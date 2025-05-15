태그
미국, 필리핀, 파키스탄, 대만을 겨냥한 스파이 캠페인으로 의심되는 Hive0154

디지털 선으로 지구상의 지점을 연결하여 우주에서 본 지구

Golo Mühr

Malware Reverse Engineer

IBM

Joshua Chung

Cyber Threat Intelligence Analyst

IBM Security

2025년 5월 현재 IBM X-Force는 무기화된 ZIP 아카이브를 사용하여 Pubload 및 Toneshell 백도어를 배포하는 것으로 의심되는 스파이 활동을 추적하고 있습니다. X-Force는 2024년 말에 시작되었을 것으로 보이는 이 캠페인이 중국과 연계된 위협 행위자 Hive0154의 덕분이라고 보고 있습니다. Hive0154의 작전은 Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris 및 Earth Preta로 추적되는 그룹과 겹칩니다. 이 자료에는 필리핀, 미국, 파키스탄의 정부, 군사 및 외교 관계자를 유인하기 위해 고안된 것으로 보이는 정치적인 주제의 미끼가 포함되어 있습니다끼 Hive0154 하위 클러스터는 과거에도 비슷한 전술을 사용했습니다. 특히, 이들은 Claimloader 멀웨어를 사용하여 피해자 환경에 직접 액세스할 수 있는 영구 백도어를 설치하여 세계 정부의 새로운 결정에 대한 고급 인사이트를 확보했습니다. X-Force는 또한 이 그룹이 USB 웜을 사용하여 대만에서 Pubload를 유포하고, 잠재적으로 에어 갭이 있는 네트워크에 도달하는 것을 관찰했습니다.

주요 결과

  • Hive0154는 지난 몇 년 동안 대규모 멀웨어 무기고, 일관된 기술, 잘 문서화된 활동을 통해 중국과 연계된 위협 행위자로 잘 알려진 조직입니다.
  • 멀웨어 무기고 중에서도 X-Force는 필리핀, 미국, 파키스탄 정부, 군인 및 외교 담당자를 대상으로 하는 특정 사용자를 대상으로 설계된 여러 도구를 발견했습니다.
  • X-Force의 발견에 따르면 Hive0154는 첫째, 남중국해 긴장을 이용한 필리핀, 둘째, 발로치스탄 분리주의자들의 활동을 이용한 파키스탄, 셋째, 위조된 국가안보회의 회의록을 이용한 미국과 같이 특정 대상에 맞춰 지정학적 주제를 사용하는 것으로 나타났습니다.
  • 이러한 맞춤형 공격은 Hive0154가 미국 행정부와 중국에 인접한 국가의 잠재적 전략과 의도에 대한 정보를 얻으려고 시도할 가능성이 높다는 것을 시사합니다.
  • Hive0154의 하위 클러스터 중 하나는 지속적으로 진화하는 Claimloader 변형을 사용하여 관련 Pubload 및 ToneShell 백도어를 배포하고 유럽, 아시아 태평양 지역 및 미국의 대상 엔티티를 대상으로 삼고 있습니다.
  • X-Force는 HIUPAN USB 웜을 사용하여 주요 제조 회사에 Pubload 백도어를 확산시킨 대만에서의 최근 활동을 조사했습니다. Hive0154는 또한 2025년 5월 대만을 표적으로 삼기 위해 송장 및 법률 문서와 관련된 파일 이름을 미끼로 사용합니다.

Hive0154 개요

Hive0154는 최소 2022년부터 ToneShell 멀웨어 제품군을 사용하여 전 세계 사이버 작전을 수행해 왔습니다. Pubload 및 PubShell(NoFive라고도 함)과 같은 ToneShell 관련 멀웨어는 이 그룹이 운영의 일부로 별도의 멀웨어를 유지하고 있음을 나타냅니다. 이 그룹은 여러 하위 클러스터로 구성되어 있으며 싱크탱크, 정책 그룹, 정부 기관 및 개인을 포함한 공공 및 민간 조직을 대상으로 합니다. X-Force는 이 위협 행위자가 여러 개의 독립적인 멀웨어 로더, 백도어 및 USB 웜 제품군을 사용하고 여러 보안 연구 팀이 지속적으로 보고하는 활동을 통해 입증된 바와 같이 잠재적인 위협으로 평가합니다.

이전 활동

2023년, Palo Alto는 X-Force가 추적하는 Hive0154 하위 클러스터 중 하나가 다양한 미끼를 사용하여 Pubload 백도어를 유포하고 있다고 보고했습니다. 아래 미끼 중 일부는 2024년 1월 CSIRT CTI가 보고한 미얀마에 대한 캠페인과도 일치합니다. 아래의 미끼는 동남아시아 국가와 호주에 대한 중국의 지속적인 관심을 보여줍니다.

미끼 이름

설명

SHA256

날짜

Notice re UEC, (04-25-2023 Day).zip

알 수 없음

167a842b97d0
434f20e0cd6cf
73d07079255a7
43d26606b94fc
785a0f3c6736e

2023년 4월

April 27 updated party list.zip

알 수 없음

41276827827b9
5c9b5a9fbd198b
7cff2aef6f90f2b2b
3ea84fadb69c55
efa171

2023년 4월

Biography of Senator the Hon Don Farrell.zip

파일 이름은 호주 무역부 장관에 대한 호주 무역관광부 웹사이트에 표시된 제목을 그대로 복사한 것으로 보입니다.

4fbfbf1cd2efaef1
906f0bd2195281
b77619b9948e82
9b4d53bf1f198ba
81dc5

2023년 4월

SAC에는 총선을 위한 몇 가지 교육 요건이 있습니다.

알 수 없음

782e074601f5b1
7e045d7c8c6380
bbb90ab2a1834b
30740d662d6c7f2
c5372fe

2023년 4월

National Security Priority Programs.zip

알 수 없음

a02766b3950dbb
86a129384cf9060c
11be551025a7f469e
3811ea257a47907d5

2023년 5월

230605 Ministerial meeting minutes (1).zip

이 파일은 2023년 6월 8일 파리에서 호주, 캐나다, 일본, 미국, 영국, 뉴질랜드 장관들이 아시아 태평양 지역의 불공정 무역 관행과 관련해 발표한 선언문을 참고한 것으로 보입니다.

