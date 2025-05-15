2025年5月現在、 IBM X-Forceは、武器化された ZIP アーカイブを使用して Pubload および Toneshell のバックドアを配布するスパイ活動の疑いについて追跡しています。X-Forceは、2024年後半に始まった可能性が高いこのキャンペーンは中国と連携した脅威アクター Hive0154 によるものであると考えており、その活動はMustang Panda、Stately Taurus、Camaro Dragon、Twill Typhoon、Polaris、Earth Pretaとして追跡されているグループと重複しています。アーカイブには、フィリピン、米国、パキスタンの官公庁・自治体、軍事、外交担当者を誘惑するために設計されたと思われる、政治的なテーマのルアーが含まれています。Hive0154サブクラスターは、過去に同様の戦術を使用したことがあります。具体的には、Claimloaderマルウェアを使用して永続的なバックドアをインストールし、被害者の環境への直接アクセスを可能にして、官公庁・自治体の緊急の決定についての高度な洞察を得ました。X-Forceはまた、このグループが台湾でPubloadを拡散させるためにUSBワームを使用し、エアギャップになっていた可能性のあるネットワークに到達した可能性があることも観察しています。
少なくとも2022年以来、Hive0154はとりわけToneshellマルウェアのファミリーを使用して、世界規模のサイバー活動を行ってきました。PubloadやPubshell（別名NoFive）といったToneshell関連のマルウェアは、このグループがオペレーションの一環として別のマルウェアの亜種を維持していることを示唆しています。このグループは複数のサブクラスターで構成され、シンクタンク、政策グループ、政府機関、個人を含む官民の組織を標的としています。X-Forceは、複数の独立したマルウェア・ローダー、バックドアおよびUSBワーム・ファミリーを使用していることや、複数のセキュリティー調査チームが一貫してその活動について報告していることからわかるように、この脅威アクターが有能であると評価しています。
2023年、Palo Alto は、X-Forceが追跡したHive0154サブクラスターの一つが、様々なルアーを使ってPubloadのバックドアを拡散していると報告しました。以下のルアーのいくつかは、CSIRT CTIが2024年1月に報告したミャンマーに対するキャンペーンとも一致しています。以下のルアーは、中国が東南アジアの国または地域とオーストラリアに継続的な関心を寄せていることを示しています。
ルアー名
説明
SHA256
日付
Notification re UEC, (04-25-2023 Day).zip
不明
167a842b97d0
2023年4月
April 27 updated party list.zip
不明
41276827827b9
2023年4月
Biography of Senator the Hon Don Farrell.zip
このファイル名は、オーストラリア貿易相に関するオーストラリア貿易観光局のウェブサイトに表示されているタイトルを直接コピーしているようです。
4fbfbf1cd2efaef1
2023年4月
SACには、総選挙用のいくつかの指導要件があります
不明
782e074601f5b1
2023年4月
National Security Priority Programs.zip
不明
a02766b3950dbb
2023年5月
230605 Ministerial meeting minutes (1).zip
このファイルは、アジア太平洋地域に関する濫用貿易慣行に関して、2023年6月8日にオーストラリア、カナダ、日本、米国、英国、ニュージーランドの大臣がパリで出した宣言に言及している可能性があります。
178e92c59afe4c
2023年6月
NUG's Foreign Policy Strategy.zip
その文言は、 CSISインドネシアのウェブページに掲載されており、内戦に巻き込まれているミャンマーの状況に関するものです。2024年12月には、中国がミャンマーの軍事政権を支援するため、治安要員の派遣を検討しているようだと報じられています。
ba7c456f229adc
2023年8月
Analysis of the third meeting of NDSC.zip
このファイルは、以前に報告された2024 年初めの Stately Taurusによるミャンマー政府に対するキャンペーンの一部であった可能性があります。2023年10月頃、ミャンマーは反乱軍と政府軍の間の内戦に巻き込まれ、反乱軍が中国との重要な貿易ルートの制御を事実上獲得しました。
4e8717c9812318f8
2023年11月
