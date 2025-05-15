2025년 5월 현재 IBM X-Force는 무기화된 ZIP 아카이브를 사용하여 Pubload 및 Toneshell 백도어를 배포하는 것으로 의심되는 스파이 활동을 추적하고 있습니다. X-Force는 2024년 말에 시작되었을 것으로 보이는 이 캠페인이 중국과 연계된 위협 행위자 Hive0154의 덕분이라고 보고 있습니다. Hive0154의 작전은 Mustang Panda, Stately Taurus, Camaro Dragon, Twill Typhoon, Polaris 및 Earth Preta로 추적되는 그룹과 겹칩니다. 이 자료에는 필리핀, 미국, 파키스탄의 정부, 군사 및 외교 관계자를 유인하기 위해 고안된 것으로 보이는 정치적인 주제의 미끼가 포함되어 있습니다끼 Hive0154 하위 클러스터는 과거에도 비슷한 전술을 사용했습니다. 특히, 이들은 Claimloader 멀웨어를 사용하여 피해자 환경에 직접 액세스할 수 있는 영구 백도어를 설치하여 세계 정부의 새로운 결정에 대한 고급 인사이트를 확보했습니다. X-Force는 또한 이 그룹이 USB 웜을 사용하여 대만에서 Pubload를 유포하고, 잠재적으로 에어 갭이 있는 네트워크에 도달하는 것을 관찰했습니다.
Hive0154는 최소 2022년부터 ToneShell 멀웨어 제품군을 사용하여 전 세계 사이버 작전을 수행해 왔습니다. Pubload 및 PubShell(NoFive라고도 함)과 같은 ToneShell 관련 멀웨어는 이 그룹이 운영의 일부로 별도의 멀웨어를 유지하고 있음을 나타냅니다. 이 그룹은 여러 하위 클러스터로 구성되어 있으며 싱크탱크, 정책 그룹, 정부 기관 및 개인을 포함한 공공 및 민간 조직을 대상으로 합니다. X-Force는 이 위협 행위자가 여러 개의 독립적인 멀웨어 로더, 백도어 및 USB 웜 제품군을 사용하고 여러 보안 연구 팀이 지속적으로 보고하는 활동을 통해 입증된 바와 같이 잠재적인 위협으로 평가합니다.
2023년, Palo Alto는 X-Force가 추적하는 Hive0154 하위 클러스터 중 하나가 다양한 미끼를 사용하여 Pubload 백도어를 유포하고 있다고 보고했습니다. 아래 미끼 중 일부는 2024년 1월 CSIRT CTI가 보고한 미얀마에 대한 캠페인과도 일치합니다. 아래의 미끼는 동남아시아 국가와 호주에 대한 중국의 지속적인 관심을 보여줍니다.
미끼 이름
설명
SHA256
날짜
Notice re UEC, (04-25-2023 Day).zip
알 수 없음
167a842b97d0
2023년 4월
April 27 updated party list.zip
알 수 없음
41276827827b9
2023년 4월
Biography of Senator the Hon Don Farrell.zip
파일 이름은 호주 무역부 장관에 대한 호주 무역관광부 웹사이트에 표시된 제목을 그대로 복사한 것으로 보입니다.
4fbfbf1cd2efaef1
2023년 4월
SAC에는 총선을 위한 몇 가지 교육 요건이 있습니다.
알 수 없음
782e074601f5b1
2023년 4월
National Security Priority Programs.zip
알 수 없음
a02766b3950dbb
2023년 5월
230605 Ministerial meeting minutes (1).zip
이 파일은 2023년 6월 8일 파리에서 호주, 캐나다, 일본, 미국, 영국, 뉴질랜드 장관들이 아시아 태평양 지역의 불공정 무역 관행과 관련해 발표한 선언문을 참고한 것으로 보입니다.
