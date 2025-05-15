タグ
セキュリティー

Hive0154がスパイ活動の疑い、米国、フィリピン、パキスタン、台湾を標的に

宇宙から見た地球と、地球上のスポットを結ぶデジタルライン

共同執筆者

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

2025年5月現在、 IBM X-Forceは、武器化された ZIP アーカイブを使用して Pubload および Toneshell のバックドアを配布するスパイ活動の疑いについて追跡しています。X-Forceは、2024年後半に始まった可能性が高いこのキャンペーンは中国と連携した脅威アクター Hive0154 によるものであると考えており、その活動はMustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、Earth Pretaとして追跡されているグループと重複しています。アーカイブには、フィリピン、米国、パキスタンの官公庁・自治体、軍事、外交担当者を誘惑するために設計されたと思われる、政治的なテーマのルアーが含まれています。Hive0154サブクラスターは、過去に同様の戦術を使用したことがあります。具体的には、Claimloaderマルウェアを使用して永続的なバックドアをインストールし、被害者の環境への直接アクセスを可能にして、官公庁・自治体の緊急の決定についての高度な洞察を得ました。X-Forceはまた、このグループが台湾でPubloadを拡散させるためにUSBワームを使用し、エアギャップになっていた可能性のあるネットワークに到達した可能性があることも観察しています。

主な調査結果

  • Hive0154は中国と連携した定評ある脅威アクターで、大規模なマルウェア兵器と一貫した技術を備え、過去数年間にわたって十分に立証された活動を展開してきました。
  • X-Forceはマルウェアの兵器庫の中から、特定のオーディエンスをターゲットにするように設計された多数のツールを発見しました。これは、フィリピン、米国、パキスタンの官公庁・自治体、軍人、外交関係者をターゲットにしている可能性があります。
  • こうしたX-Forceの発見は、次の通り、Hive0154がオーディエンスを区別するために地政学的な話題を使用していることを示唆しています。 1. フィリピンについては、南中国海の緊張を利用。 2. パキスタンについては、バロチスタンの分離主義者の活動を利用。 3. 米国については、偽装された国家安全保障会議の会議メモを使用。
  • これらのカスタマイズされた攻撃は、Hive0154が、米国政府と中国の近隣の国または地域の潜在的な戦略と意図についてインテリジェンスを獲得しようとしている可能性があることを示唆しています
  • Hive0154のサブクラスターの1つは、進化するClaimloaderの亜種を一貫して使用して、ヨーロッパ、アジア太平洋地域、米国の組織を標的に、関連するPubloadとTonellのバックドアをデプロイしています。
  • X-Forceは台湾での最近の活動を調査しました。台湾では、HIUPan USBワームが、Publoadのバックドアを大手製造企業に拡散するために使用されました。Hive0154はまた、請求書や法的文書に関連するファイル名を、2025年5月に台湾を狙うためのルアーとして使用しています。

Hive0154の概要

少なくとも2022年以来、Hive0154はとりわけToneshellマルウェアのファミリーを使用して、世界規模のサイバー活動を行ってきました。PubloadやPubshell（別名NoFive）といったToneshell関連のマルウェアは、このグループがオペレーションの一環として別のマルウェアの亜種を維持していることを示唆しています。このグループは複数のサブクラスターで構成され、シンクタンク、政策グループ、政府機関、個人を含む官民の組織を標的としています。X-Forceは、複数の独立したマルウェア・ローダー、バックドアおよびUSBワーム・ファミリーを使用していることや、複数のセキュリティー調査チームが一貫してその活動について報告していることからわかるように、この脅威アクターが有能であると評価しています。

ニュースレターを表示しているスマホの画面

The DX Leaders

「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。

以前の活動

2023年、Palo Alto は、X-Forceが追跡したHive0154サブクラスターの一つが、様々なルアーを使ってPubloadのバックドアを拡散していると報告しました。以下のルアーのいくつかは、CSIRT CTIが2024年1月に報告したミャンマーに対するキャンペーンとも一致しています。以下のルアーは、中国が東南アジアの国または地域とオーストラリアに継続的な関心を寄せていることを示しています。

ルアー名

説明

SHA256

日付

Notification re UEC, (04-25-2023 Day).zip

不明

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

2023年4月

April 27 updated party list.zip

不明

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

2023年4月

Biography of Senator the Hon Don Farrell.zip

このファイル名は、オーストラリア貿易相に関するオーストラリア貿易観光局のウェブサイトに表示されているタイトルを直接コピーしているようです。

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

2023年4月

SACには、総選挙用のいくつかの指導要件があります

不明

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

2023年4月

National Security Priority Programs.zip

不明

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

2023年5月

230605 Ministerial meeting minutes (1).zip

このファイルは、アジア太平洋地域に関する濫用貿易慣行に関して、2023年6月8日にオーストラリア、カナダ、日本、米国、英国、ニュージーランドの大臣がパリで出した宣言に言及している可能性があります。