武器化されたZIPファイルには、通常、 SolidPDFCreator.exe （e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fed24c942）など、名前が変更された正規の実行可能ファイルが含まれており、悪意のあるDLLをサイドロードするために使用されます。DLLはClaimloaderファミリーの一部であり、PubloadとToneShellバックドア・ファミリーに関連するペイロードをロードするためにHive0154が長年にわたって使用してきたさまざまなシェルコード・ローダーの亜種で構成されています。
2024年を通じて、さらにHive0154の活動が記録され、その一部はFatzQuatz、 StrikeReadyLabsのTwitter/Xアカウント、そして Hunt.ioによって報告されました。
ルアー名
説明
SHA256
日付
Meeting Request--30-31-05.zip
不明
09597c284
2024年5月
EBO Brainstorming Friday 24 to
不明
78a60bea56
2024年5月
Attendee list template (24-6-2024).zip
不明
b7d13787c8be
2024年6月
Notice of Final Meeting.zip
不明
fef713b23717
2024年7月
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
不明
727ccc4560
2024年7月
Interview with Surachet
不明
f00e5ff2dc47
2024年8月
IISS Prague Defence Summit 2024.zip
以前、2024年11月にプラハで開催されたIISS防衛サミットの参加者を標的としたMusang Pandaキャンペーンについて報告されました。
1387ec22a339
2024年8月
NDI-IRI_Election_
このファイル名は、2023年6月に発行されたナイジェリアの選挙に関するNDI-IRI報告書に言及しているようです。この報告は、米国国際開発庁（USAID）の支援を受けて委託、作成されました。
ac989df2715a
2024年8月
Leadership informationlist.zip
不明
3a37a127a4253
2024年8月
Request for Inputs for the 6th
このルアーは、2024年10月に行われたタイとフィリピンの二国間会議に言及している可能性があります。
057fd248e0219
2024年9月
Bencana_Air_
そのおとり文書は、マレーシア国家災害管理局(NADMA、Agensi Pengurusan Bencana Negara)と、同機関の継続的な新型コロナウイルス感染症対応に関するもののようです。
cc4e5d175fc85685
2024年10月4日
ZIP 内の DLL サイドローディング手法は同じままですが、復号化アルゴリズムの変更に伴い、異なるバージョンの Claimloader DLL が登録されました。その一部キャンペーンでは、ToneShell DLL（0bd114 fefd3c09820fa013d8cd8aadee69906b6f81a2e827bba68ddf1023b）も直接、用していました。
X-Forceは2024年後半と2025年初め、同じTTPに従った同じHive0154サブクラスターに起因するいくつかの新しいキャンペーンを観察しました。最新のClaimloaderの亜種では、シェルコード・ペイロードを挿入する前に、インストール・ルーチンの一部としておとりのPDFを開くこともサポートしています。PDF は DLL と同様に、ファイル属性を使用して標準ユーザーには表示されないようにします。
2つのルアーとそれに関連するおとりファイル名は、具体的には中国とフィリピンの間の南中国海における緊張に言及しており、フィリピン政府は、中国軍事による活動の拡大を踏まえ、米国との緊密な軍事協力を求めています。こうした展開により受信者の関心が高まり、添付ファイルを開く傾向が強まる可能性があります。このような受信者には、フィリピンの官公庁・自治体、軍関係者、外交官が含まれる場合があり、ファイル名が示すトピックに関与することが正当と考えられる任務を負う米国の政府および軍事関係者が含まれる場合もあります。
ルアー名
デコイ・ファイル名
関連 DLL SHA256
日付
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
2024年10月4日
Defense_
2025.pdf
a6dfb41bbad08e3f
2024年11月
どちらのルアーも Claimloader DLL をサイドロードします。これにより、以下で詳しく説明するものと同じ Toneshell バックドアがロードされます。
Claimloaderは、ToneShellやPubloadなどのさまざまなシェルコード・ペイロードをロードするために過去にHive0154で使用されていたローダー・ファミリーです。Claimloaderは長年にわたり、さまざまな機能を備えたいくつかの異なるバージョンへと進化してきました。
2021年後半にまとめられた初期のサンプルのひとつが、パロアルトのユニット42 によって発表された。これは、UuidFromStringA APIを介してシェルコードをバッファーにコピーするという興味深い手法を使用しています。さらに、EnumSystemLanguageGroupsAに渡されるコールバック関数としてシェルコードを実行します。