178e92c59afe4c
590436579d9ba
98f6afafddf1bf05
f570539729a8f00
34d798

2023년 6월

NUG's Foreign Policy Strategy.zip

이 문구는 내전에 휩싸인 미얀마에서 벌어지고 있는 상황과 관련하여 CSIS 인도네시아 웹 페이지에 나타난 것으로, 중국이 미얀마 군사정권 정부를 지원하기 위해 보안 요원을 파견하는 방안을 검토 중인 것으로 알려졌다고 보도했습니다.

ba7c456f229adc
4bd75bfb87681
4b4deaf6768ffe
95a03021aead03
e55e92c7c

2023년 8월

Analysis of the third meeting of NDSC.zip

이 파일은 2024년 초에 Stately Taurus가 미얀마 정부를 상대로 벌인 캠페인의 일부였을 가능성이 있습니다. 2023년 10월경, 미얀마는 반군 세력과 정부군 간의 내전에 휘말렸고, 반군은 중국으로 통하는 주요 무역로를 사실상 장악했습니다. 

4e8717c9812318f8
775a94fc2bffcf050
eacfbc30ea25d0d3
dcfe61b37fe34bb

2023년 11월

    

무기화된 ZIP 파일에는 일반적으로 악성 DLL을 사이드로드하는 데 사용되는 SolidPDFCreator.exe(e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942)와 같이 이름이 변경된 합법적인 실행 파일이 포함되어 있습니다. DLL은 Claimloader 제품군의 일부로, 수년 동안 Hive0154에서 Pubload 및 ToneShell 백도어 제품군과 관련된 페이로드를 로드하는 데 사용된 다양한 셸코드 로더 변형으로 구성됩니다.

2024년 한 해 동안 추가적인 Hive0154 활동이 기록되었으며, 그 중 일부는 FatzQuatz, StrikeReadyLabs Twitter/X 계정 및 Hunt.io에 의해 보고되었습니다.

미끼 이름

설명

SHA256

날짜

Meeting Request--30-31-05.zip

알 수 없음

09597c284
4067d8ee67
13137cd2739f
4f3c9009fd8d
59a149742442
4c96cf341

2024년 5월

EBO Brainstorming Friday 24 to
Saturday 25 May 2024.zip

알 수 없음

78a60bea56
93138c77138
6b8c22f0adfe
6765a6313b80
488bd1084bc9
ed370bd

2024년 5월

Attendee list template (24-6-2024).zip

알 수 없음

b7d13787c8be
72dcc584c516
e7185a6e6513
8aa247d63156
afc7e376b3c01
dc2

2024년 6월

Notice of Final Meeting.zip

알 수 없음

fef713b23717
9f4d6bea899
687d91073c45
7e0487b6efd91
3902089444a7
d2f2

2024년 7월

a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
Competitiveness
on the World Stage.pptx

알 수 없음

727ccc4560
fb11627870ff
2cac2349d65
6e25d1f566d9
2e98eb7cb80
d771fa22

2024년 7월

Interview with Surachet
Praweewongwut.rar

알 수 없음

f00e5ff2dc47
a7625c86ac8
9784d5aa26b
210a8437b9fb
150b66eb3798
b3c1d6

2024년 8월

IISS Prague Defence Summit 2024.zip

2024년 11월 프라하에서 열린 IISS 국방 서밋 참가자를 대상으로 한 Mustang Panda 캠페인이 이전에 보고되었습니다.

1387ec22a339
1647e25d2cb7
22cd89e255d3
ebfe586cf5f69
9eae22c6e008
c34

2024년 8월

NDI-IRI_Election_
Observation_
Mission_Report.zip

파일 이름은 2023년 6월에 발표된 나이지리아 선거 관련 NDI-IRI 보고서를 참조한 것으로 보입니다. 이 보고서는 미국 국제개발처(USAID)의 지원을 받아 작성되었습니다.

ac989df2715a
26df9e039e9e
0d73ed84337e
eb07a4a45901
858acbb09c90
50c4

2024년 8월

leadership information list.zip

알 수 없음

3a37a127a4253
60d00588bf652
7a1687ce2d7c73
6a6c3fdec4f83
a752ba3c3fd

2024년 8월

Request for Inputs for the 6th
Philippines-
Thailand Joint
Commission for Bilateral
Cooperation
(JCBC)
Ministerial
Meeting.exe

이 미끼는 2024년 10월에 열린 태국과 필리핀의 양자 회담을 가리키는 것으로 보입니다.

057fd248e0219
dd31e1044afb7b
c77c5f30a7315e1
36adfcca55ce159
3d6cf5d
(적법한 EXE,
해당
DLL 알 수 없음)

2024년 9월

Bencana_Air_
dan_
Pandemik_
TNB_UTM_
23_Oktober_
2024_1.rar

이 미끼 문서는 말레이시아 국가재난관리청(NADMA, Agensi Pengurusan Bencana Negara)과 말레이시아의 코로나19에 대한 지속적인 대응에서 가져온 것으로 보입니다. 

cc4e5d175fc85685
e7f31c2e7797a3d3a
74e751716724b8603
3e92321fef1bae

2024년 10월

    

ZIP 내의 DLL 사이드로딩 기술은 동일하게 유지되지만, 다른 버전의 Claimloader DLL이 암호 해독 알고리즘을 변경하여 등록되었습니다. 일부 캠페인에서는 ToneShell DLL(0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b)을 직접 사용하기도 했습니다. 

남중국해를 둘러싼 긴장

X-Force는 2024년 말과 2025년 초에 동일한 Hive0154 하위 클러스터에 기인한 동일한 TTP를 따르는 여러 개의 새로운 캠페인을 관찰했습니다. 최신 Claimloader 변형은 셸코드 페이로드를 주입하기 전에 설치 루틴의 일부로 미끼 PDF를 열 수도 있습니다. PDF와 DLL은 파일 속성을 사용하여 표준 사용자에게 숨겨진 상태를 유지합니다.

두 개의 미끼와 관련 미끼 파일명은 중국과 필리핀 간의 남중국해 긴장을 구체적으로 언급하고 있으며, 필리핀 정부는 중국군의 활동 증가에 따라 미국과 긴밀한 군사 협력을 촉구하고 있습니다. 이러한 개발은 수신자의 더 많은 관심을 유도할 수 있으며, 수신자는 첨부 파일을 열어보려는 경향이 더 커질 수 있습니다. 이러한 수신자에는 필리핀 정부, 군인 및 외교관이 포함될 수 있으며, 파일 이름에서 제시된 주제에 대한 참여가 의무로 간주될 수 있는 미국 정부 및 군인이 포함될 수도 있습니다.

