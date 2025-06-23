2025년 6월, IBM X-Force 연구원들은 공동체를 대상으로 미끼 문서와 파일 이름을 갖춘 Pubload 멀웨어를 유포하는 중국에 연계된 위협 행위자 Hive0154를 발견했습니다. 티베트 주권 분쟁은 종종 중국 위협 그룹에 의해 사이버 작전에 이용되며, 최근 캠페인은 달라이 라마의 90번째 생일이라는 티베트 공동체의 주요 행사를 앞둔 활동과 맞물려 있습니다.
관찰된 몇몇 미끼에는 티베트 공동체와 관련된 다음과 같은 주제가 담겨 있습니다.
Hive0154는 대규모 멀웨어 무기와 일관된 기술, 그리고 지난 몇 년간 잘 문서화된 활동을 통해 중국과 연계된 것으로 잘 알려진 위협 행위자입니다. 이 그룹은 여러 하위 클러스터로 구성되어 있으며 싱크 탱크, 정책 그룹, 정부 기관 및 개인을 포함한 공공 및 민간 조직을 대상으로 사이버 공격에 참여합니다. X-Force가 이 그룹이 다양한 맞춤형 멀웨어 로더, 백도어 및 USB 웜 제품군을 사용한 것을 관찰한 결과 이 그룹의 고급 기능이 잘 드러납니다. Hive0154 활동은 Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris 및 Earth Preta로 공개적으로 보고된 위협 행위자와 겹칩니다.
X-Force는 이전에 2024년 말부터 2025년 초까지 스파이 활동으로 의심되는 캠페인을 통해 미국, 필리핀, 파키스탄, 대만을 표적으로 삼은 Hive0154의 하위 클러스터로 인한 광범위한 활동을 자세히 설명한 바 있습니다. 이 단체는 스피어 피싱 이메일에서 비롯된 무기화된 아카이브를 사용하여 필리핀, 미국 및 파키스탄 정부, 군인 및 외교 요원을 포함한 단체를 표적으로 삼습니다. 피싱 이메일, 아카이브 및 악성 파일 이름은 특정 대상에 맞게 조정된 다양한 지정학적 주제에 대한 참조를 사용하여 수신자의 관심을 높입니다. 이메일에는 일반적으로 수신자가 링크를 클릭하면 무기화된 ZIP 또는 RAR 아카이브를 다운로드하는 Google Drive URL이 포함되어 있습니다.
아카이브에는 DLL 사이드로딩에 취약한 무해한 실행 파일과 악성 Claimloader DLL이 포함되어 있습니다. 실행 파일은 일반적으로 피해자가 파일을 열도록 속이기 위해 이름이 변경되며, 이는 즉시 감염 체인을 촉발합니다. Claimloader 멀웨어는 지속성을 설정하고 내장된 Pubload 페이로드를 해독하여 메모리에 주입합니다. Pubload는 또한 리버스 셸을 통해 시스템에 즉시 액세스할 수 있는 경량 백도어인 PubShell을 다운로드합니다.
캠페인이 처음 시작될 당시(5월 21일), 아래의 WPCT 미끼 문구는 6월 2일부터 6월 4일까지 일본 도쿄에서 개최될 예정인 전당대회에 대한 언급이었을 가능성이 높습니다.
미끼 이름
제출자 국가
Claimloader DLL SHA256
날짜
(WPCT)-ICT&CTA_Conference
인도
2bd60685299c62ab
2025년 5월 21일
이 대회는 보통 미국이나 유럽에서 개최되지만, 이번에는 처음으로 일본에서 개최되었습니다. 벨기에와 일본의 국회의원을 포함하여 총 29개국에서 142명의 국회의원과 대표들이 참석했습니다. 주일 중국 대사관은 티베트 망명 정부로 알려진 티베트 중앙정부가 이번 대회에 참여한 것에 대해 강력히 비난했습니다. 이 대회를 통해 티베트 지역에 대한 중국 정부의 탄압을 규탄하고 티베트의 문화와 종교의 자유를 보호하기 위한 국제적 입법을 촉구하는 도쿄 선언이 발표되었습니다. X-Force 연구원들은 컨벤션 전후에 다양한 미끼를 고안한 Hive0154 캠페인을 발견했습니다.