2022年11月、 LACはClaimloaderの亜種を報告しました。これは、前のセクションで詳述した 2023 年から 2024 年にかけての活動とほぼ同じ感染連鎖であり、フィリピンの政府機関織を標的にした可能性があります。この亜種では、ペイロードを暗号化されたスタック文字列の32バイトのブロックとして保管し、それぞれを復号化します。また、レジストリまたはスケジュールされたタスクを介して永続性を確立しようとする前に、正規の実行可能ファイルとClaimloader DLLを新しいディレクトリにコピーするため、事実上、ローダーに加えてインストーラーにもなります。
マルウェアは実行されると、Claimloaderのインスタンスが1つだけ確実に実行されるようにハードコードされたミューテックスをまず作成します。次に、最初の実行時には存在しない特定のコマンドライン引数をチェックします。その場合、ClaimloaderはEXEとDLLの両方を、多くの場合「C:∕ProgramData∕」というソフトウェア・ディレクトリを模した、目立たない新しいディレクトリにコピーします。そのディレクトリとは、以下のようなものです。
この動作は、最近の Claimloader サンプルのほとんどで使用されており、サンドボックスの実行が失敗する可能性もあります。
次に、マルウェアは、正しいコマンドライン引数を指定して EXE のパスを新しいレジストリキーに保存し、再び目立たないソフトウェア名を付けることで、ログイン時の永続性を確立します。
クレームローダーは、5分ごとにローダーを実行するスケジュールされたタスクを作成する以下のプロセスを作成することで、二次永続化メカニズムも使用します。
正確な手法は異なる場合があることに注意してください。たとえば、あるサンプルでは、代わりに COM オブジェクトを使用して ITaskService インターフェイス (8957c8de9032b347ee1a15abbae489788533ac0b1a000a2104812df24fb8ce) に接続してタスクをスケジュールしました。
Claimloaderの復号化アルゴリズムは、DES (最新バージョン)、AESの少なくとも2つの実装と、ハードコーディングされたシードを使用し、_s rand()関数を介してキーストリームを生成するXORベースの復号化ルーチンの間でサンプルが異なります。
復号後にペイロードを実行するために、ほとんどの Claimloaderの亜種はコールバック関数を含む API を使用しますが、新しいスレッドを作成したり、ペイロードを関数として直接呼び出したりする亜種もあります。
以下の表は、さまざまなClaimloaderのサンプルとその手法の表です。
サンプル SHA256
DLL 名
永続性
復号化
実行手法
3af7807efb105
Amind
_srand()keystream
EnumPropsExW
8957c8de9032
libemb
AES
ダイレクトコール
d665f55555f87
CCleaner
いいえ
AES（ペイロードはスタック文字列に保管）
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
レジストリおよびスケジュールされたタスク「jxbrowser-chromiumim」
AES
EnumFontsW
a6dfb41bbad08
jx
レジストリおよびスケジュールされたタスク「jxbrowser-chromiumim」
AES
EnumFontsW
900af2b8d03b4
helper_
レジストリとスケジュールされたタスク「Wargaming
_srand()keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
レジストリとスケジュールされたタスク「NVIDIA_
DES
EnumFontsW
最近のいくつかのサンプルでは、Claimloaderの最初の実行中におとりPDFを表示するサポートが追加されています。
ユーザーのためにPDFファイルを開いた後、Claimloaderは、"System" 、"Hidden" 、ファイル属性を削除し、開いているフォルダ内でPDFを永久にPユーザーに見えるようにします。
公開時点での最新のClaimloader亜種では、難読化されたAPI名とDLL名が使用されており、これらは0x99でXOR暗号化されています。実行中、ローダーは文字列を復号化し、 LdrLoadDllとLdrGetProcedureAddressを呼び出して、必要な API の関数ポインターを解決します。
南シナ海のルアーに関連付けられた Claimloader DLL は両方とも、シェルコードとして同じ Toneshell バックドア (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) をロードします。これは同時に有効な PE です。
DoS ヘッダーは、PE のベース所在地を引数として提供しながら、オフセット 0x4200 で別の関数を呼び出すための小さなスタブを含むように変更されました。このローダー関数は、PEを手動でロードし、必要なインポートを解決し、セクションをメモリにマッピングします。この手法を使用すると、マルウェア開発者は、コンパイル後に有効なPEをシェルコードに変換できます。