미끼 이름

미끼 파일 이름

관련 DLL SHA256

날짜

Assessment Report 10-17 Oct\China, Philippines' clash over
South China Sea sovereignty
.exe

20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf

93fb8b78d65a9
ef790be6d20552
397373e5d60302
bf7618af19b53cd0
696b70a

2024년 10월

Defense_
Cooperation_
with_the_US\
US_task_
force_backs_
Philippine_
operations
_in_South_
China_Sea.exe

2025.pdf

a6dfb41bbad08e3f
e663efa325e4c58d
9fddb4fe78f38bce18
0dfc4956581aea

2024년 11월

두 루어 모두 Claimloader DLL을 사이드로드하는데, 이 DLL은 아래에서 자세히 설명한 동일한 Toneshell 백도어를 로드합니다. 

Claimloader

Claimloader는 과거 Hive0154에서 ToneShell 및 Pubload를 포함한 다양한 셸코드 페이로드를 로드하는 데 사용했던 로더 제품군입니다. 수년에 걸쳐 다양한 기능을 갖춘 여러 버전으로 발전했습니다.

초기 샘플 중 하나는 2021년 말에 작성되었으며, Palo Alto의 Unit 42에서 출판되었습니다. UUIDFromStringa API를 통해 셸 코드를 버퍼에 복사하는 흥미로운 기술을 사용합니다. 또한 셸코드는 EnumSystemLanguageGroupsA에 전달된 콜백 함수로 실행됩니다 .

초기 Claimloader 샘플 코드
그림 1: 초기 Claimloader 샘플(cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86)

비슷한 기법이 이전에 NCC 그룹 에서 보고된 바 있습니다.

2022년 11월, LAC는 이전 섹션에서 설명한 2023~2024년의 활동과 거의 동일한 감염 체인에서 필리핀의 정부 조직을 표적으로 삼은 것으로 보이는 Claimloader 변형에 대해 보고했습니다. 이 변형은 페이로드를 32바이트의 암호화된 스택 문자열 블록으로 저장한 후 각각을 복호화합니다. 또한 레지스트리 또는 예약된 작업을 통해 지속성을 설정하기 전에 합법적인 실행 파일과 Claimloader DLL을 새 디렉토리에 복사하여 효과적으로 로더이자 설치 프로그램으로 만듭니다.

실행 시 멀웨어는 하드코딩된 뮤텍스를 생성하여 Claimloader의 단일 인스턴스만 실행되도록 하는 것으로 시작합니다. 그런 다음 첫 번째 실행에 없는 특정 명령줄 인수가 있는지 확인합니다. 이 경우 Claimloader는 다음과 같은 소프트웨어 디렉토리를 모방하여 EXE와 DLL을 눈에 띄지 않는 새로운 디렉토리(종종 "C:\ProgramData\")에 복사합니다.

  • C:\ProgramData\NVIDIACorporatione\
  • C:\ProgramData\NVIDIACorporation\
  • C:\ProgramData\jxbrowserEdgeBLA\
  • C:\ProgramData\jxbrowserEdgeIDWT\
  • C:\ProgramData\JxbrowserChromium\
  • C:\ProgramData\FastPerfPDF\
  • C:\ProgramData\NVIDIAFrameViewSDK\

이 동작은 대부분의 최신 Claimloader 샘플에서 사용되며 샌드박스 실행이 실패할 수도 있습니다. 

다음으로, 멀웨어는 올바른 명령줄 인수가 포함된 EXE 경로를 새 레지스트리 키에 눈에 잘 띄지 않는 소프트웨어 이름으로 다시 저장하여 로그인 시 지속성을 설정합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

또한 Claimloader는 다음 프로세스를 생성하여 5분마다 로더를 실행하는 예약된 작업을 생성함으로써 보조 지속성 메커니즘을 사용합니다.

schtasks /F /Create /TN \"<fake_software_name>\" /SC minute /MO 5 /TR
\"C:\\ProgramData\\<path_to_exe> <hardcoded_argument>\"

정확한 방법은 다를 수 있습니다. 예를 들어 한 샘플에서는 COM 객체를 대신 사용하여 ITaskService 인터페이스 (8957c8de9032b347ee1a15abbae489788533ac0b1a000a2104812df24fb8ce)에 연결하여 작업을 예약했습니다. 

Claimloader의 암호 해독 알고리즘은 DES(최신 버전)간에 샘플이 다양했으며, 하드코딩된 시드를 사용하여 _srand() 함수를 통해 키스트림을 생성하는 AES 및 XOR 기반 암호 해독 루틴이 두 개 이상 구현되었습니다.

Claimloader AES 128 ECB 암호 해독
그림 2: Claimloader AES 128 ECB 암호 해독(a6dfb41bbad08e3fe663efa325e4c58d9fddb4fe78f38bce180dfc4956581aea)
암호 해독 중에 키스트림을 생성하기 위해 체크섬과 시드된 _srand()를 사용하는 Claimloader
그림 3: 암호 해독 중에 키스트림을 생성하기 위해 체크섬과 시드된 _srand()를 사용하는 Claimloader(8f4ee5e0b85020f2a040f54dccd24b7e9400c1aa5be8f8988f032e020e371dba)

대부분의 Claimloader 변형은 암호 해독 후 페이로드를 실행하기 위해 콜백 함수와 함께 API를 사용하지만, 새 스레드를 생성하거나 페이로드를 함수로 직접 호출하는 변형도 있습니다.

다음은 다양한 Claimloader 샘플과 그 기법에 대한 표입니다.

샘플 SHA256

DLL 이름

지속성

 암호 해독

 실행 기술

3af7807efb105
25196c562c1f91
d2f009c836630
a899f76e2db80
ae7c1714d01

Amind
PDF
Core.dll

레지스트리 및 예약된
작업 "Amind
PDF"

 _srand() 키스트림

EnumPropsExW

8957c8de9032
b347ee1a15abb
ae489788533a
cac0b1a000a21
04812df24fb8ce 

libemb
.dll

COM "Fhbemb Update"를 통한 레지스트리 및 예약된 작업

 AES

직접 호출

d665f55555f87
b515cb8ef1adce
9592a83662a8c4
efa34f6ffdd02247
5bd176a

CCleaner
Reactivator
.dll

해당 사항 없음

 스택 문자열에 페이로드가 저장된 AES

EnumCalendarInfoExW

c7efd45aa7dd1e
cd05571f15d83e
9c9fb92090286
87498bf3ce52411
a44662ac

Solid
PDF
Creator
.dll

레지스트리 및 예약된 작업 "jxbrowser-chromiumim"

 AES

EnumFontsW

a6dfb41bbad08
e3fe663efa325e
4c58d9fddb4fe7
8f38bce180dfc49
56581aea

jx
browser-chromium
-lib.dll

레지스트리 및 예약된 작업 "jxbrowser-chromiumim"

 AES

EnumFontsW

900af2b8d03b4
0cdb027126d47e
65375351784648
33770741bab8e74
026334c7

helper_
core.dll

레지스트리 및 예약된 작업 "Wargaming
Group"

 _srand() 키스트림

EnumFontsW

4c66e7ebf2ca2e
cf00379463835e
6a2d5b0231d93f
b274a968e75f45
b9b7adbc

helper_
core.dll

레지스트리 및 예약된 작업 "NVIDIA_
GPU_Core"

 DES

EnumFontsW

최근 몇 가지 샘플에는 Claimloader를 처음 실행할 때 미끼 PDF를 표시하는 지원이 추가되었습니다.