대회가 끝난 후 티베트에 대한 현명한 행동 계획을 포함한 여러 선언문이 발표되었습니다. Hive0154는 이를 웹사이트에서 무기화된 아카이브 내의 안전한 Microsoft Word 문서(DOCX)로 복사했을 가능성이 높습니다. 이 아카이브에는 대회와 관련하여 여러 티베트 웹사이트(여기와 여기)에서 직접 복사한 글과 대회 현장의 진품 사진도 포함되어 있습니다. 무기화된 실행 파일 중 동일한 이름을 공유하는 합법적인 문서와 사진이 있으면 피해자가 실수로 EXE 파일 중 하나를 열어 자신도 모르게 감염을 유발하도록 속일 수 있습니다.
"9th WPCT Region-Wise Action Plans on Tibet.exe":
"Tibet in Focus as Global Lawmakers Convene in Tokyo.exe":
미끼로 사용된 대회 사진: "9th WPCT Region-Wise Action Plans on Tibet(DSC01650.jpg).exe"
X-Force는 또 다른 캠페인에서 티베트 테마의 악성 파일을 추가로 발견했습니다. 이러한 파일에는 티베트의 이중 언어 교육이나 달라이 라마가 최근에 출간한 책 제목 등 티베트 공동체에서 관심을 가질 만한 주제가 포함된 이름이 포함되어 있습니다. 이러한 주제를 선택한 것은 수신자가 파일을 받아들이고 클릭하도록 유도하기 위해 고안된 것일 수 있습니다. 티베트 관련 샘플이 현재 티베트 망명 정부가 있는 인도에서 제출되었다는 점은 주목할 만하며, 이는 파일 수신자가 VirusTotal에 해당 파일을 제출했을 가능성이 있음을 시사합니다. X-Force는 병행 캠페인에서 미 해군을 표적으로 삼은 것으로 보이는 파일을 발견했으며, 이는 미 해군과 다른 당사자 간에 진행 중인 실무 그룹 회의에 대해 논의할 가능성이 있었습니다.
미끼 이름
제출자 국가
Claimloader DLL SHA256
날짜
DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe
미국
c80dfc678570bde7c
2025년 4월 17일
སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe
(티베트어 번역본: 이중 언어 교육 개혁 보고서/이중 언어 교육 개혁 보고서.exe)
인도
93f1fd31e197a58b03c
2025년 5월 26일
Voice for the Voiceless photos/Voice for the Voiceless photos.exe
인도
3e7384c5e7c5764258
2025년 5월 28일
(USPACFLT) Working_Group_
미국
8cd4324e1e764aafba
2025년 6월 9일
"སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ/སྐད་གཉིས་སློབ་གསོ་བསྒྱུར་བཅོས་སྙན་ཞུ.exe"(티베트어 번역본: 이중 언어 교육 개혁 보고서/이중 언어 교육 개혁 보고서.exe): 이 주제는 티베트 공동체에 매우 중요하며, 티베트의 문화적 동화는 Human Rights Watch의 보고서에서 언급되었습니다.
"Voice for the Voiceless photos/Voice for the Voiceless photos.exe": 이 내용은 2025년 3월 티베트 망명 지도자 달라이 라마가 출판한 책을 참조한 것입니다. 그는 티베트의 독립에 관해 중국 지도자들과 나눈 대화에 대해 글을 썼습니다.
"DRC Mining, Strategic Minerals Development Policy/April 17/DRC Mining, Strategic Minerals Development Policy.exe": 이 파일은 콩고민주공화국(DRC)이 미국과의 채굴 계약을 체결하고 우크라이나가 미국과 유사한 계약을 체결하는 것을 지켜본 후 이 계약에 대한 지지를 얻기 위한 노력에 대한 언급일 수 있습니다. 2025년 6월 현재 DRC는 이웃 르완다의 지원을 받고 있는 M23 반군에 대한 군사 및 외교적 지원을 대가로 미국과의 계약을 마무리하려 하고 있습니다.
"(USPACFLT) Working_Group_Meeting/DF for After Activity Report on the conduct of 4th PN-United States Pacific Fleet (USPACFLT) Working Group Meeting (WGM).exe": 이는 미 해군의 태평양 함대와 환태평양 지역 국가에 대한 지원 활동에 대한 언급일 수 있습니다. 이 함대는 미국 인도 태평양 사령부에 해군을 제공하며 대만에서 분쟁이 발생할 경우 요청을 받을 수 있습니다.
