante memorizza il suo payload come blocchi di 32 byte di stringhe stack cifrate, prima di decifrarle singolarmente. Copia inoltre l'eseguibile legittimo e la DLL Claimloader in una nuova directory prima di tentare di stabilire la persistenza tramite il registro o compiti programmati, rendendolo di fatto un installatore oltre che un loader.

Al momento dell'esecuzione, il malware inizia creando un mutex hardcoded per garantire che sia in esecuzione una sola istanza di Claimloader. Successivamente, verifica la presenza di un argomento specifico della riga di comando, che non è presente nella prima esecuzione. In tal caso, Claimloader copierà sia l'EXE che la DLL in una nuova directory discreta, spesso in "C:\ProgramData\", imitando una directory software come:

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

Questo comportamento è utilizzato dalla maggior parte degli esempi più recenti di Claimloader e può anche portare a esecuzioni sandbox non riuscite. 

Successivamente, il malware stabilisce la persistenza al momento dell'accesso, memorizzando il percorso dell'EXE con l'argomento corretto della riga di comando in una nuova chiave di registro, sempre con un nome software non intrusivo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Claimloader utilizza anche un meccanismo secondario di persistenza creando il seguente processo per creare un compito programmato, che eseguirà il loader ogni 5 minuti:

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

Si noti che le tecniche esatte possono essere diverse; un campione, ad esempio, ha utilizzato invece gli oggetti COM per pianificare l'attività collegandosi all'interfaccia ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce). 

Gli algoritmi di decrittazione di Claimloader sono variati nei campioni tra DES (ultima versione), almeno due implementazioni di routine di decrittazione basate su AES e XOR che utilizzano un seed hardcoded per generare un flusso di chiavi tramite la funzione _srand( ):

Decrittazione Claimloader AES 128 ECB
Fig. 2: Decrittazione ECB di Claimloader AES 128 (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
Claimloader che utilizza un checksum e seeded _srand() per generare un flusso di chiavi durante la decrittazione
Fig. 3: Claimloader che utilizza un checksum e un seeded _srand () per generare un flusso di chiavi durante la decrittazione (8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

Per eseguire i payload dopo la decrittazione, la maggior parte delle varianti di Claimloader utilizza API con funzioni di callback, ma esistono anche varianti che creano un nuovo thread o chiamano direttamente il payload come funzione.

Di seguito è riportata una tabella con diversi esempi di Claimloader e le relative tecniche:

Esempio SHA256

Nome DLL

Persistenza

 Decrittazione

 Tecnica di esecuzione

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

Registry and scheduled
task "Amind
PDF"

 _srand() keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

Registro e attività programmata
tramite COM
"Aggiornamento Fhbemb"

 AES

Chiamata diretta

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

Nulla

 AES, con payload memorizzato in stringhe di stack

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

Registro e attività pianificata "jxbrowser-chromiumim"

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

Registro e attività pianificata "jxbrowser-chromiumim"

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

Registro e compito programmato "Wargaming
Gruppo"

 _srand() keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

Registro e attività pianificata "NVIDIA_
GPU_core"

 DES

EnumFontsW

Diversi esempi recenti hanno aggiunto il supporto per visualizzare un PDF esca durante la prima esecuzione di Claimloader.

Claimloader che apre un PDF esca durante l'esecuzione e rimuove gli attributi del file
Fig. 4: Claimloader che apre un PDF esca durante l'esecuzione e rimuove gli attributi del file

Dopo aver aperto il file PDF per l'utente, Claimloader rimuove gli attributi "System" e "Hidden" per rendere il PDF permanentemente visibile all'utente nella cartella aperta. 

L'ultima variante di Claimloader al momento della pubblicazione utilizza nomi di API e DLL offuscati, che sono criptati XOR con 0x99. Durante l'esecuzione, il loader decripta le stringhe e chiama LdrLoadDll e LdrGetProcedureAddress per risolvere i puntatori di funzione delle API necessarie.

Claimloader che risolve nomi API cifrati XOR
Fig. 5: Claimloader che risolve nomi API cifrati con XOR

Toneshell 

Entrambe le DLL Claimloader associate alle esche del Mar Cinese Meridionale caricano la stessa backdoor Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) come shellcode, che è allo stesso tempo un PE valido. 