실행 중 미끼 PDF를 열고 파일 속성을 제거하는 Claimloader
그림 4: 실행 중 미끼 PDF를 열고 파일 속성을 제거하는 Claimloader

사용자를 위해 PDF 파일을 연 후 Claimloader는 "System" 및 "Hidden" 파일 속성을 제거하여 열린 폴더에서 사용자가 PDF를 영구적으로 볼 수 있도록 합니다. 

게시 당시 최신 Claimloader 변형은 0x99로 XOR 암호화된 난독화된 API 및 DLL 이름을 사용합니다. 실행 중에 로더는 문자열을 해독하고 LdrLoadDll LdrGetProcedureAddress를 호출하여 필요한 API에 대한 함수 포인터를 확인합니다.

XOR 암호화된 API 이름을 확인하는 Claimloader
그림 5: XOR 암호화된 API 이름을 확인하는 클레임 로더

ToneShell 

남중국해 미끼와 관련된 두 Claimloader DLL은 모두 동일한 ToneShell 백도어(5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078)를 셸코드로 로드하며, 이는 동일한 시간에 유효한 PE입니다. 

ToneShell 백도어의 DOS 헤더에 있는 로더 셸 코드
그림 6: ToneShell 백도어의 DOS 헤더에 있는 로더 셸 코드

DOS 헤더는 PE의 기본 주소를 인수로 제공하면서 오프셋 0x4200에서 다른 함수를 호출하기 위한 작은 스텁을 포함하도록 수정되었습니다. 이 로더 기능은 PE를 수동으로 로드하여 필요한 가져오기를 해결하고 섹션을 메모리에 매핑합니다. 이 기술을 통해 멀웨어 개발자는 컴파일 후 유효한 PE를 셸코드로 변환할 수 있습니다. 

ToneShell 제품군은 다양한 변형으로 구성되어 있으며 시간이 지남에 따라 크게 발전했습니다. Pubload 백도어와 강력한 코드 오버랩을 공유하지만 X-Force에서 별도로 추적합니다. 변형은 C2 메커니즘, 사용자 지정 C2 프로토콜, 지원되는 명령 및 API 해시가 다를 수 있습니다. X-Force는 또한 ToneShell 제품군으로 "Tonedisk"라는 USB 웜 프레임워크의 여러 버전을 그룹화합니다. 

위 캠페인의 ToneShell 백도어는 비교적 간단한 변형으로, C2 서버를 통해 리버스 셸을 설정하도록 설계되었습니다. 

먼저 API를 확인하고 CoCreateGuid를 통해 새 GUID를 만듭니다. 그 결과 16바이트가 고유한 피해자 식별자로 사용되며 새 파일에 기록됩니다.

c:\\users\\public\\description.ini

그런 다음 새 이벤트 "Fool87012900137"을 만들어 실행 중인 유일한 인스턴스가 되도록 하기 위한 뮤텍스로 사용합니다. Toneshell은 다른 구성 값 중에서도 C2 서버 주소(45[.]136[.]254[.]193:443), GUID 및 피해자의 컴퓨터 이름으로 기본 구조를 초기화합니다. 또한 Microsoft "rand" PRNG의 구현을 초기화합니다.

ToneShell은 C2 서버에 명령을 쿼리하는 각 비콘에 대해 PRNG에서 다음 256바이트 키를 생성하며, 이는 C2 통신, GUID 및 컴퓨터 이름을 암호화하는 데 사용됩니다.

C2 키를 생성하고 GUID 및 컴퓨터 이름을 암호화하는 Toneshell 함수
그림 7: C2 키를 생성하고 GUID 및 컴퓨터 이름을 암호화하는 Toneshell 함수

TCP 비콘에는 TLS 애플리케이션 데이터 패킷(17 03 03)을 모방한 헤더로 포맷된 다음 값이 포함되어 있습니다.

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE c2_key[256];  
    BYTE encrypted_data[];  // XOR encrypted (GUID + computer name +
zero_byte)
}

ToneShell은 서버에서 비슷한 응답을 기대합니다.

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

응답을 복호화한 후, 첫 번째 바이트는 명령 값으로 구문 분석되고, 두 번째 바이트는 생성된 파이프의 식별자로 사용되고, 나머지는 명령 페이로드로 사용됩니다.

명령을 처리하기 전에 ToneShell은 30초마다 하트비트와 같은 응답 비콘을 보내는 새 스레드를 만듭니다. 또한 모든 비콘은 초기화된 PRNG 키스트림에 의해 생성된 다음 4바이트 중 가장 낮은 바이트의 정확한 바이트를 전송하여 C2 서버로 통신의 무결성을 확인해야 합니다. 이러한 비콘의 형식은 다음과 같습니다.

struct BEACON_CMD_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE response_code;
    BYTE next_keystream;    // low-byte of next 4 bytes generated by the
initialized PRNG keystream
    BYTE encrypted_data[];  // XOR encrypted data
}

이 버전의 ToneShell은 다음과 같은 C2 명령 코드를 지원합니다.

코드

설명

1

대기 - 비어 있지 않은 페이로드가 있는 명령을 계속 대기합니다.

2

새 파일 만들기(이미 있는 경우 삭제)

3

파일에 데이터 쓰기

4

파일에 데이터 쓰기 및 응답 비콘을 통해 확인

5

파이프를 통한 리버스 셸 생성

6

파이프에 셸 명령 쓰기

7

리버스 셸 종료

리버스 셸을 생성하기 위해 Toneshell은 두 개의 익명 파이프를 설정하고 이 파이프를 사용하여 새 cmd.exe 프로세스를 생성하여 stdin에 데이터를 쓰고 stdout 및 stderr에서 데이터를 읽습니다. 