178e92c59afe4c
2023년 6월
NUG's Foreign Policy Strategy.zip
이 문구는 내전에 휩싸인 미얀마에서 벌어지고 있는 상황과 관련하여 CSIS 인도네시아 웹 페이지에 나타난 것으로, 중국이 미얀마 군사정권 정부를 지원하기 위해 보안 요원을 파견하는 방안을 검토 중인 것으로 알려졌다고 보도했습니다.
ba7c456f229adc
2023년 8월
Analysis of the third meeting of NDSC.zip
이 파일은 2024년 초에 Stately Taurus가 미얀마 정부를 상대로 벌인 캠페인의 일부였을 가능성이 있습니다. 2023년 10월경, 미얀마는 반군 세력과 정부군 간의 내전에 휘말렸고, 반군은 중국으로 통하는 주요 무역로를 사실상 장악했습니다.
4e8717c9812318f8
2023년 11월
무기화된 ZIP 파일에는 일반적으로 악성 DLL을 사이드로드하는 데 사용되는 SolidPDFCreator.exe(e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942)와 같이 이름이 변경된 합법적인 실행 파일이 포함되어 있습니다. DLL은 Claimloader 제품군의 일부로, 수년 동안 Hive0154에서 Pubload 및 ToneShell 백도어 제품군과 관련된 페이로드를 로드하는 데 사용된 다양한 셸코드 로더 변형으로 구성됩니다.
2024년 한 해 동안 추가적인 Hive0154 활동이 기록되었으며, 그 중 일부는 FatzQuatz, StrikeReadyLabs Twitter/X 계정 및 Hunt.io에 의해 보고되었습니다.
미끼 이름
설명
SHA256
날짜
Meeting Request--30-31-05.zip
알 수 없음
09597c284
2024년 5월
EBO Brainstorming Friday 24 to
알 수 없음
78a60bea56
2024년 5월
Attendee list template (24-6-2024).zip
알 수 없음
b7d13787c8be
2024년 6월
Notice of Final Meeting.zip
알 수 없음
fef713b23717
2024년 7월
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
알 수 없음
727ccc4560
2024년 7월
Interview with Surachet
알 수 없음
f00e5ff2dc47
2024년 8월
IISS Prague Defence Summit 2024.zip
2024년 11월 프라하에서 열린 IISS 국방 서밋 참가자를 대상으로 한 Mustang Panda 캠페인이 이전에 보고되었습니다.
1387ec22a339
2024년 8월
NDI-IRI_Election_
파일 이름은 2023년 6월에 발표된 나이지리아 선거 관련 NDI-IRI 보고서를 참조한 것으로 보입니다. 이 보고서는 미국 국제개발처(USAID)의 지원을 받아 작성되었습니다.
ac989df2715a
2024년 8월
leadership information list.zip
알 수 없음
3a37a127a4253
2024년 8월
Request for Inputs for the 6th
이 미끼는 2024년 10월에 열린 태국과 필리핀의 양자 회담을 가리키는 것으로 보입니다.
057fd248e0219
2024년 9월
Bencana_Air_
이 미끼 문서는 말레이시아 국가재난관리청(NADMA, Agensi Pengurusan Bencana Negara)과 말레이시아의 코로나19에 대한 지속적인 대응에서 가져온 것으로 보입니다.
cc4e5d175fc85685
2024년 10월
ZIP 내의 DLL 사이드로딩 기술은 동일하게 유지되지만, 다른 버전의 Claimloader DLL이 암호 해독 알고리즘을 변경하여 등록되었습니다. 일부 캠페인에서는 ToneShell DLL(0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b)을 직접 사용하기도 했습니다.
X-Force는 2024년 말과 2025년 초에 동일한 Hive0154 하위 클러스터에 기인한 동일한 TTP를 따르는 여러 개의 새로운 캠페인을 관찰했습니다. 최신 Claimloader 변형은 셸코드 페이로드를 주입하기 전에 설치 루틴의 일부로 미끼 PDF를 열 수도 있습니다. PDF와 DLL은 파일 속성을 사용하여 표준 사용자에게 숨겨진 상태를 유지합니다.
두 개의 미끼와 관련 미끼 파일명은 중국과 필리핀 간의 남중국해 긴장을 구체적으로 언급하고 있으며, 필리핀 정부는 중국군의 활동 증가에 따라 미국과 긴밀한 군사 협력을 촉구하고 있습니다. 이러한 개발은 수신자의 더 많은 관심을 유도할 수 있으며, 수신자는 첨부 파일을 열어보려는 경향이 더 커질 수 있습니다. 이러한 수신자에는 필리핀 정부, 군인 및 외교관이 포함될 수 있으며, 파일 이름에서 제시된 주제에 대한 참여가 의무로 간주될 수 있는 미국 정부 및 군인이 포함될 수도 있습니다.