Lo shellcode del caricatore nell'intestazione DoS (Denial-of-Service) della backdoor Toneshell
Fig. 6: Shellcode del loader nell'intestazione DoS (Denial-of-Service) della backdoor Toneshell

L'intestazione DoS (Denial-of-Service) è stata modificata per includere un piccolo stub per chiamare un'altra funzione a 0x4200 offset, fornendo al contempo l'indirizzo base del PE come argomento. Questa funzione di loader continua a caricare manualmente il PE, risolvendo le importazioni necessarie e mappando le sezioni nella memoria. Questa tecnica consente agli sviluppatori di malware di convertire un PE valido in shellcode dopo la compilazione. 

La famiglia Toneshell comprende un vasto arsenale di diverse varianti e si è evoluta notevolmente nel tempo. Sebbene condivida forti sovrapposizioni di codice con la backdoor Pubload, viene monitorata separatamente da X-Force. Le varianti possono differire nei meccanismi C2, nei protocolli C2 personalizzati, nei comandi supportati e negli hash API. X-Force raggruppa anche più versioni di un framework di worm USB chiamato "Tonedisk" nella famiglia Toneshell. 

La backdoor Toneshell della campagna di cui sopra è una variante relativamente semplice ed è progettata per stabilire una reverse shell attraverso il suo server C2. 

Inizia risolvendo le sue API e creando un nuovo GUID tramite CoCreateGuid. I 16 byte risultanti vengono utilizzati come identificatore univoco della vittima e vengono scritti in un nuovo file:

c:\\users\\public\\description.ini

Successivamente, crea un nuovo evento "Fool87012900137", che usa come mutex per assicurarsi di essere l'unica istanza in esecuzione. Toneshell inizializza la sua struct principale con l'indirizzo del server C2 (45[.]136[.]254[.]193:443), il GUID e il nome del computer della vittima, oltre ad altri valori di configurazione. Inizia inoltre un'implementazione del "rand" PRNG di Microsoft.

Per ogni beacon che interroga il server C2 per i comandi, Toneshell genera la successiva chiave da 256 byte dal PRNG, che viene utilizzata per crittografare la comunicazione C2, il GUID e il nome del computer.

Funzione Toneshell per generare la chiave C2 e crittografare il GUID e il nome del computer
Fig. 7: Funzione Toneshell per generare la chiave C2 e crittografare il GUID e il nome del computer

I beacon TCP contengono i seguenti valori formattati con un'intestazione che imita un pacchetto TLS Application Data (17 03 03):

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshell si aspetta una risposta simile dal server:

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Dopo aver decrittografato la risposta, il primo byte viene analizzato come valore di comando, il secondo byte viene utilizzato come identificatore per le pipe create e il resto come payload del comando.

Prima di gestire il comando, Toneshell crea un nuovo thread che invia beacon di risposta simili a quelli del battito cardiaco ogni 30 secondi. Ogni beacon deve anche inviare il byte più basso corretto dei successivi 4 byte generati dal flusso di chiave PRNG inizializzato per verificare l'integrità della comunicazione con il server C2. Questi beacon sono formattati come segue:

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

Questa versione di Toneshell supporta i seguenti codici di comando C2:

Codice

Descrizione

1

Attendi - continuerà ad attendere i comandi con un payload non vuoto.

2

Crea un nuovo file (elimina se esiste già)

3

Scrivi dati nel file

4

Scrivi i dati nel file e conferma tramite il beacon di risposta

5

Crea shell inversa tramite pipe

6

Scrivi il comando shell nella pipe

7

Termina la shell inversa

Per creare una shell inversa, Toneshell imposta due pipe anonime e crea un nuovo processo cmd.exe utilizzando le pipe per scrivere dati su stdin e leggere dati da stdout e stderr. 