익명 파이프를 사용하여 리버스 셸을 만드는 Toneshell
그림 8: 익명 파이프를 사용하여 리버스 셸을 만드는 Toneshell

새 프로세스의 시작 정보 구조에 파이프에 핸들을 추가하면 Toneshell은 파이프에 쓰기만 하면 임의의 명령을 실행할 수 있습니다. 새 스레드에서 Toneshell은 100ms마다 PeekNamedPipe를 사용하여 새 아웃풋을 위해 파이프를 엿봅니다. 모든 새 데이터는 파이프에서 읽혀져 C2 서버로 다시 전달됩니다.

2025년 초 활동

2025년 2월 현재 X-Force는 위에서 설명한 것과 같이 유사한 형태의 클레임로더를 통해 Pubload 백도어를 제공하는 Hive0154 캠페인을 관찰했습니다. 아래 4개의 샘플은 동일한 C2 서버 218[.]255[.]96[.]245:443을 공유합니다.

미끼 이름

제출자 국가

Claimloader DLL 이름

Claimloader 뮤텍스

DLL SHA256

날짜

BLA,BLF,
BRAS,
BRG,BRA,
UBA
(Research & Analysis) Report.exe

 파키스탄

 SolidPDF
Creator.dll

 TB2025
1202

c7efd45aa7
dd1ecd0557
1f15d83e9c9f
b920902868
7498bf3ce52
411a44662ac

 2025년  2월 12일

알 수 없음

 홍콩

 SolidPDF
Creator.dll

 MTM2025
1103

087ccc7f6c02
2dc5fd40ade3
ef6adaecd51f4
7e52619cae6b5
85b84b7acc7633

 2025년 3월 11일

(The_
Military_
Balance_
2025)-Page-
A.zip

 필리핀

 chrome_
elf.dll

 CATM2025
2003

216188ee52b0
67f761bdf3c45
6634ca2e84d2
78c8ebf35cd4cb
686d45f5aaf7b

 2025년 3월 20일

NSC_
Meeting
_Minutes_
Apr2025.lnk

 미국

 helper_
core.dll

 GameBox
ABC

900af2b8d03b
40cdb027126d4
7e653753517846
4833770741bab8
e74026334c7

 2025년 4월 17일

Invitation to
the Inter-
Agency
Meeting for
the46th
ASEAN Summit.exe

 필리핀

 helper_
core.dll

 

 GameGpu
0428

4c66e7ebf2ca2
ecf0037946383
5e6a2d5b0231d9
3fb274a968e75f
45b9b7adbc

 2025년 4월 29일

豐德電廠
114年5月份
現金需求
表/114.04~
114.06
月現金需
求表
(114年度5月)
.exe

 알 수 없음(대만일 가능성이 높음)

 helper_
core.dll

 

 GameFind
057

112118aad0db9ff
6c78dce2e81d97
32537ac9cd71412
409fa10c7446f71
ed8ec

 2025년 5월 7일

英諾飛保
密合約書
-NDA-
亞航 v英
諾飛-AACLlegal
1105.exe

 

 대만

 helper_
core.dll

 

 알 수 없음

알 수 없음

 2025년 5월 8일

Invitation letter
for the
com
Workshop
- AMB.exe

 알 수 없음

 helper_
core.dll

 GameBox
TV59

7476d6b375d8
b1962624723aa
be6f5054567ce1
51ade06ae1353f6
49c4c4e763

 2025년 5월 9일

위의 LNK 파일의 경우, 이름이 변경된 합법적인 실행 파일을 실행하여 Claimloader의 DLL 사이드로딩을 시작합니다.

C:\Windows\System32\conhost.exe --headless --width 80 --height 90 explorer
(NSC_Meeting)-0416\NSC_Meeting_Minutes_Apr2025.exe

무기화된 ZIP 파일 중 하나에는 "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe"로 이름이 변경된 합법적인 실행 파일이 포함되어 있었습니다. 이 미끼는 무장 분리주의 단체인 발로치 해방군(BLA) 및 발로치스탄의 새로운 국가 수립을 요구하는 기타 관련 무장 단체를 지칭하는 것으로 보입니다.  미끼에 이러한 이름을 사용하는 것은 관심 있는 수신자가 첨부 파일을 클릭하도록 유도하기 위한 공격자의 노력일 가능성이 높습니다.

또 다른 파일인 "NSC_Meeting_Minutes_Apr2025.lnk “는 미국 국가안전보장회의(NSC) 회의 및 작성된 것으로 알려진 메모를 가리킬 수 있는데, 이는 미국 정부 내 개인 또는 미국 정부 업무와 관련된 정보, 학계 또는 저널리즘에 관련된 기타 개인의 관심을 끌 수 있습니다. 파키스탄 공무원을 잠재적으로 표적으로 삼은 'BLA' 미끼처럼, 이 미끼도 첨부 파일을 클릭하도록 수신자를 유혹하는 파일 이름을 이용해 미국인을 대상으로 할 가능성이 있습니다.

"Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe"이라는 파일 이름은 2025년 5월 26일과 27일 말레이시아에서 개최되는 동남아시아국가연합(ASEAN) 정상회의를 의미할 수 있습니다.

파일명 "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe"는 2015년 4월/ 5월경 대만 Fongde 발전소의 결제 송장을 가리킬 수 있습니다.

마지막 파일인 "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe"는 무인 항공기(UAV) 및 항공기 정비와 관련된 두 대만 항공 우주 회사 간의 기밀 유지 계약으로 추정되는 파일일 수 있습니다.

Pubload

Pubload는 Cisco Talos에서 2022 년에 이름 없는 스테이저로 처음 설명한 백도어입니다. 참고로 X-Force에서는 셸코드 로더를 Claimloader로, 1단계 셸코드 다운로더를 Pubload로 식별하는 반면,TrendMicro 보고에서는 두 가지 모두 Pubload로 식별합니다. Claimloader는 Pubload와 ToneShell을 모두 로드하는 데 사용되었습니다. T5 팀은 Pubload와 Pubshell을 NoFive로 추적합니다.

Pubload 셸코드 페이로드는 32바이트 XOR 키를 사용하여 나머지 셸코드를 XOR 해독하는 것으로 시작됩니다.

Pubload 셸코드 자체 암호 해독 루틴
그림 9: Pubload 셸코드 자체 암호 해독 루틴

이 자체 암호 해독 루틴은 위의 네 가지 Claimloader 샘플 중 두 번째 샘플에서만 추가되었습니다. 암호 해독 후에는 ROR13 알고리즘을 통해 난독화된 모든 필수 API를 해결합니다. 다음으로, 새 메모리를 할당하고 하드코딩된 C2 서버 주소와 암호화 키로 기본 구조를 설정한 다음 기본 동작을 시작합니다.