Toneshellファミリーにはさまざまな亜種の大規模な武器庫で構成され、時間の経過とともに大幅に進化してきました。このファミリーは、Publoadバックドアとのコードの重複が顕著であるにもかかわらず、X-Forceによって別個に追跡されています。C2 メカニズム、カスタム C2 プロトコル、サポートされるコマンド、API ハッシュは亜種によって異なる場合があります。X-Forceはまた、"Tonedisk" と呼ばれるUSBワーム・フレームワークの複数のバージョンをToneshellファミリーの下にグループ化します。
上記キャンペーンのTonellバックドアは比較的単純な亜種であり、C2サーバーを介してリバース・シェルを確立するように設計されています。
これはまずAPIを解決し、 CoCreateGuidを通じて新しいGUIDを作成します。結果として得られた 16 バイトは、被害者固有の識別子として使用され、新しいファイルに書き込まれます。
次に、新しいイベント「Fool87012900137」を作成し、これをミューテックスとして使用して、それが唯一の実行中のインスタンスになるようにします。Toneshellは、C2サーバー所在地（45[.]136[.]254[.]193:443）、GUID、被害者のコンピューター名、その他の設定値を使用して主構造を初期化します。また、Microsoftの「rand」PRNGの実装も初期化します。
C2サーバーにコマンドを問い合わせるビーコンごとに、ToneshellはPRNGから次の256バイトのキーを生成します。このキーは、C2通信、GUID、およびコンピューター名の暗号化に使用されます。
TCPビーコンは、TLSアプリケーションデータパケット(17 03 03)を模したヘッダーでフォーマットされた以下の値を含みます。
Toneshellはサーバーから同様の返答を期待します。
応答を復号した後、最初のバイトはコマンド値として解析され、2番目のバイトは作成されたパイプの識別子として使用され、残りのバイトはコマンド・ペイロードとして使用されます。
そのコマンドを処理する前に、Toneshell は 30 秒ごとに鼓動のような応答ビーコンを送信する新しいスレッドを作成します。すべてのビーコンは、C2サーバーへの通信の整合性を検証するために、初期化されたPRNGキーストリームによって生成された次の4バイトのうちの正しい最小バイトも送信する必要があります。これらのビーコンは次のようにフォーマットされます。
このバージョンのToneShellは、以下のC2コマンド・コードをサポートします。
コード
説明
1
待機 - 空ではないペイロードを持つコマンドの待機を継続します。
2
新しいファイルの作成（すでに存在する場合は削除）
3
ファイルにデータを書き込む
4
データをファイルに書き込み、応答ビーコンで確認
5
パイプ経由のリバース・シェルの作成
6
パイプへのシェル・コマンドの書き込み
7
リバース・シェルの終了
Toneshellはリバース・シェルを作成するために、2つの匿名パイプを設定し、新しいcmd.exeプロセスを作成して、そのパイプを使用してstdinにデータを書き込んでstdoutとstderrからデータを読み取ります。
パイプへのハンドルを新しいプロセスの STARTUPINFO 構造体に追加することで、Toneshell は、パイプに書き込むだけで任意のコマンドを実行できます。Toneshellは新しいスレッドで、100msごとにPeekNamedPipeを使って新しいアウトプットのパイプを覗きます。新しいデータはパイプから読み取られ、C2サーバーに中継されます。
2025年2月の時点で、X-Forceは、上記のようなClaimloaderの同様の亜種を通じて Pubload バックドアを提供する Hive0154 キャンペーンを観察しました。以下の4つのサンプルは、同じC2サーバーを共有しています。218[.]255[.]96[.]245:443
ルアー名
送信者の国
Claimloader DLL名
Claimloader Mutex
DLL SHA256
日付
BLA,BLF,
パキスタン
SolidPDF
TB2025
c7efd45aa7
2025年2月12日
不明
香港
SolidPDF
MTM2025
087ccc7f6c02
2025 年 3 月 11 日
(The_
フィリピン
chrome_
CATM2025
216188ee52b0
2025年3月20日
NSC_
アメリカ合衆国
helper_
ゲームボックス
900af2b8d03b
2025年4月17日
Invitation to
フィリピン
helper_
GameGpu
4c66e7ebf2ca2
2025年4月29日
豐德電廠
不明 (おそらく台湾)
helper_
GameFind
112118aad0db9ff
2025年5月7日
英諾飛保
台湾
helper_
不明
不明
2025年5月8日
Invitation letter
不明
helper_
GameBox
7476d6b375d8
2025年5月9日
上記のLNKファイルの場合、正規の名前を変更した実行可能ファイルを実行して、ClaimloaderのDLLサイドロードを開始します。