Toneshell che utilizza pipe anonime per creare una shell inversa
Fig. 8: Toneshell che utilizza pipe anonime per creare una shell inversa

Aggiungendo gli handle ai pipe nella struttura STARTUPINFO del nuovo processo, Toneshell può eseguire comandi arbitrari semplicemente scrivendo nel pipe. In un nuovo thread, Toneshell cerca nuovi output utilizzando PeekNamedPipe ogni 100 ms. Qualsiasi nuovo dato viene letto dalla pipe e ritrasmesso al server C2.

Attività all'inizio del 2025

A febbraio 2025, X-Force ha osservato una campagna Hive0154 che forniva la backdoor Pubload tramite varianti simili di Claimloader descritte sopra. I quattro campioni qui sotto condividono lo stesso server C2 218[.]255[.]96[.]245:443

Nome esca

Paese mittente

Nome DLL di Claimloader

Claimloader Mutex

DLL SHA256

Data

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 Pakistan

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 12 febbraio 2025

Sconosciuto

 Hong Kong

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 11 marzo 2025

(The_
Military_
Balance_
2025)-Page-
A.zip

 Filippine

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 20 marzo 2025

NSC_
Meeting
_Minutes_
Apr2025.lnk

 Stati Uniti

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 17 aprile 2025

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 Filippine

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 29 aprile 2025

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 Sconosciuto (probabilmente Taiwan)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 7 maggio 2025

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 Taiwan

 helper_
core.dll

 

 Sconosciuto

Sconosciuto

 8 maggio 2025

Invitation letter
for the
com
Workshop
- AMB.exe

 Sconosciuto

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 9 maggio 2025

Nel caso del file LNK sopra, viene eseguito l'eseguibile legittimo rinominato per iniziare il sideloading DLL di Claimloader:

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

Uno dei file ZIP trasformati in arma conteneva un eseguibile legittimo rinominato in "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe". L'esca è probabilmente un riferimento all'Esercito di Liberazione Baloch (BLA), un gruppo separatista militante, e ad altri gruppi militanti associati che chiedono la creazione di una nuova nazione chiamata Balochistan.  L'uso di tali nomi nell'esca è probabilmente uno sforzo dell'attaccante per spingere i destinatari interessati a fare clic sull'allegato.

Un altro file, "NSC_Meeting_Minutes_Apr2025.lnk", può riferirsi a una riunione del Consiglio di sicurezza nazionale degli Stati Uniti e a presunti appunti presi, che potrebbe interessare persone del governo degli Stati Uniti o altre persone coinvolte nell'intelligence, nel mondo accademico o nel giornalismo che riguardano gli affari governativi degli Stati Uniti. Come per l'esca 'BLA' che potrebbe prendere di mira funzionari pakistani, questa esca potrebbe essere rivolta a un destinatario statunitense con un nome di file prigioniero per invogliare i destinatari a fare clic sull'allegato.

Un nome di file, "Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe", può riferirsi a un prossimo vertice dell'Associazione delle Nazioni del Sud-Est asiatico (ASEAN) il 26 e 27 maggio 2025, in Malesia.

Il nome del file, "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe", potrebbe riferirsi alla fattura di pagamento della centrale elettrica Fongde di Taiwan risalente ad aprile/maggio 2015.

L'ultimo file, "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe", potrebbe riferirsi a un presunto accordo di non divulgazione tra due aziende aerospaziali taiwanesi in relazione ai veicoli aerei senza pilota (UAV) e alla manutenzione degli aeromobili.

Pubload

Pubload è una backdoor descritta per la prima volta da Cisco Talos nel 2022 come stager senza nome. Si noti che X-Force identifica il loader per lo shellcode come Claimloader e il downloader di shellcode di primo stadio come Pubload, mentre la segnalazione di TrendMicro identifica entrambi come Pubload. Claimloader è stato utilizzato per caricare sia Pubload che Toneshell. Il Team T5 traccia Pubload e Pubshell come NoFive.

Il payload shellcode di Pubload inizia decifrando tramite XOR il resto dello shellcode utilizzando una chiave XOR a 32 byte:

Routine di autodecrittazione del shellcode Pubload
Fig. 9: Routine di auto-decrittazione del shellcode Pubload

Questa routine di autodecrittazione è stata aggiunta solo a partire dal secondo dei quattro esempi di Claimloader sopra riportati. Dopo la decrittazione, procede a risolvere tutte le API necessarie, offuscate tramite l'algoritmo ROR13. Successivamente, alloca nuova memoria e imposta la struttura principale con un indirizzo server C2 e una chiave di crittografia, prima di avviare il comportamento principale.