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

2023年6月

NUG's Foreign Policy Strategy.zip

その文言は、 CSISインドネシアのウェブページに掲載されており、内戦に巻き込まれているミャンマーの状況に関するものです。2024年12月には、中国がミャンマーの軍事政権を支援するため、治安要員の派遣を検討しているようだと報じられています

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

2023年8月

Analysis of the third meeting of NDSC.zip

このファイルは、以前に報告された2024 年初めの Stately Taurusによるミャンマー政府に対するキャンペーンの一部であった可能性があります。2023年10月頃、ミャンマーは反乱軍と政府軍の間の内戦に巻き込まれ、反乱軍が中国との重要な貿易ルートの制御を事実上獲得しました。

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

2023年11月

    

武器化されたZIPファイルには、通常、 SolidPDFCreator.exe （e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fed24c942）など、名前が変更された正規の実行可能ファイルが含まれており、悪意のあるDLLをサイドロードするために使用されます。DLLはClaimloaderファミリーの一部であり、PubloadとToneShellバックドア・ファミリーに関連するペイロードをロードするためにHive0154が長年にわたって使用してきたさまざまなシェルコード・ローダーの亜種で構成されています。

2024年を通じて、さらにHive0154の活動が記録され、その一部はFatzQuatzStrikeReadyLabsのTwitter/Xアカウント、そして Hunt.ioによって報告されました。

ルアー名

説明

SHA256

日付

Meeting Request--30-31-05.zip

不明

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

2024年5月

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

不明

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

2024年5月

Attendee list template (24-6-2024).zip

不明

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

2024年6月

Notice of Final Meeting.zip

不明

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

2024年7月

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

不明

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

2024年7月

Interview with Surachet
Praweewongwut.rar

不明

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

2024年8月

IISS Prague Defence Summit 2024.zip

以前、2024年11月にプラハで開催されたIISS防衛サミットの参加者を標的としたMusang Pandaキャンペーンについて報告されました。

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

2024年8月

NDI-IRI_Election_
Observation_
Mission_Report.zip

このファイル名は、2023年6月に発行されたナイジェリアの選挙に関するNDI-IRI報告書に言及しているようです。この報告は、米国国際開発庁（USAID）の支援を受けて委託、作成されました。

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

2024年8月

Leadership informationlist.zip

不明

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

2024年8月

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

このルアーは、2024年10月に行われたタイとフィリピンの二国間会議に言及している可能性があります。

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
（正規EXE、
対応するDLLは不明）

2024年9月

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

そのおとり文書は、マレーシア国家災害管理局(NADMA、Agensi Pengurusan Bencana Negara)と、同機関の継続的な新型コロナウイルス感染症対応に関するもののようです。

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

2024年10月4日

    

ZIP 内の DLL サイドローディング手法は同じままですが、復号化アルゴリズムの変更に伴い、異なるバージョンの Claimloader DLL が登録されました。その一部キャンペーンでは、ToneShell DLL（0bd114 fefd3c09820fa013d8cd8aadee69906b6f81a2e827bba68ddf1023b）も直接、用していました。

南シナ海をめぐる緊張

X-Forceは2024年後半と2025年初め、同じTTPに従った同じHive0154サブクラスターに起因するいくつかの新しいキャンペーンを観察しました。最新のClaimloaderの亜種では、シェルコード・ペイロードを挿入する前に、インストール・ルーチンの一部としておとりのPDFを開くこともサポートしています。PDF は DLL と同様に、ファイル属性を使用して標準ユーザーには表示されないようにします。

2つのルアーとそれに関連するおとりファイル名は、具体的には中国とフィリピンの間の南中国海における緊張に言及しており、フィリピン政府は、中国軍事による活動の拡大を踏まえ、米国との緊密な軍事協力を求めています。こうした展開により受信者の関心が高まり、添付ファイルを開く傾向が強まる可能性があります。このような受信者には、フィリピンの官公庁・自治体、軍関係者、外交官が含まれる場合があり、ファイル名が示すトピックに関与することが正当と考えられる任務を負う米国の政府および軍事関係者が含まれる場合もあります。

