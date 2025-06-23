2025年6月、IBM X-Force® の研究者は、中国に同調した脅威アクターであるHive0154が、Publoadマルウェアを仕込んだルアー・ドキュメントを拡散させており、そのファイル名がチベット人コミュニティを標的にしていることを発見しました。チベットの主権をめぐる争いは、しばしば中国の脅威グループがサイバー活動の中で関与しており、最新のキャンペーンはチベット人コミュニティにとって 大きな出来事であるダライ・ラマの90歳の誕生日に向けての活動と時期を同じくしています。
観察されたいくつかのルアーには、ティベット人コミュニティに関連する次のトピックが仕込まれています。
Hive0154は、大規模なマルウェア武器と一貫した手法を備えた中国に同調する脅威アクターであり、過去数年間にわたりその活動が多く記録されています。このグループは複数のサブクラスターで構成され、シンク・タンク、政策グループ、官公庁・自治体、個人など、公的組織および民間組織を標的としたサイバー攻撃を行っています。このグループによる複数のカスタム・マルウェア・ローダー、バックドア、USBワーム・ファミリーの使用をX-Force® が確認したことは、彼らの高度な能力を示しています。Hive0154の活動は、Mustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、Earth Pretaとして公に報告されている脅威アクターと重複しています。
X-Force® は、Hive0154のサブクラスタが2024年後半から2025年前半にかけて米国、フィリピン、パキスタン、台湾を標的にした、スパイ活動の疑いがある大規模な活動を、以前。詳細に記録しています。このグループは、スピア・フィッシングEメールが基になった武器化されたアーカイブを利用して、フィリピン、合衆国、パキスタンの官公庁・自治体、軍、外交官などのエンティティーを標的にします。フィッシング・Eメールやアーカイブ、悪意のあるファイル名では、オーディエンスの関心を高めるために、特定の層に合わせてさまざまな地政学的トピックに言及しています。Eメールには通常、受信者がリンクをクリックすると武器化されたZIPやRARアーカイブをダウンロードするGoogleドライブURLが含まれています。
アーカイブには、DLL サイドロードと悪意のある Claimloader DLL に対して脆弱な無害の実行可能ファイルが含まれています。この実行可能ファイルは通常、被害者を騙して開いてもらうために名前が変更され、すぐに感染の連鎖が引き起こされます。Claimloaderマルウェアは永続性を確立し、埋め込まれたPubloadペイロードを復号化してメモリに注入します。Pubload はさらに、リバースシェルを介してマシンにすぐにアクセスできるようにする軽量バックドアである Pubshell をダウンロードします。
キャンペーンが始まった当初（5月21日）、下のWPCTのルアーは、6月2日から6月4日まで東京で開催されるコンベンションのことを指していたと思われます。
ルアー名
送信者の国または地域
Claimloader DLL SHA256
日付
(WPCT)-ICT&CTA_Conference
インド
2bd60685299c62ab
2025年5月21日
通常、米国やヨーロッパで開催されるこのコンベンションは初めて日本で開催されました。全体として、ベルギーや日本の国会議員を含む 29か国から142名の議員と代表 が出席しました。駐日中国大使館は、チベット亡命政府としても知られる中央チベット行政府のコンベンションへの関与を強く非難しました。このコンベンションの結果、東京宣言が発表され、チベット地域における中国政府の弾圧を非難し、チベットの文化的・宗教的自由を守るための国際的な法整備を求めました。X-Forceの研究者は、コンベンション前後で異なるルアーを仕掛けるHive0154キャンペーンを明らかにしました。
大会後、チベットに関する賢明な行動計画など、いくつかの宣言が発表された。Hive0154はそれをWebサイトから、武器化されたアーカイブ内の無害なMicrosoft Word文書（DOCX）にコピーした可能性があります。アーカイブにはさらに、大会に関連する複数のチベットのウェブサイトから直接コピーした記事（ここと ここ）と、大会の本物の写真が含まれています。武器化された実行ファイルの中に同じ名前を共有する正当な記事や写真が含まれていると、被害者を騙して誤ってEXEファイルの1つを開かせ、知らないうちに感染を引き起こす可能性があります。
「Tibet.exeに関する第9回WPCT地域別行動計画」
「Tokyo.exe に世界の議員が集結、チベットに注目が集まる」
ルアーとして使用されたコンベンションの写真:「第 9 回 WPCT チベット地域別行動計画(DSC01650.jpg).exe」
別のキャンペーンでは、X-ForceはTibetをテーマにした悪意のあるファイルをさらに発見しました。これらのファイルには、チベットのバイリンガル教育プログラム やダライ・ラマの 最近出版された書籍 のタイトルなど、チベットコミュニティが関心を持つテーマの名前が付けられています。このようなトピックの選択は、おそらく受信者が安心して受け入れてファイルをクリックするように誘導するためだと考えられます。注目すべきは、チベット関連のサンプルが現在の亡命チベット行政府が活動しているインドから送信されたことであり、これはファイルの受取人がVirusTotalに送信した可能性を示唆しています。並行して行われたキャンペーンでX-Forceは、米海軍を標的にしたとみられるファイルを発見しました。このファイルには、米海軍と他の関係者の間で進行中のワーキンググループ会議について議論している内容が含まれている可能性があります。
ルアー名
送信者の国または地域
Claimloader DLL SHA256
日付
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
アメリカ合衆国
c80dfc678570bde7c
2025年4月17日