Claimloader는 지난 몇 년 동안 크게 발전한 로더 제품군입니다. 여기에는 암호화된 셸코드 페이로드가 포함되어 있으며, 이 페이로드는 런타임에 해독되어 주입됩니다. 이전 블로그에서는 Hive0154에서 사용된 이전 변형에 대한 자세한 기술 세부 정보를 제공합니다.
첫 번째 실행에서 Claimloader는 새 뮤텍스 개체를 생성하여 Claimloader의 단일 인스턴스만 실행되도록 하는 것으로 시작합니다. 그런 다음 자신과 DLL 사이드로딩에 사용되는 해당 프로세스의 EXE를 다음과 같은 새 이름으로 새 디렉토리로 이동합니다.
다음으로, Claimloader는 API SHSetValueA()를 사용하여 아래 레지스트리 키를 통해 EXE에 대한 지속성을 설정합니다.
이로 인해 현재 사용자가 시스템에 로그온할 때마다 EXE가 실행됩니다. 이 프로세스는 "라이선싱"과 같이 미리 정의된 인수를 사용하여 실행되며, 이 인수는 Claimloader의 주요 기능을 호출하는 데 사용됩니다.
지정된 인수를 사용하여 두 번째 Claimloader를 실행하면 최신 Claimloader 변형이 트리플DES 알고리즘을 통해 내장된 페이로드의 암호를 해독하기 시작합니다. 이 알고리즘은 2025년 4월 말부터 Claimloader 변형에서만 관찰되었습니다. 업데이트된 변형은 또한 XOR 암호화 API 이름과 네이티브 API인 LdrLoadDll() 및 LdrGetProcedureAddress()를 사용하여 가져오기를 동적으로 해결합니다.
5초 동안 휴면 상태인 후 Claimloader는 메모리에 새 실행 버퍼를 할당하고 셸코드 페이로드를 메모리에 복사합니다. 멀웨어는 10초 더 휴면한 다음 API의 GetDC() 및 EnumFontsW()를 호출하여 진입점을 콜백 함수로 전달하여 메모리에서 페이로드를 실행하는 데 사용합니다.
Pubload 셸코드 페이로드는 마지막 보고 이후 업데이트되지 않았습니다. 주요 기능을 실행하기 전에 간단한 자체 암호 해독 루틴이 포함되어 있습니다. Pubload는 메모리에 주입되는 암호화된 셸코드 페이로드를 다운로드할 수 있는 간단한 백도어입니다. 첫 번째 페이로드 중 하나는 감염된 시스템에 즉시 액세스할 수 있도록 리버스 셸을 구현하는 PubShell 모듈입니다.
Hive0154는 활성 하위 클러스터가 여러 개 있고 개발 주기가 빈번하여 여전히 유능한 위협 행위자입니다. X-Force는 Hive0154와 같이 중국과 연계된 그룹이 대규모 멀웨어 무기를 계속 개선하고 전 세계 공공 및 민간 조직을 표적으로 삼을 것이라고 높은 확신을 가지고 평가합니다. Hive0154 활동의 위험에 처한 엔티티는 강화된 방어 보안 상태를 유지하고 이 보고서에 언급된 기술과 관련하여 경계를 늦추지 않아야 합니다.
지표
지표 유형
컨텍스트
2bd60685299c62abe500fe80e
SHA256
Claimloader DLL
c80dfc678570bde7c19df21877a1
SHA256
Claimloader DLL
93f1fd31e197a58b03c6f5f774c138
SHA256
Claimloader DLL
3e7384c5e7c5764258947721c77
SHA256
Claimloader DLL
8cd4324e1e764aafba4ea0394a8
SHA256
Claimloader DLL
7979686bf73c2988ab5d57f9605
SHA256
무기화된 아카이브
ea991719885b2fe91502218ff3be1
SHA256
무기화된 아카이브
6e408aada775eaf19c524792344c
SHA256
무기화된 아카이브
57770ede7015734e2d881430423b
SHA256
무기화된 아카이브
fb33f222b3d4d5edc9b743e6428
SHA256
무기화된 아카이브
218.255.96[.]245:443
IPv4
Pubload C2 서버