미끼 이름
미끼 파일 이름
관련 DLL SHA256
날짜
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
2024년 10월
Defense_
2025.pdf
a6dfb41bbad08e3f
2024년 11월
두 루어 모두 Claimloader DLL을 사이드로드하는데, 이 DLL은 아래에서 자세히 설명한 동일한 Toneshell 백도어를 로드합니다.
Claimloader는 과거 Hive0154에서 ToneShell 및 Pubload를 포함한 다양한 셸코드 페이로드를 로드하는 데 사용했던 로더 제품군입니다. 수년에 걸쳐 다양한 기능을 갖춘 여러 버전으로 발전했습니다.
초기 샘플 중 하나는 2021년 말에 작성되었으며, Palo Alto의 Unit 42에서 출판되었습니다. UUIDFromStringa API를 통해 셸 코드를 버퍼에 복사하는 흥미로운 기술을 사용합니다. 또한 셸코드는 EnumSystemLanguageGroupsA에 전달된 콜백 함수로 실행됩니다 .
비슷한 기법이 이전에 NCC 그룹 에서 보고된 바 있습니다.
2022년 11월, LAC는 이전 섹션에서 설명한 2023~2024년의 활동과 거의 동일한 감염 체인에서 필리핀의 정부 조직을 표적으로 삼은 것으로 보이는 Claimloader 변형에 대해 보고했습니다. 이 변형은 페이로드를 32바이트의 암호화된 스택 문자열 블록으로 저장한 후 각각을 복호화합니다. 또한 레지스트리 또는 예약된 작업을 통해 지속성을 설정하기 전에 합법적인 실행 파일과 Claimloader DLL을 새 디렉토리에 복사하여 효과적으로 로더이자 설치 프로그램으로 만듭니다.
실행 시 멀웨어는 하드코딩된 뮤텍스를 생성하여 Claimloader의 단일 인스턴스만 실행되도록 하는 것으로 시작합니다. 그런 다음 첫 번째 실행에 없는 특정 명령줄 인수가 있는지 확인합니다. 이 경우 Claimloader는 다음과 같은 소프트웨어 디렉토리를 모방하여 EXE와 DLL을 눈에 띄지 않는 새로운 디렉토리(종종 "C:\ProgramData\")에 복사합니다.
이 동작은 대부분의 최신 Claimloader 샘플에서 사용되며 샌드박스 실행이 실패할 수도 있습니다.
다음으로, 멀웨어는 올바른 명령줄 인수가 포함된 EXE 경로를 새 레지스트리 키에 눈에 잘 띄지 않는 소프트웨어 이름으로 다시 저장하여 로그인 시 지속성을 설정합니다.
또한 Claimloader는 다음 프로세스를 생성하여 5분마다 로더를 실행하는 예약된 작업을 생성함으로써 보조 지속성 메커니즘을 사용합니다.
정확한 방법은 다를 수 있습니다. 예를 들어 한 샘플에서는 COM 객체를 대신 사용하여 ITaskService 인터페이스 (8957c8de9032b347ee1a15abbae489788533ac0b1a000a2104812df24fb8ce)에 연결하여 작업을 예약했습니다.
Claimloader의 암호 해독 알고리즘은 DES(최신 버전)간에 샘플이 다양했으며, 하드코딩된 시드를 사용하여 _srand() 함수를 통해 키스트림을 생성하는 AES 및 XOR 기반 암호 해독 루틴이 두 개 이상 구현되었습니다.
대부분의 Claimloader 변형은 암호 해독 후 페이로드를 실행하기 위해 콜백 함수와 함께 API를 사용하지만, 새 스레드를 생성하거나 페이로드를 함수로 직접 호출하는 변형도 있습니다.
다음은 다양한 Claimloader 샘플과 그 기법에 대한 표입니다.