武器化されたZIPファイルの1つには、名前が「BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe」に変更された正規の実行可能ファイルが含まれていました。このルアーはおそらく、過激な分離主義グループであるバローチ解放軍（BLA）、および新国家バロチスタンの樹立を呼びかけている他の関連する過激派グループを指していると思われます。ルアーにこのような名前を使用することは、攻撃者が、興味を持った受信者に添付ファイルをクリックさせるためであると考えられます。
別のファイル「NSC_Meeting_Minutes_Apr2025.lnk」には、米国国家安全保障理事会の会議および作成されたとされるメモに言及している可能性があり、米国政府の関係者やその他の個人、または米国政府関係の情報機関、学術界、またはジャーナリズムに関与するその他の個人にとって興味深いものと思われます。パキスタン当局者をターゲットにした可能性のある「BLA」ルアーと同様に、このルアーは、受信者が添付ファイルをクリックするように誘導するキャプティブファイル名を使用しており、米国のオーディエンスを対象としている可能性があります。
「Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe（第46回ASEAN機関間会合への招待 Summit.exe）」というファイル名は、 2025年5月26日と同27日にマレーシアで開催される東南アジア諸国連合（ASEAN）サミットを指している可能性があります。
ファイル名、「豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe」は、2015年4月から5月にかけての台湾のFongde発電所の支払い請求書を指している可能性があります。
最後のファイル「英諾飛保密合約書-NDA-亞航v英諾飛-AACLlegal1105.exe」は、無人航空機（UAV）と航空機の保守に関連する２社の台湾の航空宇宙会社間の非開示契約を指している可能性があります。
Publodaは、2022年にCisco Talosが名前のないステージャ（stager）として最初に説明したバックドアです。X-ForceはシェルコードのローダーをClaimloader、第1段階のシェルコード・ダウンローダーをPubloadとそれぞれ識別しているのに対し、TrendMicroの報道では、両方ともPubloadとして識別しています。Claimloaderは、PubloadとToneShellの両方をロードするために使用されています。チームT5は、Pubload と Pubshell を NoFive として追跡します。
Pubload シェルコード・ペイロードは、32 バイトの XOR キーを使用して残りのシェルコードを XOR 復号化することから始まります。
この自己復号化ルーチンは、上記の 4 つのClaimloader サンプルの 2 番目以降にのみ追加されました。復号化後、ROR13アルゴリズムを介して難読化された必要なAPIをすべて解決します。次に、新しいメモリを割り当て、ハードコードされたC2サーバー・アドレスと暗号化キーを使用して主構造を設定してから、主な動作を開始します。
Publoadのメイン・ループは、次の値を列挙することで始まります。
これらの値は、最初のビーコン・ペイロードとしてフォーマットされます。
ペイロードは、キー・オフセットが異なる4つの連続するXOR ループでハードコードされたキーを使用して暗号化されます。
Toneshell と同様に、暗号化されたペイロードは偽の TLS アプリケーションデータパケットに配置されます。
TCPパケットは、ハード・コーディングされたC2サーバーに送信されます。
その後、Publoadは次のように解析された応答を期待します
ペイロードの復号化が成功した後、最初のバイトは0x06になることが期待され、残りのデータは以下の構造として解析され、受信したシェルコード・ペイロードをXOR復号化します。
最後に、Pubload は必要な PAGE_EXECTE_READWRITE メモリ保護オプションを追加し、シェルコードを実行すると同時に、列挙されたシステム情報と C2 サーバーを引数として提供します。
Pubload によって直ちにダウンロードされるシェルコード・ペイロード (Pubshell) には、上述した Toneshell の亜種との類似点がいくつかあり、パイプを介してリバース・シェルを作成するという同じ機能があります。
通常のセットアップ手順から始まり、APIの解決、メモリの割り当て、主構造と親のPubloadサンプルと同じキーの初期化が行われます。
最初のビーコンは Pubload と似ていますが、ペイロードの最初のバイト (ビーコン・コード) が 0x0B である点が異なります。
繰り返しますが、復号化された応答の最初のバイトは、Pubshellの動作を決定するコマンド・コードとして機能します。
コマンド・コード
説明
1
被害者IDを最初の難読化されたシリアル番号にリセットする
3
新しい被害者 ID を設定
4
ビーコン頻度を秒単位で設定（初期値は10秒）
5
ビーコンの停止
26
ファイルの削除
27
新規ファイルの作成
29
新しく作成されたファイルにデータを書き込み
30
パイプ経由のリバース・シェルの作成
31