Pubload의 메인 루프는 다음 값을 열거하는 것으로 시작됩니다.

  • GetVolumeInformationA를 통한 C 드라이브의 디스크 볼륨 일련 번호.피해자 ID로 사용되는 0x12345678을 추가하여 난독화
  • GetTickCount를 통한 머신의 틱 카운트
  • GetComputerNameA를 통한 피해자의 컴퓨터 이름
  • GetUserNameA를 통한 피해자의 사용자 이름

이 값은 첫 번째 비콘 페이로드의 형식이 됩니다.

struct BEACON_PLAIN
{
    BYTE beacon_code;       // always 0x0A for Pubload
    DWORD serial;               // obfuscated volume serial
    BYTE victim_data[];      // The victim's computer name and username
concatenated
}

페이로드는 서로 다른 키 오프셋을 사용하여 4개의 연속된 XOR 루프에서 하드코딩된 키를 사용하여 암호화됩니다.

Pubload 연속 XOR 암호화 루프
그림 10: Pubload 연속 XOR 암호화 루프

Toneshell과 마찬가지로 암호화된 페이로드는 가짜 TLS 애플리케이션 데이터 패킷에 삽입됩니다.

struct BEACON
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[]; 

}

TCP 패킷은 다음 위치에 있는 하드코딩된 C2 서버로 전송됩니다.

218[.]255[.]96[.]245:443

그 대가로 Pubload는 다음과 같이 구문 분석된 응답을 기대합니다.

struct C2_RESPONSE
{
    BYTE tls_header[3];     // 17 03 03
    WORD payload_size;      // big-endian
    BYTE encrypted_data[];  // XOR encrypted command and payload
}

페이로드가 성공적으로 암호 해독되면 첫 번째 바이트는 0x06이 될 것으로 예상되는 반면, 나머지 데이터는 수신된 셸코드 페이로드를 XOR 해독하기 위해 아래 구조로 구문 분석됩니다.

struct C2_PAYLOAD
{
  DWORD key_size;
  BYTE key[32];
  DWORD shellcode_size;
  BYTE shellcode[];
};

마지막으로 Pubload는 필요한 PAGE_EXECUTE_READWRITE 메모리 보호 옵션을 추가하고 셸코드를 실행하는 동시에 열거된 시스템 정보와 C2 서버를 인수로 제공합니다. 

Pubload의 두 번째 단계: PubShell

Pubload에서 즉시 다운로드한 셸코드 페이로드(PubShell)는 위에서 설명한 ToneShell 변형과 몇 가지 유사점을 표시하며 파이프를 통해 리버스 셸을 만드는 것과 동일한 기능을 가지고 있습니다.

일반적인 설정 절차로 시작하여 API를 확인하고, 메모리를 할당하고, 기본 구조 및 상위 Pubload 샘플과 동일한 키를 초기화합니다. 

첫 번째 비콘은 페이로드(비콘 코드)의 첫 바이트가 0x0B라는 점을 제외하면 Pubload와 유사합니다.

비콘을 구축하기 위한 Pubload/Pubshell 함수
그림 11: 비콘을 구축하기 위한 Pubload/PubShell 함수

다시 말하지만, 해독된 응답의 첫 번째 바이트는 PubShell의 동작을 결정하는 명령 코드 역할을 합니다.

명령 코드

설명

1

피해자 ID를 초기 난독화된 일련 번호로 재설정

3

새 피해자 ID 설정

4

비콘 주파수를 초 단위로 설정(초기값은 10초)

5

비콘 중지

26

파일 삭제

27

새 파일 생성

29

새로 생성된 파일에 데이터 쓰기

30

파이프를 통한 리버스 셸 생성

31

파이프에 새 명령어 작성

32

리버스 셸을 종료하고 모든 핸들과 관련 프로세스 닫기

48

파이프에서 명령 결과(stdin, stderr) 읽기

ToneShell과 마찬가지로 PubShell은 명령 결과에 따라 다른 응답 코드를 C2 서버로 다시 보냅니다. 예를 들어, 새 파일을 만드는 명령(27)과 해당 파일에 쓰는 명령(29)은 모두 성공 시 코드 42를 반환하고 실패 시 코드 43을 반환합니다. 또한, PubShell에는 다음과 같은 보다 자세한 오류 메시지 문자열도 포함되어 있습니다.

"UploadBegin error : %d!"
"UploadData  error : %d!"
"CmdStart error : %d!"
"CmdWrite error : %d!"

다른 ToneShell 변형에서도 비슷한 문자열이 관찰되었습니다.

익명 파이프를 통한 리버스 셸의 PubShell 구현은 ToneShell과 거의 동일합니다. 그러나 Pubshell은 새 스레드를 실행하여 결과를 즉시 반환하는 대신 명령 결과를 반환하는 추가 명령이 필요합니다. 또한 "cmd.exe"를 셸로 실행하는 것만 지원합니다.

여러 가지 면에서 Pubload와 PubShell은 독립적으로 개발된 ToneShell의 "라이트 버전"으로 보이며, 정교함은 떨어지고 코드는 명확하지 않습니다.

HIUPAN USB 웜으로 대만 공략

2024년 12월, X-Force는 Pubload 백도어를 통해 대만을 표적으로 삼는 추가적인 Hive0154 활동을 관찰했습니다. 3월, X-Force는 주요 제조 회사와 협력하여 대만의 Pubload 감염을 조사했습니다. 이 사건에서 위협 행위자는 HIUPAN USB 웜을 사용하여 USB 디바이스를 통해 Claimloader와 Pubload를 유포했습니다. 이 웜은 초기 Pubload 감염의 후속 페이로드로 사용되어 감염 수를 늘리고 잠재적으로 에어갭이 있는 네트워크에 도달할 가능성이 높습니다. 두 멀웨어 변형의 관계는 이전에 Trend Micro에서 문서화되었습니다. 

HIUPAN(일명 U2DiskWatch)은 사용자가 의도치 않게 USB 디바이스에서 실행할 때 메인 DLL "u2ec.dll"이 합법적인 EXE "UsbConfig.exe"를 통해 사이드로딩되는 USB 웜입니다. 웜은 다음과 같은 작업을 수행합니다.