샘플 SHA256
DLL 이름
지속성
암호 해독
실행 기술
3af7807efb105
Amind
레지스트리 및 예약된
_srand() 키스트림
EnumPropsExW
8957c8de9032
libemb
COM "Fhbemb Update"를 통한 레지스트리 및 예약된 작업
AES
직접 호출
d665f55555f87
CCleaner
해당 사항 없음
스택 문자열에 페이로드가 저장된 AES
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
레지스트리 및 예약된 작업 "jxbrowser-chromiumim"
AES
EnumFontsW
a6dfb41bbad08
jx
레지스트리 및 예약된 작업 "jxbrowser-chromiumim"
AES
EnumFontsW
900af2b8d03b4
helper_
레지스트리 및 예약된 작업 "Wargaming
_srand() 키스트림
EnumFontsW
4c66e7ebf2ca2e
helper_
레지스트리 및 예약된 작업 "NVIDIA_
DES
EnumFontsW
최근 몇 가지 샘플에는 Claimloader를 처음 실행할 때 미끼 PDF를 표시하는 지원이 추가되었습니다.
사용자를 위해 PDF 파일을 연 후 Claimloader는 "System" 및 "Hidden" 파일 속성을 제거하여 열린 폴더에서 사용자가 PDF를 영구적으로 볼 수 있도록 합니다.
게시 당시 최신 Claimloader 변형은 0x99로 XOR 암호화된 난독화된 API 및 DLL 이름을 사용합니다. 실행 중에 로더는 문자열을 해독하고 LdrLoadDll 및 LdrGetProcedureAddress를 호출하여 필요한 API에 대한 함수 포인터를 확인합니다.
남중국해 미끼와 관련된 두 Claimloader DLL은 모두 동일한 ToneShell 백도어(5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078)를 셸코드로 로드하며, 이는 동일한 시간에 유효한 PE입니다.
DOS 헤더는 PE의 기본 주소를 인수로 제공하면서 오프셋 0x4200에서 다른 함수를 호출하기 위한 작은 스텁을 포함하도록 수정되었습니다. 이 로더 기능은 PE를 수동으로 로드하여 필요한 가져오기를 해결하고 섹션을 메모리에 매핑합니다. 이 기술을 통해 멀웨어 개발자는 컴파일 후 유효한 PE를 셸코드로 변환할 수 있습니다.
ToneShell 제품군은 다양한 변형으로 구성되어 있으며 시간이 지남에 따라 크게 발전했습니다. Pubload 백도어와 강력한 코드 오버랩을 공유하지만 X-Force에서 별도로 추적합니다. 변형은 C2 메커니즘, 사용자 지정 C2 프로토콜, 지원되는 명령 및 API 해시가 다를 수 있습니다. X-Force는 또한 ToneShell 제품군으로 "Tonedisk"라는 USB 웜 프레임워크의 여러 버전을 그룹화합니다.
위 캠페인의 ToneShell 백도어는 비교적 간단한 변형으로, C2 서버를 통해 리버스 셸을 설정하도록 설계되었습니다.
먼저 API를 확인하고 CoCreateGuid를 통해 새 GUID를 만듭니다. 그 결과 16바이트가 고유한 피해자 식별자로 사용되며 새 파일에 기록됩니다.
그런 다음 새 이벤트 "Fool87012900137"을 만들어 실행 중인 유일한 인스턴스가 되도록 하기 위한 뮤텍스로 사용합니다. Toneshell은 다른 구성 값 중에서도 C2 서버 주소(45[.]136[.]254[.]193:443), GUID 및 피해자의 컴퓨터 이름으로 기본 구조를 초기화합니다. 또한 Microsoft "rand" PRNG의 구현을 초기화합니다.
ToneShell은 C2 서버에 명령을 쿼리하는 각 비콘에 대해 PRNG에서 다음 256바이트 키를 생성하며, 이는 C2 통신, GUID 및 컴퓨터 이름을 암호화하는 데 사용됩니다.
TCP 비콘에는 TLS 애플리케이션 데이터 패킷(17 03 03)을 모방한 헤더로 포맷된 다음 값이 포함되어 있습니다.
ToneShell은 서버에서 비슷한 응답을 기대합니다.