ルアー名

デコイ・ファイル名

関連 DLL SHA256

日付

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

2024年10月4日

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

2024年11月

どちらのルアーも Claimloader DLL をサイドロードします。これにより、以下で詳しく説明するものと同じ Toneshell バックドアがロードされます。

Claimloader

Claimloaderは、ToneShellやPubloadなどのさまざまなシェルコード・ペイロードをロードするために過去にHive0154で使用されていたローダー・ファミリーです。Claimloaderは長年にわたり、さまざまな機能を備えたいくつかの異なるバージョンへと進化してきました。

2021年後半にまとめられた初期のサンプルのひとつが、パロアルトのユニット42 によって発表された。これは、UuidFromStringA APIを介してシェルコードをバッファーにコピーするという興味深い手法を使用しています。さらに、EnumSystemLanguageGroupsAに渡されるコールバック関数としてシェルコードを実行します。

初期のクレームローダーのサンプルコード
図1: 初期のClaimloaderのサンプル (cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

同様の手法が以前にNCCグループによって報告されました

2022年11月、 LACはClaimloaderの亜種を報告しました。これは、前のセクションで詳述した 2023 年から 2024 年にかけての活動とほぼ同じ感染連鎖であり、フィリピンの政府機関織を標的にした可能性があります。この亜種では、ペイロードを暗号化されたスタック文字列の32バイトのブロックとして保管し、それぞれを復号化します。また、レジストリまたはスケジュールされたタスクを介して永続性を確立しようとする前に、正規の実行可能ファイルとClaimloader DLLを新しいディレクトリにコピーするため、事実上、ローダーに加えてインストーラーにもなります。

マルウェアは実行されると、Claimloaderのインスタンスが1つだけ確実に実行されるようにハードコードされたミューテックスをまず作成します。次に、最初の実行時には存在しない特定のコマンドライン引数をチェックします。その場合、ClaimloaderはEXEとDLLの両方を、多くの場合「C:∕ProgramData∕」というソフトウェア・ディレクトリを模した、目立たない新しいディレクトリにコピーします。そのディレクトリとは、以下のようなものです。

  • C:\ProgramData\NVIDIACoporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\pxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

この動作は、最近の Claimloader サンプルのほとんどで使用されており、サンドボックスの実行が失敗する可能性もあります。

次に、マルウェアは、正しいコマンドライン引数を指定して EXE のパスを新しいレジストリキーに保存し、再び目立たないソフトウェア名を付けることで、ログイン時の永続性を確立します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

クレームローダーは、5分ごとにローダーを実行するスケジュールされたタスクを作成する以下のプロセスを作成することで、二次永続化メカニズムも使用します。

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

正確な手法は異なる場合があることに注意してください。たとえば、あるサンプルでは、代わりに COM オブジェクトを使用して ITaskService インターフェイス (8957c8de9032b347ee1a15abbae489788533ac0b1a000a2104812df24fb8ce) に接続してタスクをスケジュールしました。

Claimloaderの復号化アルゴリズムは、DES (最新バージョン)、AESの少なくとも2つの実装と、ハードコーディングされたシードを使用し、_s rand()関数を介してキーストリームを生成するXORベースの復号化ルーチンの間でサンプルが異なります。

Claimloader AES 128 ECB 復号化
図2：Claimloader AES 128 ECB復号化 (a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
チェックサムとシードされた_srand()を使用して復号化中にキーストリームを生成するClaimloader
図3：Claimloaderはチェックサムとシード_srand()を使用して復号化中にキーストリームを生成(8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

復号後にペイロードを実行するために、ほとんどの Claimloaderの亜種はコールバック関数を含む API を使用しますが、新しいスレッドを作成したり、ペイロードを関数として直接呼び出したりする亜種もあります。

以下の表は、さまざまなClaimloaderのサンプルとその手法の表です。

サンプル SHA256

DLL 名

永続性

復号化

実行手法

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll


レジストリとスケジュールされたタスクの「Amind
PDF」

_srand()keystream

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll


COM
"Fhbemb Update" 経由のレジストリとスケジュールされたタスク

AES

ダイレクトコール

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

いいえ

AES（ペイロードはスタック文字列に保管）

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

レジストリおよびスケジュールされたタスク「jxbrowser-chromiumim」

AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

レジストリおよびスケジュールされたタスク「jxbrowser-chromiumim」

AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

レジストリとスケジュールされたタスク「Wargaming
Group」

_srand()keystream

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

レジストリとスケジュールされたタスク「NVIDIA_
GPU_Core」

DES

EnumFontsW

最近のいくつかのサンプルでは、Claimloaderの最初の実行中におとりPDFを表示するサポートが追加されています。

クレームローダーが実行中におとりPDFを開き、そのファイル属性を削除する
図4：Claimloaderが実行中におとりPDFを開き、そのファイル属性を削除する

ユーザーのためにPDFファイルを開いた後、Claimloaderは、"System" 、"Hidden" 、ファイル属性を削除し、開いているフォルダ内でPDFを永久にPユーザーに見えるようにします。