Il ciclo principale di Pubload inizia enumerando i seguenti valori:

  • Il numero di serie del volume del disco dell'unità C, tramite GetVolumeInformationA. Offuscato aggiungendo 0x12345678, utilizzato come ID della vittima
  • Il conteggio dei tick della macchina tramite GetTickCount
  • Il nome del computer della vittima tramite GetComputerNameA
  • Nome utente della vittima tramite GetUserNameA

Questi valori sono formattati come il primo payload del beacon:

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

Il payload viene criptato usando la chiave codificata in quattro cicli XOR consecutivi con diversi spostamenti di chiave:

Cicli di crittografia XOR consecutivi Pubload
Fig. 10: Cicli di crittografia XOR consecutivi Pubload

Analogamente a Toneshell, il payload crittografato viene inserito in un falso pacchetto di dati applicativi TLS:

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

Il pacchetto TCP viene inviato al server C2 codificato a

218[.]255[.]96[.]245:443

In cambio, Pubload si aspetta una risposta analizzata come

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

Dopo la decodifica riuscita del payload, il primo byte dovrebbe essere 0x06, mentre il resto dei dati viene analizzato come struttura sottostante per decodificare in XOR il payload dello shellcode ricevuto:

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

Infine, Pubload aggiunge la necessaria opzione di protezione della memoria PAGE_EXECUTE_READWRITE ed esegue lo shellcode, fornendo come argomenti le informazioni di sistema enumerate e il server C2. 

Seconda fase di Pubload: Pubshell

Il payload shellcode (Pubshell) scaricato immediatamente da Pubload mostra diverse somiglianze con la variante Toneshell discussa sopra e ha la stessa funzionalità: creare uno shell inverso attraverso le pipe.

Inizia con la consueta procedura di configurazione, risolvendo le API, allocando la memoria e inizializzando la struttura principale e la stessa chiave del campione Pubload padre. 

Il primo beacon è simile a quello di Pubload, tranne per il primo byte del payload (codice beacon), che è 0x0B.

Funzione Pubload/Pubshell per costruire un beacon
Fig. 11: Funzione Pubload/Pubshell per costruire un beacon

Anche in questo caso, il primo byte della risposta decrittata serve da codice di comando per determinare il comportamento di Pubshell:

Codice di comando

Descrizione

1

Reimposta l'ID della vittima sul numero di serie offuscato iniziale

3

Imposta un nuovo ID vittima

4

Imposta la frequenza del beacon in secondi (il valore iniziale è 10s)

5

Arresta il beacon

26

Elimina file

27

Crea nuovo file

29

Scrivi i dati in un file appena creato

30

Crea shell inversa tramite pipe

31

Scrivi un nuovo comando nella pipe

32

Termina la shell inversa e chiudi tutti gli handle e i processi associati

48

Leggi il risultato del comando (stdin, stderr) dalla pipe

Proprio come Toneshell, Pubshell invia diversi codici di risposta al server C2, a seconda del risultato di un comando. Ad esempio, sia i comandi per creare un nuovo file (27) che per scrivere su quel file (29) restituiranno il codice 42 in caso di successo e 43 in caso di fallimento. Inoltre, Pubshell include anche stringhe di messaggi di errore più dettagliate, come ad esempio:

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

Stringhe simili sono state osservate anche in altre varianti di Toneshell.

L'implementazione Pubshell del reverse shell tramite pipe anonimi è quasi identica a Toneshell. Tuttavia, invece di eseguire un nuovo thread per restituire immediatamente i risultati, Pubshell richiede un comando aggiuntivo per restituire i risultati del comando. Inoltre supporta solo l'esecuzione di "cmd.exe" come una shell.

Per diversi aspetti, Pubload e Pubshell sembrano essere una "versione lite" si Toneshell sviluppata indipendentemente, con meno sofisticazione e chiare sovrapposizioni di codice.