응답을 복호화한 후, 첫 번째 바이트는 명령 값으로 구문 분석되고, 두 번째 바이트는 생성된 파이프의 식별자로 사용되고, 나머지는 명령 페이로드로 사용됩니다.
명령을 처리하기 전에 ToneShell은 30초마다 하트비트와 같은 응답 비콘을 보내는 새 스레드를 만듭니다. 또한 모든 비콘은 초기화된 PRNG 키스트림에 의해 생성된 다음 4바이트 중 가장 낮은 바이트의 정확한 바이트를 전송하여 C2 서버로 통신의 무결성을 확인해야 합니다. 이러한 비콘의 형식은 다음과 같습니다.
이 버전의 ToneShell은 다음과 같은 C2 명령 코드를 지원합니다.
코드
설명
1
대기 - 비어 있지 않은 페이로드가 있는 명령을 계속 대기합니다.
2
새 파일 만들기(이미 있는 경우 삭제)
3
파일에 데이터 쓰기
4
파일에 데이터 쓰기 및 응답 비콘을 통해 확인
5
파이프를 통한 리버스 셸 생성
6
파이프에 셸 명령 쓰기
7
리버스 셸 종료
리버스 셸을 생성하기 위해 Toneshell은 두 개의 익명 파이프를 설정하고 이 파이프를 사용하여 새 cmd.exe 프로세스를 생성하여 stdin에 데이터를 쓰고 stdout 및 stderr에서 데이터를 읽습니다.
새 프로세스의 시작 정보 구조에 파이프에 핸들을 추가하면 Toneshell은 파이프에 쓰기만 하면 임의의 명령을 실행할 수 있습니다. 새 스레드에서 Toneshell은 100ms마다 PeekNamedPipe를 사용하여 새 아웃풋을 위해 파이프를 엿봅니다. 모든 새 데이터는 파이프에서 읽혀져 C2 서버로 다시 전달됩니다.
2025년 2월 현재 X-Force는 위에서 설명한 것과 같이 유사한 형태의 클레임로더를 통해 Pubload 백도어를 제공하는 Hive0154 캠페인을 관찰했습니다. 아래 4개의 샘플은 동일한 C2 서버 218[.]255[.]96[.]245:443을 공유합니다.
미끼 이름
제출자 국가
Claimloader DLL 이름
Claimloader 뮤텍스
DLL SHA256
날짜
BLA,BLF,
파키스탄
SolidPDF
TB2025
c7efd45aa7
2025년 2월 12일
알 수 없음
홍콩
SolidPDF
MTM2025
087ccc7f6c02
2025년 3월 11일
(The_
필리핀
chrome_
CATM2025
216188ee52b0
2025년 3월 20일
NSC_
미국
helper_
GameBox
900af2b8d03b
2025년 4월 17일
Invitation to
필리핀
helper_
GameGpu
4c66e7ebf2ca2
2025년 4월 29일
豐德電廠
알 수 없음(대만일 가능성이 높음)
helper_
GameFind
112118aad0db9ff
2025년 5월 7일
英諾飛保
대만
helper_
알 수 없음
알 수 없음
2025년 5월 8일
Invitation letter
알 수 없음
helper_
GameBox
7476d6b375d8
2025년 5월 9일
위의 LNK 파일의 경우, 이름이 변경된 합법적인 실행 파일을 실행하여 Claimloader의 DLL 사이드로딩을 시작합니다.
무기화된 ZIP 파일 중 하나에는 "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe"로 이름이 변경된 합법적인 실행 파일이 포함되어 있었습니다. 이 미끼는 무장 분리주의 단체인 발로치 해방군(BLA) 및 발로치스탄의 새로운 국가 수립을 요구하는 기타 관련 무장 단체를 지칭하는 것으로 보입니다. 미끼에 이러한 이름을 사용하는 것은 관심 있는 수신자가 첨부 파일을 클릭하도록 유도하기 위한 공격자의 노력일 가능성이 높습니다.