公開時点での最新のClaimloader亜種では、難読化されたAPI名とDLL名が使用されており、これらは0x99でXOR暗号化されています。実行中、ローダーは文字列を復号化し、 LdrLoadDllLdrGetProcedureAddressを呼び出して、必要な API の関数ポインターを解決します。

XOR暗号化されたAPI名を解決するClaimloader
図5：XOR暗号化されたAPI名を解決するClaimloader

Toneshell

南シナ海のルアーに関連付けられた Claimloader DLL は両方とも、シェルコードとして同じ Toneshell バックドア (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) をロードします。これは同時に有効な PE です。

ToneShellバックドアのDOSヘッダー内のローダー・シェルコード
図6：ToneShellバックドアのDOSヘッダーのローダー・シェルコード

DoS ヘッダーは、PE のベース所在地を引数として提供しながら、オフセット 0x4200 で別の関数を呼び出すための小さなスタブを含むように変更されました。このローダー関数は、PEを手動でロードし、必要なインポートを解決し、セクションをメモリにマッピングします。この手法を使用すると、マルウェア開発者は、コンパイル後に有効なPEをシェルコードに変換できます。

Toneshellファミリーにはさまざまな亜種の大規模な武器庫で構成され、時間の経過とともに大幅に進化してきました。このファミリーは、Publoadバックドアとのコードの重複が顕著であるにもかかわらず、X-Forceによって別個に追跡されています。C2 メカニズム、カスタム C2 プロトコル、サポートされるコマンド、API ハッシュは亜種によって異なる場合があります。X-Forceはまた、"Tonedisk" と呼ばれるUSBワーム・フレームワークの複数のバージョンをToneshellファミリーの下にグループ化します。

上記キャンペーンのTonellバックドアは比較的単純な亜種であり、C2サーバーを介してリバース・シェルを確立するように設計されています。

これはまずAPIを解決し、 CoCreateGuidを通じて新しいGUIDを作成します。結果として得られた 16 バイトは、被害者固有の識別子として使用され、新しいファイルに書き込まれます。

c:\\users\\public\\description.ini

次に、新しいイベント「Fool87012900137」を作成し、これをミューテックスとして使用して、それが唯一の実行中のインスタンスになるようにします。Toneshellは、C2サーバー所在地（45[.]136[.]254[.]193:443）、GUID、被害者のコンピューター名、その他の設定値を使用して主構造を初期化します。また、Microsoftの「rand」PRNGの実装も初期化します。

C2サーバーにコマンドを問い合わせるビーコンごとに、ToneshellはPRNGから次の256バイトのキーを生成します。このキーは、C2通信、GUID、およびコンピューター名の暗号化に使用されます。

C2キーを生成し、GUIDとコンピュータ名を暗号化するToneshell関数
図7：C2キーを生成し、GUIDとコンピュータ名を暗号化するToneshell関数

TCPビーコンは、TLSアプリケーションデータパケット(17 03 03)を模したヘッダーでフォーマットされた以下の値を含みます。

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

Toneshellはサーバーから同様の返答を期待します。

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

応答を復号した後、最初のバイトはコマンド値として解析され、2番目のバイトは作成されたパイプの識別子として使用され、残りのバイトはコマンド・ペイロードとして使用されます。

そのコマンドを処理する前に、Toneshell は 30 秒ごとに鼓動のような応答ビーコンを送信する新しいスレッドを作成します。すべてのビーコンは、C2サーバーへの通信の整合性を検証するために、初期化されたPRNGキーストリームによって生成された次の4バイトのうちの正しい最小バイトも送信する必要があります。これらのビーコンは次のようにフォーマットされます。

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

このバージョンのToneShellは、以下のC2コマンド・コードをサポートします。

コード

説明

1

待機 - 空ではないペイロードを持つコマンドの待機を継続します。

2

新しいファイルの作成（すでに存在する場合は削除）

3

ファイルにデータを書き込む

4

データをファイルに書き込み、応答ビーコンで確認

5

パイプ経由のリバース・シェルの作成

6

パイプへのシェル・コマンドの書き込み

7

リバース・シェルの終了

Toneshellはリバース・シェルを作成するために、2つの匿名パイプを設定し、新しいcmd.exeプロセスを作成して、そのパイプを使用してstdinにデータを書き込んでstdoutとstderrからデータを読み取ります。