Taiwan è sotto attacco con il worm USB HIUPAN

Nel dicembre 2024, X-Force ha osservato un'ulteriore attività di Hive0154 rivolta a Taiwan con la backdoor Pubload. A marzo, X-Force ha collaborato con una grande azienda manifatturiera per indagare su un'infezione da Pubload a Taiwan. Durante l'incidente, attori delle minacce hanno utilizzato il worm USB HIUPAN per diffondere Claimloader e Pubload tramite dispositivi USB. Il worm viene probabilmente utilizzato come payload successivo nelle infezioni iniziali di Pubload per aumentarne il numero e potenzialmente raggiungere reti che potrebbero essere sottoposte a isolamento fisico. La relazione tra entrambe le varianti di malware era stata documentata in precedenza da Trend Micro

HIUPAN (noto anche come U2DiskWatch) è un worm USB, la cui DLL principale "u2ec.dll" viene trasferita tramite un EXE legittimo "UsbConfig.exe" quando un utente lo esegue involontariamente da un dispositivo USB. Il worm svolge le seguenti attività:

  • Copia se stesso e i componenti malware che lo accompagnano in una directory sul computer della vittima: C:\ProgramData\Intel\_\
  • Stabilisce la persistenza tramite la chiave di registro HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Run
  • Modifica le chiavi di registro per garantire che file e estensioni nascoste non siano visibili in Windows Explorer: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Esegue l'eseguibile principale del malware e monitora il processo per riavviarlo se necessario
  • Monitora la presenza di nuove connessioni di dispositivi USB. Se individuato, HIUPAN copia se stesso e i componenti malware associati sulla nuova unità in una sottodirectory nascosta "<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\" e nasconde tutti gli altri file esistenti per garantire che "UsbConfig.exe" sia l’unico file visibile sul dispositivo

HIUPAN utilizza un file di configurazione "$.ini" per memorizzare un moltiplicatore di sospensione e i nomi dei file dei suoi componenti e del malware associato. Questa modalità di azione rende estremamente semplice configurare il worm per diffondere qualsiasi malware semplicemente scambiando i file di payload e la configurazione basata su testo.

Di seguito è riportato il file di configurazione osservato nelle infezioni con sede a Taiwan che diffondono Claimloader e Pubload:

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

Codice di comando

Descrizione

1

Reimposta l'ID della vittima sul numero di serie offuscato iniziale

3

Imposta un nuovo ID vittima

4

Imposta la frequenza del beacon in secondi (il valore iniziale è 10s)

5

Arresta il beacon

26

Elimina file

27

Crea nuovo file

29

Scrivi i dati in un file appena creato

30

Crea shell inversa tramite pipe

31

Scrivi un nuovo comando nella pipe

32

Termina la shell inversa e chiudi tutti gli handle e i processi associati

48

Leggi il risultato del comando (stdin, stderr) dalla pipe

HIUPAN non è l'unico worm USB utilizzato da Hive0154. Diversi altri framework e varianti che distribuiscono malware, come Toneshell e Pubshell, sono ancora in fase di diffusione attiva e vengono regolarmente caricati su VirusTotal.

Conclusione

L'ampia portata operativa di Hive0154 trattata in questo blog diventa evidente attraverso l'utilizzo di strumenti diversi, tecniche innovative e una vasta gamma di potenziali vittime. I gruppi allineati alla Cina come Hive0154 continueranno a perfezionare il loro vasto arsenale di malware e a concentrarsi sulle organizzazioni con sede in Asia orientale nel settore privato e pubblico. L'ampia gamma di strumenti, i frequenti cicli di sviluppo e la distribuzione di malware basati su worm USB li rendono un attore delle minacce sofisticato. Le entità a rischio di attività di Hive0154 devono mantenere un elevato livello di sicurezza difensiva e rimanere vigili sulle tecniche menzionate in questo report.