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(チベット語訳：バイリンガル教育改革プログラム報告書／バイリンガル教育改革レポート.exe)
インド
93f1fd31e197a58b03c
2025 年 5 月 26 日
Voice for the Voiceless 写真／Voice for the Voiceless 写真.exe
インド
3e7384c5e7c5764258
2025年5月28日
(USPACFLT) Working_Group_
アメリカ合衆国
8cd4324e1e764aafba
2025年6月9日
“སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe” (チベット語訳：バイリンガル教育改革プログラム報告書／バイリンガル教育改革レポート.exe）：このテーマはチベット人コミュニティにとって非常に重要であり、チベットにおける文化的同化はヒューマン・ライツ・ウォッチの報告書でも指摘されています。
「Voice for the Voicelessphots/Voice for the Voiceless 写真.exe」：これは、チベット亡命指導者ダライ・ラマ氏が2025年3月に出版した本に言及したものです。彼は、ティベトの独立に関する中国の指導者との対話について書いています。
「DRC Mining、戦略的鉱物開発政策/4月17日/DRC Mining, 戦略的鉱物開発政策.exe」：このファイルは、コンゴ民主共和国（DRC）が米国と結んだ鉱物採掘協定、およびウクライナが米国と同様の協定を結んだのを受けて、そのような協定への支持を得ようとする取り組みについて言及している可能性があります。2025年6月現在、DRCは、隣国ルワンダの支援を受けているM23反乱軍に対する軍事的・外交的支援と引き換えに、米国との協定を締結しようとしています。
“(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe”これは、米海軍の太平洋艦隊と、同艦隊の環太平洋諸国または地域への支援活動を指しているのかもしれない。同艦隊は米インド太平洋軍に海軍力を提供しており、台湾で紛争が発生した場合には招集される可能性があります。
Claimloaderは、過去数年で大幅に進化したローダー・ファミリーです。これらには、暗号化されたシェルコード・ペイロードが含まれており、実行時に復号化されて注入されます。以前のブログでは、Hive0154で使用されていた以前の亜種についての技術的な詳細を説明しています。
最初の実行時に、Claimloaderは最初に新しいミューテックス・オブジェクトを作成し、Claimloaderのインスタンスが1つだけ実行されていることを確認します。その後、自身とDLLサイドローディングに使われるプロセスのEXEを新しいディレクトリに移します。例えば以下のような名前で移動させます。
次に、ClaimloaderはAPI SHSetValueA()を使用して、以下のレジストリー・キーを通じてEXEの永続性を確立します。
これにより、現在のユーザーがマシンにログオンするたびにEXEが実行されます。このプロセスは、「Licensing」などの事前定義された引数を使用して実行され、Claimloaderの主な機能を呼び出すために使用されます。
指定された引数を使用したClaimloaderの2回目の実行時に、最新のClaimloaderの亜種は、TripleDESアルゴリズムを介して埋め込みペイロードの復号化を開始します。このアルゴリズムは、2025年4月下旬以降のClaimloaderの亜種でのみ観察されています。更新された亜種はまた、XOR暗号化されたAPI名とネイティブAPIのLdrLoadDll() とLdrGetProcedureAddress()を使用して、インポートを動的に解決します。
5秒間スリープ状態になった後、Claimloaderはメモリーに新しい実行可能なバッファーを割り当て、シェルコードのペイロードをその中にコピーします。マルウェアはさらに 10 秒間スリープ状態になり、API の getDC () と EnumFontsw () を呼び出します。これらを使用して、エントリポイントをコールバック関数として渡すことで、メモリ内のペイロードを実行します。
Pubload シェルコードのペイロードは、前回の報告以降更新されていません。これには、主要な機能を実行する前に、単純な自己復号化を行うルーチンが含まれています。Pubload は、暗号化されたシェルコード・ペイロードをダウンロードしてメモリに注入できるシンプルなバックドアです。最初のペイロードの1つは、感染したマシンへの即時アクセスを容易にするリバース・シェルを実装するPubcellモジュールです。
Hive0154は、複数のアクティブなサブクラスターと頻繁な開発サイクルを備え、高度な能力を持つ脅威アクターであり続けています。X-Forceは、Hive0154のような中国と連携したグループが大規模なマルウェア兵器を改良し続け、世界中の公共組織や民間組織を標的にしていくだろうと強い確信をもって評価しています。Hive0154の感染リスクにさらされている組織は、引き続き高度な防御セキュリティ体制を維持し、本報告書に記載されている手法に関して警戒を怠らないようにする必要があります。
分類
インジケータータイプ
コンテキスト
2bd60685299c62abe500fe80e
SHA256
Claimloader DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader DLL
7979686bf73c2988ab5d57f9605
SHA256
武器化されたアーカイブ
ea991719885b2fe91502218ff3be1
SHA256
武器化されたアーカイブ
6e408aada775eaf19c524792344c
SHA256
武器化されたアーカイブ
57770ede7015734e2d881430423b
SHA256
武器化されたアーカイブ
fb33f222b3d4d5edc9b743e6428
SHA256
武器化されたアーカイブ
218.255.96[.]245:443
ipv4
Pubload C2サーバー