匿名パイプを使用してリバース・シェルを作成するToneshell
図8：匿名パイプを使用してリバース・シェルを作成するToneshell

パイプへのハンドルを新しいプロセスの STARTUPINFO 構造体に追加することで、Toneshell は、パイプに書き込むだけで任意のコマンドを実行できます。Toneshellは新しいスレッドで、100msごとにPeekNamedPipeを使って新しいアウトプットのパイプを覗きます。新しいデータはパイプから読み取られ、C2サーバーに中継されます。

2025年初頭の活動

2025年2月の時点で、X-Forceは、上記のようなClaimloaderの同様の亜種を通じて Pubload バックドアを提供する Hive0154 キャンペーンを観察しました。以下の4つのサンプルは、同じC2サーバーを共有しています。218[.]255[.]96[.]245:443

ルアー名

送信者の国

Claimloader DLL名

Claimloader Mutex

DLL SHA256

日付

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

パキスタン

SolidPDF
Creator.dll

TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

2025年2月12日

不明

香港

SolidPDF
Creator.dll

MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

2025 年 3 月 11 日

(The_
Military_
Balance_
2025)-Page-
A.zip

フィリピン

chrome_
elf.dll

CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

2025年3月20日

NSC_
Meeting
_Minutes_
Apr2025.lnk

アメリカ合衆国

helper_
core.dll

ゲームボックス
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

2025年4月17日

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

フィリピン

helper_
core.dll

 

GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

2025年4月29日

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

不明 (おそらく台湾)

helper_
core.dll

 

GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

2025年5月7日

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

台湾

helper_
core.dll

 

不明

不明

2025年5月8日

Invitation letter
for the
com
Workshop
- AMB.exe

不明

helper_
core.dll

GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

2025年5月9日

上記のLNKファイルの場合、正規の名前を変更した実行可能ファイルを実行して、ClaimloaderのDLLサイドロードを開始します。

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

武器化されたZIPファイルの1つには、名前が「BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe」に変更された正規の実行可能ファイルが含まれていました。このルアーはおそらく、過激な分離主義グループであるバローチ解放軍（BLA）、および新国家バロチスタンの樹立を呼びかけている他の関連する過激派グループを指していると思われます。ルアーにこのような名前を使用することは、攻撃者が、興味を持った受信者に添付ファイルをクリックさせるためであると考えられます。

別のファイル「NSC_Meeting_Minutes_Apr2025.lnk」には、米国国家安全保障理事会の会議および作成されたとされるメモに言及している可能性があり、米国政府の関係者やその他の個人、または米国政府関係の情報機関、学術界、またはジャーナリズムに関与するその他の個人にとって興味深いものと思われます。パキスタン当局者をターゲットにした可能性のある「BLA」ルアーと同様に、このルアーは、受信者が添付ファイルをクリックするように誘導するキャプティブファイル名を使用しており、米国のオーディエンスを対象としている可能性があります。

「Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe（第46回ASEAN機関間会合への招待 Summit.exe）」というファイル名は、 2025年5月26日と同27日にマレーシアで開催される東南アジア諸国連合（ASEAN）サミットを指している可能性があります。

ファイル名、「豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe」は、2015年4月から5月にかけての台湾のFongde発電所の支払い請求書を指している可能性があります。

最後のファイル「英諾飛保密合約書-NDA-亞航v英諾飛-AACLlegal1105.exe」は、無人航空機（UAV）と航空機の保守に関連する２社の台湾の航空宇宙会社間の非開示契約を指している可能性があります。

パブロード

Publodaは、2022年にCisco Talosが名前のないステージャ（stager）として最初に説明したバックドアです。X-ForceはシェルコードのローダーをClaimloader、第1段階のシェルコード・ダウンローダーをPubloadとそれぞれ識別しているのに対し、TrendMicroの報道では、両方ともPubloadとして識別しています。Claimloaderは、PubloadとToneShellの両方をロードするために使用されています。チームT5は、Pubload と Pubshell を NoFive として追跡します。

Pubload シェルコード・ペイロードは、32 バイトの XOR キーを使用して残りのシェルコードを XOR 復号化することから始まります。

Pubload シェルコード自己復号ルーチン
図 9：Pubload シェルコードの自己復号化ルーチン

この自己復号化ルーチンは、上記の 4 つのClaimloader サンプルの 2 番目以降にのみ追加されました。復号化後、ROR13アルゴリズムを介して難読化された必要なAPIをすべて解決します。次に、新しいメモリを割り当て、ハードコードされたC2サーバー・アドレスと暗号化キーを使用して主構造を設定してから、主な動作を開始します。