  • 자신과 함께 제공되는 멀웨어 구성 요소를 피해자 시스템의 디렉토리(C:\ProgramData\Intel\_\)에 복사합니다.
  • 레지스트리 키 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run을 통해 지속성을 설정합니다.
  • Windows 탐색기 HKCU\SOFTWARE\Microsoft Windows\CurrentVersion\Explorer\Advanced에서 숨겨진 파일과 확장자가 보이지 않도록 레지스트리 키를 수정합니다.
  • 첨부된 멀웨어의 주요 실행 파일을 실행하고 필요한 경우 프로세스를 다시 시작하도록 모니터링합니다.
  • 새 USB 디바이스 연결을 모니터링합니다. 발견되면 HIUPAN은 자신과 함께 제공되는 멀웨어 구성 요소를 숨겨진 하위 디렉터리 "<Drive_Letter>:\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\"의 새 드라이브에 복사하고 다른 기존 파일을 숨겨 "UsbConfig.exe"가 디바이스에서 유일하게 보이는 파일인지 확인합니다.

HIUPAN은 구성 파일 '$.ini'를 사용하여 절전 승수와 해당 구성 요소 및 수반되는 멀웨어의 파일 이름을 저장합니다. 이를 통해 페이로드 파일과 텍스트 기반 구성을 교환하는 것만으로도 멀웨어를 유포하도록 웜을 매우 쉽게 구성할 수 있습니다.

다음은 Claimloader 및 Pubload를 확산시키는 대만 기반 감염에서 관찰된 구성 파일입니다.

10,UsbConfig.exe,u2ec.dll,jxbrowser-chromium-lib.exe,jxbrowser-chromium-
lib.dll,#.doc,$.ini

명령 코드

설명

1

피해자 ID를 초기 난독화된 일련 번호로 재설정

3

새 피해자 ID 설정

4

비콘 주파수를 초 단위로 설정(초기값은 10초)

5

비콘 중지

26

파일 삭제

27

새 파일 생성

29

새로 생성된 파일에 데이터 쓰기

30

파이프를 통한 리버스 셸 생성

31

파이프에 새 명령어 작성

32

리버스 셸을 종료하고 모든 핸들과 관련 프로세스 닫기

48

파이프에서 명령 결과(stdin, stderr) 읽기

Hive0154가 사용하는 USB 웜은 HIUPAN만이 아닙니다. ToneShell 및 PubShell과 같은 멀웨어를 배포하는 여러 다른 프레임워크 및 변형은 여전히 활발히 확산되고 있으며 VirusTotal에 정기적으로 업로드되고 있습니다.

결론

이 블로그에서 설명하는 Hive0154의 광범위한 운영 범위는 다양한 도구, 혁신적인 기술 및 광범위한 잠재적 피해자의 활용을 통해 분명해집니다. Hive0154와 같은 중국 기반 그룹은 대규모 멀웨어 무기고를 지속적으로 개선하고 민간 및 공공 부문의 동아시아 기반 조직에 계속 집중할 것입니다. 그들의 다양한 도구, 빈번한 개발 주기, USB 웜 기반 멀웨어 배포 등을 통해 이들은 정교한 위협 행위자로 부각되고 있습니다. Hive0154 활동의 위험에 처한 엔티티는 강화된 방어 보안 상태를 유지하고 이 보고서에 언급된 기술과 관련하여 경계를 늦추지 않아야 합니다.

권장 사항

  • Pubload 또는 ToneShell 비콘의 표시로 이전 TLS 핸드셰이크 없이 TLS 1.2 애플리케이션 데이터 패킷(헤더: 17 03 03)을 네트워크에서 모니터링하고 헌팅합니다.
  • 네트워크에서 가짜 TLS 1.3 애플리케이션 데이터 패킷(헤더: 17 03 04)을 모니터링하고 헌팅하며, 이는 일부 ToneShell 변형에서 사용됩니다. 실제 TLS 1.3 패킷은 특정 TLS 버전만 허용하는 프록시와의 역호환성을 위해 레거시 TLS 1.2 헤더와 함께 전송됩니다.
  • USB 웜에 감염된 디바이스를 나타낼 수 있는 의심스러운 실행 파일 이름, DLL 및 숨겨진 디렉토리가 포함된 USB 드라이브를 모니터링하고 찾아냅니다.
  • C:\ProgramData\에서 DLL 사이드로딩에 취약한 합법적인 EXE와 해당 DLL이 포함된 의심스럽거나 알 수 없는 디렉토리를 모니터링하고 검색합니다.
  • 레지스트리의 실행 키 및 예약된 작업과 같은 지속성 기술을 모니터링하고 추적합니다.
  • 악성 DLL을 사이드로드하는 무해해 보이는 프로세스 실행 파일에서 발생하는 비정상적인 네트워크, 지속성 또는 파일 수정 활동을 모니터링합니다.