Raccomandazioni

  • Monitora e cerca nelle reti i pacchetti di dati di applicazione TLS 1.2 (intestazione: 17 03 03) senza un precedente handshake TLS come segno di un beacon Pubload o Toneshell
  • Monitora e cerca nelle reti pacchetti di dati di applicazione TLS 1.3 falsi (intestazione: 17 03 04), utilizzati da alcune varianti di Toneshell. I pacchetti TLS 1.3 autentici vengono inviati con intestazione TLS 1.2 legacy per compatibilità retroattiva, con proxy che accettano solo alcune versioni TLS.
  • Monitora e cerca unità USB contenenti nomi eseguibili sospetti, DLL e directory nascoste che potrebbero indicare un dispositivo infetto da un worm USB
  • Monitora e cerca directory sospette e sconosciute in C:\ProgramData\ che contengono un EXE legittimo vulnerabile al caricamento laterale di una DLL e una DLL corrispondente
  • Monitora e cerca le tecniche di persistenza, come la chiave Esegui del registro di sistema e le attività pianificate
  • Monitora qualsiasi attività insolita di rete, persistenza o modifica di file proveniente da processi eseguibili apparentemente innocui che caricano lateralmente una DLL dannosa

Indicatori di compromesso

Indicatore

Tipo di indicatore

Contesto

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Archivio armato Hive0154

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Archivio armato Hive0154

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Archivio armato Hive0154

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

SFX armato Hive0154

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Archivio armato Hive0154

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Archivio armato Hive0154

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Archivio armato Hive0154

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Archivio armato Hive0154

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Archivio armato Hive0154

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Archivio armato Hive0154

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Archivio armato Hive0154

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Archivio armato Hive0154

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Archivio armato Hive0154

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Archivio armato Hive0154

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Archivio armato Hive0154

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Archivio armato Hive0154

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Archivio armato Hive0154

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Archivio armato Hive0154

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Archivio armato Hive0154

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Archivio armato Hive0154

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Archivio armato Hive0154

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Archivio armato Hive0154

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Archivio armato Hive0154

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Archivio armato Hive0154

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Archivio armato Hive0154

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Archivio armato Hive0154

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Esempio iniziale di Claimloader

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

DLL Claimloader

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

DLL Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL Claimloader

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

DLL Claimloader

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

DLL Claimloader

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

DLL Claimloader

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

DLL Claimloader

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

DLL Claimloader

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

DLL Claimloader

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

DLL Claimloader

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

DLL Claimloader

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

DLL Claimloader

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

DLL Claimloader

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

DLL Claimloader

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

DLL Claimloader

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

Backdoor di Toneshell

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Backdoor di Toneshell

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

Backdoor di Toneshell

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Backdoor di Pubload

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Backdoor di Pubload

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Backdoor di Pubshell

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

Worm USB HIUPAN

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

Worm USB HIUPAN

45[.]136[.]254[.]193:443

Indirizzo IP, porta

Server Toneshell C2

45[.]144[.]165[.]66

Indirizzo IP, porta

Server Toneshell C2

218[.]255[.]96[.]245:443

Indirizzo IP, porta

Server Pubload C2

103[.]27[.]202[.]132

Indirizzo IP, porta

Server Toneshell C2

45[.]12[.]91[.]223:443

Indirizzo IP, porta

Server Pubload C2

IBM® X-Force Premier Threat Intelligence è ora integrato con OpenCTI, offrendo informazioni fruibili sulle minacce e molto altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa l'OpenCTI Connector per migliorare rilevamento e risposta, rafforzando la tua cybersecurity grazie all'esperienza di IBM X-Force. Rimani al passo con i tempi: esegui subito l'integrazione!

Mixture of Experts | 12 dicembre, episodio 85

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda tutti gli episodi di Mixture of Experts
Soluzioni correlate
Servizi di gestione delle minacce

Prevedi, previeni e reagisci alle minacce moderne aumentando la resilienza aziendale.

 

 Esplora i servizi di gestione delle minacce
Soluzioni di rilevamento e risposta alle minacce

Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

 Esplora le soluzioni di rilevamento delle minacce
Soluzioni di difesa dalle minacce ai dispositivi mobili (Mobile threat defense, MTD)

Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.

 Esplora le soluzioni di difesa dalle minacce ai dispositivi mobili
Fai il passo successivo

Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.

 Esplora i servizi di gestione delle minacce Prenota un briefing sulle minacce