Publoadのメイン・ループは、次の値を列挙することで始まります。

  • Cドライブのディスクボリュームシリアル番号を、GetVolumeInformationAを通じて取得。被害者IDとして使用される「0x12345678」を追加することで難読化
  • GetTickCountを介したマシンのティックカウント
  • GetComputerNameA経由での被害者のコンピューター名
  • GetUserNameA経由の被害者のユーザー名

これらの値は、最初のビーコン・ペイロードとしてフォーマットされます。

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

ペイロードは、キー・オフセットが異なる4つの連続するXOR ループでハードコードされたキーを使用して暗号化されます。

Pubload連続XOR暗号化ループ
図10：Pubload連続XOR暗号ループ

Toneshell と同様に、暗号化されたペイロードは偽の TLS アプリケーションデータパケットに配置されます。

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

TCPパケットは、ハード・コーディングされたC2サーバーに送信されます。

218[.]255[.]96[.]245:443

その後、Publoadは次のように解析された応答を期待します

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

ペイロードの復号化が成功した後、最初のバイトは0x06になることが期待され、残りのデータは以下の構造として解析され、受信したシェルコード・ペイロードをXOR復号化します。

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

最後に、Pubload は必要な PAGE_EXECTE_READWRITE メモリ保護オプションを追加し、シェルコードを実行すると同時に、列挙されたシステム情報と C2 サーバーを引数として提供します。

Publoadの第二段階:Pubshell

Pubload によって直ちにダウンロードされるシェルコード・ペイロード (Pubshell) には、上述した Toneshell の亜種との類似点がいくつかあり、パイプを介してリバース・シェルを作成するという同じ機能があります。

通常のセットアップ手順から始まり、APIの解決、メモリの割り当て、主構造と親のPubloadサンプルと同じキーの初期化が行われます。

最初のビーコンは Pubload と似ていますが、ペイロードの最初のバイト (ビーコン・コード) が 0x0B である点が異なります。

ビーコンを構築するためのPubload/Pubshell関数
図11：ビーコンを構築するためのPubload／Pubshell関数

繰り返しますが、復号化された応答の最初のバイトは、Pubshellの動作を決定するコマンド・コードとして機能します。

コマンド・コード

説明

1

被害者IDを最初の難読化されたシリアル番号にリセットする

3

新しい被害者 ID を設定

4

ビーコン頻度を秒単位で設定（初期値は10秒）

5

ビーコンの停止

26

ファイルの削除

27

新規ファイルの作成

29

新しく作成されたファイルにデータを書き込み

30

パイプ経由のリバース・シェルの作成

31

パイプへの新しいコマンドの作成

32

リバースシェルを終了し、すべてのハンドルと関連プロセスを閉じます。

48

パイプからのコマンド結果（stdin、stderr）の読み取り

Toneshell と同様に、Pubshell はコマンドの成果に応じて異なる応答コードを C2 サーバーに送り返します。たとえば、新しいファイルを作成するコマンド（27）とそのファイルに書き込むコマンド（29）はどちらも、成功の場合はコード42を返し、失敗の場合はコード43を返します。さらに、Pubshellには以下のようなより詳細なエラーメッセージ文字列も含まれています。

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

同様の文字列が他のToneShellの亜種でも観察されました。

匿名パイプを介したリバースシェルのPublishel実装は、Toneshellとほぼ同一です。ただし、Publishでは、新しいスレッドを実行して結果をすぐに返すのではなく、コマンド結果を返すために追加のコマンドが必要となります。また、「cmd.exe」の実行のみをシェルとしてサポートしています。

いくつかの点で、PubloadとPubcellは、ToneShellの「ライト・バージョン」のようにも見えます。洗練度が低く、コードの重複も明確だからです。

HIUPAN USB Worm で台湾を標的に

2024年12月、X-Forceは、Publoadバックドアを使用して台湾をターゲットにした追加のHive0154アクティビティを観察しました。3月、X-Forceは大手製造会社と協力して台湾におけるパブリックロード感染を調査しました。このインシデントでは、脅威アクターはHIUPan USBワームを利用して、USBデバイスを通じてClaimloaderとPubloadを拡散させました。このワームは、感染数を増やし、エアギャップとなっている可能性のあるネットワークに到達する可能性があるため、初期のパブリックロード感染における後続ペイロードとして使用される可能性があります。この2つのマルウェア亜種の関係は、トレンドマイクロ によって以前に報告されています。