침해 지표

지표

지표 유형

컨텍스트

167a842b97d0434f20e0
cd6cf73d07079255a743d
26606b94fc785a0f3c6736e

SHA256

Hive0154 무기화된 아카이브

41276827827b95c9b5a9f
bd198b7cff2aef6f90f2b2b
3ea84fadb69c55efa171

SHA256

Hive0154 무기화된 아카이브

4fbfbf1cd2efaef1906f0bd2
195281b77619b9948e829b
4d53bf1f198ba81dc5

SHA256

Hive0154 무기화된 아카이브

782e074601f5b17e045d7c
8c6380bbb90ab2a1834b3
0740d662d6c7f2c5372fe

SHA256

Hive0154 무기화된 SFX

a02766b3950dbb86a1293
84cf9060c11be551025a7f4
69e3811ea257a47907d5

SHA256

Hive0154 무기화된 아카이브

178e92c59afe4c59043657
9d9ba98f6afafddf1bf05f57
0539729a8f0034d798

SHA256

Hive0154 무기화된 아카이브

ba7c456f229adc4bd75bfb8
76814b4deaf6768ffe95a030
21aead03e55e92c7c

SHA256

Hive0154 무기화된 아카이브

4e8717c9812318f8775a94fc
2bffcf050eacfbc30ea25d0d
3dcfe61b37fe34bb

SHA256

Hive0154 무기화된 아카이브

09597c2844067d8ee671313
7cd2739f4f3c9009fd8d59a1
497424424c96cf341

SHA256

Hive0154 무기화된 아카이브

78a60bea5693138c771386b8
c22f0adfe6765a6313b80488b
d1084bc9ed370bd

SHA256

Hive0154 무기화된 아카이브

fef713b237179f4d6bea899687
d91073c457e0487b6efd91390
2089444a7d2f2

SHA256

Hive0154 무기화된 아카이브

727ccc4560fb11627870ff2cac2
349d656e25d1f566d92e98eb7
cb80d771fa22

SHA256

Hive0154 무기화된 아카이브

f00e5ff2dc47a7625c86ac8978
4d5aa26b210a8437b9fb150b6
6eb3798b3c1d6

SHA256

Hive0154 무기화된 아카이브

1387ec22a3391647e25d2cb722
cd89e255d3ebfe586cf5f699ea
e22c6e008c34

SHA256

Hive0154 무기화된 아카이브

ac989df2715a26df9e039e9e0d
73ed84337eeb07a4a45901858
acbb09c9050c4

SHA256

Hive0154 무기화된 아카이브

3a37a127a425360d00588bf652
7a1687ce2d7c736a6c3fdec4f83
a752ba3c3fd

SHA256

Hive0154 무기화된 아카이브

cc4e5d175fc85685e7f31c2e7797
a3d3a74e751716724b86033e92
321fef1bae

SHA256

Hive0154 무기화된 아카이브

e4a4803cb04b58c07230b1368
2fe1cf7e3aa7ffab434e89143219
41cd04d8a5f

SHA256

Hive0154 무기화된 아카이브

2b0882fbcfd8fcbc84cc7c63a2
2a2ef10900a8addfe7e73b231c
32f60ceaf34e

SHA256

Hive0154 무기화된 아카이브

b7d13787c8be72dcc584c516e7
185a6e65138aa247d63156afc7
e376b3c01dc2

SHA256

Hive0154 무기화된 아카이브

76cc0fd64a2fc67bc0146f04819
4a64fcf9f7eaf7e91aacce6fa1465
95308dad

SHA256

Hive0154 무기화된 아카이브

c49c686c26845b9ef0913642ca
ff101783663787579fa4432ec474
0c8c685e45

SHA256

Hive0154 무기화된 아카이브

b8865a77cb8f0706b50d4d85bf
9d8ca0dbf7bab8223e38ce97e08
a6cab1ef5af

SHA256

Hive0154 무기화된 아카이브

98c1527d4b064fcf4a95488c345
76e5f443585cb6e385c7b8765e6
3fa9e83ccc

SHA256

Hive0154 무기화된 아카이브

6f5c50f37b6753366066c65b3e
67b64ffe5662d8411ffa581835c31e
15b62a28

SHA256

Hive0154 무기화된 아카이브

d99e33878e23582308b1e217aff
4a5f8f0836735338b4a4dff80ee
85989d22a8

SHA256

Hive0154 무기화된 아카이브

cf61b7a9bdde2a39156d88f309f
230a7d44e9feaf0359947e1f96e
069eca4e86

SHA256

초기 Claimloader 샘플

93fb8b78d65a9ef790be6d2055
2397373e5d60302bf7618af19b5
3cd0696b70a

SHA256

Claimloader DLL

895b8e0c1d2e4cae16508ded50
55e8d4bc1003a683cd47a7278c
1e2e4e8d8b42

SHA256

Claimloader DLL

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

Claimloader DLL

3af7807efb10525196c562c1f91d2
f009c836630a899f76e2db80ae7
c1714d01

SHA256

Claimloader DLL

8957c8de9032b347ee1a15abbae
489788533acac0b1a000a210481
2df24fb8ce 

SHA256

Claimloader DLL

d665f55555f87b515cb8ef1adce9
592a83662a8c4efa34f6ffdd022
475bd176a

SHA256

Claimloader DLL

c7efd45aa7dd1ecd05571f15d83e
9c9fb9209028687498bf3ce5241
1a44662ac

SHA256

Claimloader DLL

a6dfb41bbad08e3fe663efa325e
4c58d9fddb4fe78f38bce180dfc4
956581aea

SHA256

Claimloader DLL

8f4ee5e0b85020f2a040f54dccd
24b7e9400c1aa5be8f8988f032e
020e371dba

SHA256

Claimloader DLL

087ccc7f6c022dc5fd40ade3ef6a
daecd51f47e52619cae6b585b84
b7acc7633

SHA256

Claimloader DLL

216188ee52b067f761bdf3c45663
4ca2e84d278c8ebf35cd4cb686d
45f5aaf7b

SHA256

Claimloader DLL

900af2b8d03b40cdb027126d47
e6537535178464833770741bab
8e74026334c7

SHA256

Claimloader DLL

4c66e7ebf2ca2ecf00379463835
e6a2d5b0231d93fb27s4a968e75
f45b9b7adbc

 

SHA256

Claimloader DLL

112118aad0db9ff6c78dce2e81d9
732537ac9cd71412409fa10c7446
f71ed8ec

 

SHA256

 

Claimloader DLL

7476d6b375d8b1962624723aab
e6f5054567ce151ade06ae1353f6
49c4c4e763

SHA256

Claimloader DLL

0bd114fecfd3c09820fa013d8cd8
aadedee69906b6f81a2e827b
ba68ddf1023b

SHA256

ToneShell 백도어

5d7b9605cf85371da0849b8297
7df222ac6c970596c5a9a123c94
90789d40078

SHA256

ToneShell 백도어

62087a1226c5433d6f6184d627
c4874c347c1de1cb1c1fdbdc1b0c
ac1e354201

SHA256

ToneShell 백도어

534853913ad1e9b7ae7dade841
b9cfc2e4a1e38351578e1c15466
cd3f0666ead

SHA256

Pubload 백도어

2da73366f9efc0d1c05c72e404
46057333e12c6083528f64e78b
570172fa602c

SHA256

Pubload 백도어

b04775803e48979b68480a49
8807d0ed16df9610e3f632344b
9d45d59b5121a3

SHA256

PubShell 백도어

b4c37e3995d5ff94754cedd49f
8fc6765448a16027a5951e37bd
0da06661cd88

SHA256

HIUPAN USB 웜

f5fd2905d90755d021e1442c34f
a628d56598ae1043a7c1103bd5
e21c7706168

SHA256

HIUPAN USB 웜

45[.]136[.]254[.]193:443

IP 주소, 포트

ToneShell C2 서버

45[.]144[.]165[.]66

IP 주소, 포트

ToneShell C2 서버

218[.]255[.]96[.]245:443

IP 주소, 포트

Pubload C2 서버

103[.]27[.]202[.]132

IP 주소, 포트

ToneShell C2 서버

45[.]12[.]91[.]223:443

IP 주소, 포트

Pubload C2 서버

IBM X-Force Premier Threat Intelligence는 이제 OpenCTI와 통합되어, 이번 위협 활동을 포함한 실행 가능한 위협 인텔리전스를 제공합니다. 위협 행위자, 멀웨어, 업계 위험에 대한 인사이트를 확인하세요. 탐지 및 대응 능력을 강화하고 IBM X-Force의 전문 역량으로 사이버 보안을 강화하기 위해 OpenCTI Connector를 설치하세요. 앞서 나가세요. 오늘 바로 통합하세요.