パイプへの新しいコマンドの作成
32
リバースシェルを終了し、すべてのハンドルと関連プロセスを閉じます。
48
パイプからのコマンド結果（stdin、stderr）の読み取り
Toneshell と同様に、Pubshell はコマンドの成果に応じて異なる応答コードを C2 サーバーに送り返します。たとえば、新しいファイルを作成するコマンド（27）とそのファイルに書き込むコマンド（29）はどちらも、成功の場合はコード42を返し、失敗の場合はコード43を返します。さらに、Pubshellには以下のようなより詳細なエラーメッセージ文字列も含まれています。
同様の文字列が他のToneShellの亜種でも観察されました。
匿名パイプを介したリバースシェルのPublishel実装は、Toneshellとほぼ同一です。ただし、Publishでは、新しいスレッドを実行して結果をすぐに返すのではなく、コマンド結果を返すために追加のコマンドが必要となります。また、「cmd.exe」の実行のみをシェルとしてサポートしています。
いくつかの点で、PubloadとPubcellは、ToneShellの「ライト・バージョン」のようにも見えます。洗練度が低く、コードの重複も明確だからです。
2024年12月、X-Forceは、Publoadバックドアを使用して台湾をターゲットにした追加のHive0154アクティビティを観察しました。3月、X-Forceは大手製造会社と協力して台湾におけるパブリックロード感染を調査しました。このインシデントでは、脅威アクターはHIUPan USBワームを利用して、USBデバイスを通じてClaimloaderとPubloadを拡散させました。このワームは、感染数を増やし、エアギャップとなっている可能性のあるネットワークに到達する可能性があるため、初期のパブリックロード感染における後続ペイロードとして使用される可能性があります。この2つのマルウェア亜種の関係は、トレンドマイクロ によって以前に報告されています。
HIUPA（別名U2DiskWatch）はUSBワームであり、そのメインDLL「u2ec.dll」は、ユーザーが意図せずにUSBデバイスから実行したときに、正規のEXE「UsbConfig.exe」を通じてサイドロードされます。ワームは次のタスクを実行します。
HIUPanは、設定ファイル「$.ini」を使用して、スリープ・マルチプライヤーとそのコンポーネントおよび付随するマルウェアのファイル名を保管します。これにより、ペイロード・ファイルとテキストベースの設定を交換するだけで、マルウェアを拡散させるようにワームを設定することが非常に簡単になります。
ClaimloaderとPubloadを拡散する台湾を拠点とする感染で観察された構成ファイルは以下のとおりです。
コマンド・コード
説明
1
被害者IDを最初の難読化されたシリアル番号にリセットする
3
新しい被害者 ID を設定
4
ビーコン頻度を秒単位で設定（初期値は10秒）
5
ビーコンの停止
26
ファイルの削除
27
新規ファイルの作成
29
新しく作成されたファイルにデータを書き込み
30
パイプ経由のリバース・シェルの作成
31
パイプへの新しいコマンドの作成
32
リバースシェルを終了し、すべてのハンドルと関連プロセスを閉じます。
48
パイプからのコマンド結果（stdin、stderr）の読み取り
Hive0154が採用しているUSBワームはHIUPA社だけではありません。ToneShellやPubShellなど、マルウェアを配布する他のフレームワークや亜種は現在も積極的に拡散しており、VirusTotalにアップロードされています。
このブログで説明するHive0154の広範な運用範囲は、多様なツール、革新的な技術、および幅広い潜在的な被害者の利用を通じて明らかになります。Hive0154のような中国と連携したグループは、大規模なマルウェア武器庫の改良を続け、民間および公共部門の東アジアを拠点とする組織に重点を置き続けます。豊富なツール、頻繁な開発サイクル、USBワームベースのマルウェアの配布により、洗練された脅威アクターであることが浮き彫りになっています。Hive0154活動のリスクにさらされている事業体は、防御のセキュリティーを強化した状態を維持し、本レポートで言及されている手法に関して常に警戒を続ける必要があります。
分類
インジケータータイプ
コンテキスト
167a842b97d0434f20e0
SHA256
Hive0154武器化アーカイブ
41276827827b95c9b5a9f
SHA256
Hive0154武器化アーカイブ
4fbfbf1cd2efaef1906f0bd2
SHA256
Hive0154武器化アーカイブ
782e074601f5b17e045d7c
SHA256
Hive0154兵器化SFX
a02766b3950dbb86a1293
SHA256
Hive0154武器化アーカイブ
178e92c59afe4c59043657
SHA256
Hive0154武器化アーカイブ
ba7c456f229adc4bd75bfb8
SHA256
Hive0154武器化アーカイブ
4e8717c9812318f8775a94fc
SHA256
Hive0154武器化アーカイブ
09597c2844067d8ee671313
SHA256
Hive0154武器化アーカイブ