HIUPA（別名U2DiskWatch）はUSBワームであり、そのメインDLL「u2ec.dll」は、ユーザーが意図せずにUSBデバイスから実行したときに、正規のEXE「UsbConfig.exe」を通じてサイドロードされます。ワームは次のタスクを実行します。

  • 自身とその付随するマルウェア・コンポーネントを被害者のマシン上のディレクトリーにコピーします： C:\ProgramData\Intel\_\
  • レジストリー・キーHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runを介して永続性を確立します。
  • 隠しファイルと拡張機能がWindows Explorerに表示されないようにレジストリー・キーを変更します： HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • 付随するマルウェアの主要な実行可能ファイルを実行し、必要に応じてプロセスを再起動するように監視します
  • 新しいUSBデバイス接続を監視します。見つかった場合、HIUPANは自身と付随するマルウェア・コンポーネントを新しいドライブにコピーし、隠しサブディレクトリ「<Drive_Letter>:￤UsbConfig.exe」がデバイス上の唯一の可視ファイルになるように、既存のファイルを隠す。

HIUPanは、設定ファイル「$.ini」を使用して、スリープ・マルチプライヤーとそのコンポーネントおよび付随するマルウェアのファイル名を保管します。これにより、ペイロード・ファイルとテキストベースの設定を交換するだけで、マルウェアを拡散させるようにワームを設定することが非常に簡単になります。

ClaimloaderとPubloadを拡散する台湾を拠点とする感染で観察された構成ファイルは以下のとおりです。

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

コマンド・コード

説明

1

被害者IDを最初の難読化されたシリアル番号にリセットする

3

新しい被害者 ID を設定

4

ビーコン頻度を秒単位で設定（初期値は10秒）

5

ビーコンの停止

26

ファイルの削除

27

新規ファイルの作成

29

新しく作成されたファイルにデータを書き込み

30

パイプ経由のリバース・シェルの作成

31

パイプへの新しいコマンドの作成

32

リバースシェルを終了し、すべてのハンドルと関連プロセスを閉じます。

48

パイプからのコマンド結果（stdin、stderr）の読み取り

Hive0154が採用しているUSBワームはHIUPA社だけではありません。ToneShellやPubShellなど、マルウェアを配布する他のフレームワークや亜種は現在も積極的に拡散しており、VirusTotalにアップロードされています。

まとめ

このブログで説明するHive0154の広範な運用範囲は、多様なツール、革新的な技術、および幅広い潜在的な被害者の利用を通じて明らかになります。Hive0154のような中国と連携したグループは、大規模なマルウェア武器庫の改良を続け、民間および公共部門の東アジアを拠点とする組織に重点を置き続けます。豊富なツール、頻繁な開発サイクル、USBワームベースのマルウェアの配布により、洗練された脅威アクターであることが浮き彫りになっています。Hive0154活動のリスクにさらされている事業体は、防御のセキュリティーを強化した状態を維持し、本レポートで言及されている手法に関して常に警戒を続ける必要があります。

推奨事項

  • パブリックロードまたはトネシェル・ビーコンの兆候としての以前のTLSハンドシェークなしで、TLS 1.2アプリケーション・データ・パケット（ヘッダー：17 03 03）のネットワークを監視および追跡します。
  • 一部のToneShell亜種で使用される偽のTLS 1.3 アプリケーションデータパケット（ヘッダー：17 03 04）をネットワーク内で監視し、追跡します。実際のTLS 1.3パケットは、特定のTLSバージョンのみを受け入れるプロキシとの下位互換性を確保するために、レガシーTLS 1.2ヘッダーを使用して送信されます。
  • デバイスが USB ワームに感染していることを示す疑わしい実行ファイル名、DLL、隠しディレクトリを含む USB ドライブを監視して探します。
  • C:\ProgramData\ 内の疑わしい未知のディレクトリを監視し、DLL のサイドローディングに脆弱な正規の EXE と、対応する DLL を含んでいる不審なディレクトリを探します。
  • レジストリの実行キーやスケジュールされたタスクなどの永続化技術を監視して追跡します。
  • 悪意のあるDLLをサイドロードする、一見無害なプロセスの実行可能ファイルからの異常なネットワーク、永続性、またはファイル変更アクティビティーを監視します。