78a60bea5693138c771386b8
SHA256
Hive0154武器化アーカイブ
fef713b237179f4d6bea899687
SHA256
Hive0154武器化アーカイブ
727ccc4560fb11627870ff2cac2
SHA256
Hive0154武器化アーカイブ
f00e5ff2dc47a7625c86ac8978
SHA256
Hive0154武器化アーカイブ
1387ec22a3391647e25d2cb722
SHA256
Hive0154武器化アーカイブ
ac989df2715A26DF9E039E9E0D
SHA256
Hive0154武器化アーカイブ
3a37a127a425360d00588bf652
SHA256
Hive0154武器化アーカイブ
cc4e5d175fc85685e7f31c2e7797
SHA256
Hive0154武器化アーカイブ
e4a4803cb04b58c07230b1368
SHA256
Hive0154武器化アーカイブ
2b0882fbcfd8fcbc84cc7c63a2
SHA256
Hive0154武器化アーカイブ
b7d13787c8be72dcc584c516e7
SHA256
Hive0154武器化アーカイブ
76cc0fd64a2fc67bc0146f04819
SHA256
Hive0154武器化アーカイブ
c49c686c26845b9ef0913642ca
SHA256
Hive0154武器化アーカイブ
b8865a77cb8f0706b50d4d85bf
SHA256
Hive0154武器化アーカイブ
98c1527d4b064fcf4a95488c345
SHA256
Hive0154武器化アーカイブ
6f5c50f37b6753366066c65b3e
SHA256
Hive0154武器化アーカイブ
d99e33878e23582308b1e217aff
SHA256
Hive0154武器化アーカイブ
cf61b7a9bdde2a39156d88f309f
SHA256
Early Claimloaderのサンプル
93fb8b78d65a9ef790be6d2055
SHA256
Claimloader DLL
895b8e0c1d2e4cae16508ded50
SHA256
Claimloader DLL
a6dfb41bbad08e3fe663efa325e
SHA256
Claimloader DLL
3af7807efb10525196c562c1f91d2
SHA256
Claimloader DLL
8957c8de9032b347ee1a15abbae
SHA256
Claimloader DLL
d665f55555f87b515cb8ef1adce9
SHA256
Claimloader DLL
c7efd45aa7dd1ecd05571f15d83e
SHA256
Claimloader DLL
a6dfb41bbad08e3fe663efa325e
SHA256
Claimloader DLL
8f4ee5e0b85020f2a040f54DCD
SHA256
Claimloader DLL
087ccc7f6c022dc5FD40ade3EF6A
SHA256
Claimloader DLL
216188ee52b067f761bdf3c45663
SHA256
Claimloader DLL
900af2b8d03b40cdb027126d47
SHA256
Claimloader DLL
4c66e7ebf2ca2ecf00379463835
SHA256
Claimloader DLL
112118aad0db9ff6c78dce2e81d9
SHA256
Claimloader DLL
7476d6b375d8b1962624723aab
SHA256
Claimloader DLL
0bd114fecfd3c09820fa013d8cd8
SHA256
Toneshellバックドア
5d7b9605cf85371da0849b8297
SHA256
Toneshellバックドア
62087a1226c5433d6f6184d627
SHA256
Toneshellバックドア
534853913ad1e9b7ae7dade841
SHA256
Pubload バックドア
2da73366f9efc0d1c05c72E404
SHA256
Pubload バックドア
b04775803e48979b68480a49
SHA256
Pubshellのバックドア
B4C37E3995D5FF94754CEDD49F
SHA256
HUPAN USB ワーム
f5FD2905D90755D021E1442C34f
SHA256
HUPAN USB ワーム
45[.]136[.]254[.]193:443
IPアドレス、ポート
Toneshell C2サーバー
45[.]144[.]165[.]66
IPアドレス、ポート
Toneshell C2サーバー
218[.]255[.]96[.]245:443
IPアドレス、ポート
Pubload C2サーバー
103[.]27[.]202[.]132
IPアドレス、ポート
Toneshell C2サーバー
45[.]12[.]91[.]223:443
IPアドレス、ポート
Pubload C2サーバー