侵害の兆候

分類

インジケータータイプ

コンテキスト

167a842b97d0434f20e0
CD6CF73D07079255A743D
26606b94fc785a0f3c6736e

SHA256

Hive0154武器化アーカイブ

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Hive0154武器化アーカイブ

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Hive0154武器化アーカイブ

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

Hive0154兵器化SFX

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Hive0154武器化アーカイブ

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Hive0154武器化アーカイブ

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Hive0154武器化アーカイブ

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Hive0154武器化アーカイブ

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96CF341

SHA256

Hive0154武器化アーカイブ

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Hive0154武器化アーカイブ

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Hive0154武器化アーカイブ

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Hive0154武器化アーカイブ

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Hive0154武器化アーカイブ

1387ec22a3391647e25d2cb722
CD89E255D3EBFE586CF5F699EA
e22C6E008C34

SHA256

Hive0154武器化アーカイブ

ac989df2715A26DF9E039E9E0D
73ed84337eeb07a4a45901858
ACBB09C9050C4

SHA256

Hive0154武器化アーカイブ

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
A752BA3C3FD

SHA256

Hive0154武器化アーカイブ

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Hive0154武器化アーカイブ

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Hive0154武器化アーカイブ

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7E73B231c
32f60ceaf34e

SHA256

Hive0154武器化アーカイブ

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Hive0154武器化アーカイブ

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Hive0154武器化アーカイブ

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Hive0154武器化アーカイブ

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Hive0154武器化アーカイブ

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Hive0154武器化アーカイブ

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Hive0154武器化アーカイブ

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Hive0154武器化アーカイブ

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

Early Claimloaderのサンプル

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

Claimloader DLL

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

Claimloader DLL

a6dfb41bbad08e3fe663efa325e
4c58d9FDB4FE78F38BCE180DFC4
956581aea

SHA256

Claimloader DLL

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

Claimloader DLL

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce

SHA256

Claimloader DLL

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

Claimloader DLL

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

Claimloader DLL

a6dfb41bbad08e3fe663efa325e
4c58d9FDB4FE78F38BCE180DFC4
956581aea

SHA256

Claimloader DLL

8f4ee5e0b85020f2a040f54DCD
24b7e9400c1aa5be8f8988f032e
020E371dba

SHA256

Claimloader DLL

087ccc7f6c022dc5FD40ade3EF6A
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

Claimloader DLL

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

Claimloader DLL

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

Claimloader DLL

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968E75
F45B9b7ADBC

 

SHA256

Claimloader DLL

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
F71ED8EC

 

SHA256

 

Claimloader DLL

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

Claimloader DLL

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2E827b
BA68DDF1023b

SHA256

Toneshellバックドア

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

Toneshellバックドア

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

Toneshellバックドア

534853913ad1e9b7ae7dade841
B9cFC2E4A1E38351578E1C15466
CD3F0666EAD

SHA256

Pubload バックドア

2da73366f9efc0d1c05c72E404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Pubload バックドア

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

Pubshellのバックドア

B4C37E3995D5FF94754CEDD49F
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

HUPAN USB ワーム

f5FD2905D90755D021E1442C34f
a628d56598ae1043a7c1103bd5
e21C7706168

SHA256

HUPAN USB ワーム

45[.]136[.]254[.]193:443

IPアドレス、ポート

Toneshell C2サーバー

45[.]144[.]165[.]66

IPアドレス、ポート

Toneshell C2サーバー

218[.]255[.]96[.]245:443

IPアドレス、ポート

Pubload C2サーバー

103[.]27[.]202[.]132

IPアドレス、ポート

Toneshell C2サーバー

45[.]12[.]91[.]223:443

IPアドレス、ポート

Pubload C2サーバー

IBM X-Force Premier Threat IntelligenceがOpenCTIと統合され、この脅威アクティビティなどに関する実行可能な脅威インテリジェンスが提供されます。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスします。OpenCTIコネクタを導入してIBM X-Forceの専門知識で検知と対応を強化し、サイバーセキュリティーを強化しましょう。先を行って、今すぐ統合しましょう!

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題（顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など）を解決した多岐にわたる事例のご紹介です。

関連ソリューション
脅威管理サービス

最新の脅威に対して予測、防御、対応を行うことで、ビジネス・レジリエンスを高めます。

 

 脅威管理サービスはこちら
脅威の検知と対応ソリューション

IBMの脅威検知および対応ソリューションを使用して、セキュリティーを強化し、脅威の検知を迅速化します。

 脅威検知ソリューションの詳細はこちら
モバイル脅威防御（MTD）ソリューション

IBM MaaS360は、モバイル環境を包括的に保護するモバイル脅威防御ソリューションを提供します。

 モバイル脅威対策ソリューションを見る
次のステップ

包括的な脅威管理ソリューションを活用し、サイバー攻撃からビジネスを確実に保護します。

 脅威管理サービスはこちら 脅威対応のブリーフィングを予約する