또 다른 파일인 "NSC_Meeting_Minutes_Apr2025.lnk “는 미국 국가안전보장회의(NSC) 회의 및 작성된 것으로 알려진 메모를 가리킬 수 있는데, 이는 미국 정부 내 개인 또는 미국 정부 업무와 관련된 정보, 학계 또는 저널리즘에 관련된 기타 개인의 관심을 끌 수 있습니다. 파키스탄 공무원을 잠재적으로 표적으로 삼은 'BLA' 미끼처럼, 이 미끼도 첨부 파일을 클릭하도록 수신자를 유혹하는 파일 이름을 이용해 미국인을 대상으로 할 가능성이 있습니다.
"Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe"이라는 파일 이름은 2025년 5월 26일과 27일 말레이시아에서 개최되는 동남아시아국가연합(ASEAN) 정상회의를 의미할 수 있습니다.
파일명 "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe"는 2015년 4월/ 5월경 대만 Fongde 발전소의 결제 송장을 가리킬 수 있습니다.
마지막 파일인 "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe"는 무인 항공기(UAV) 및 항공기 정비와 관련된 두 대만 항공 우주 회사 간의 기밀 유지 계약으로 추정되는 파일일 수 있습니다.
Pubload는 Cisco Talos에서 2022 년에 이름 없는 스테이저로 처음 설명한 백도어입니다. 참고로 X-Force에서는 셸코드 로더를 Claimloader로, 1단계 셸코드 다운로더를 Pubload로 식별하는 반면,TrendMicro 보고에서는 두 가지 모두 Pubload로 식별합니다. Claimloader는 Pubload와 ToneShell을 모두 로드하는 데 사용되었습니다. T5 팀은 Pubload와 Pubshell을 NoFive로 추적합니다.
Pubload 셸코드 페이로드는 32바이트 XOR 키를 사용하여 나머지 셸코드를 XOR 해독하는 것으로 시작됩니다.
이 자체 암호 해독 루틴은 위의 네 가지 Claimloader 샘플 중 두 번째 샘플에서만 추가되었습니다. 암호 해독 후에는 ROR13 알고리즘을 통해 난독화된 모든 필수 API를 해결합니다. 다음으로, 새 메모리를 할당하고 하드코딩된 C2 서버 주소와 암호화 키로 기본 구조를 설정한 다음 기본 동작을 시작합니다.
Pubload의 메인 루프는 다음 값을 열거하는 것으로 시작됩니다.
이 값은 첫 번째 비콘 페이로드의 형식이 됩니다.
페이로드는 서로 다른 키 오프셋을 사용하여 4개의 연속된 XOR 루프에서 하드코딩된 키를 사용하여 암호화됩니다.
Toneshell과 마찬가지로 암호화된 페이로드는 가짜 TLS 애플리케이션 데이터 패킷에 삽입됩니다.
TCP 패킷은 다음 위치에 있는 하드코딩된 C2 서버로 전송됩니다.
그 대가로 Pubload는 다음과 같이 구문 분석된 응답을 기대합니다.
페이로드가 성공적으로 암호 해독되면 첫 번째 바이트는 0x06이 될 것으로 예상되는 반면, 나머지 데이터는 수신된 셸코드 페이로드를 XOR 해독하기 위해 아래 구조로 구문 분석됩니다.
마지막으로 Pubload는 필요한 PAGE_EXECUTE_READWRITE 메모리 보호 옵션을 추가하고 셸코드를 실행하는 동시에 열거된 시스템 정보와 C2 서버를 인수로 제공합니다.
Pubload에서 즉시 다운로드한 셸코드 페이로드(PubShell)는 위에서 설명한 ToneShell 변형과 몇 가지 유사점을 표시하며 파이프를 통해 리버스 셸을 만드는 것과 동일한 기능을 가지고 있습니다.
일반적인 설정 절차로 시작하여 API를 확인하고, 메모리를 할당하고, 기본 구조 및 상위 Pubload 샘플과 동일한 키를 초기화합니다.
첫 번째 비콘은 페이로드(비콘 코드)의 첫 바이트가 0x0B라는 점을 제외하면 Pubload와 유사합니다.
다시 말하지만, 해독된 응답의 첫 번째 바이트는 PubShell의 동작을 결정하는 명령 코드 역할을 합니다.
명령 코드
설명
1
피해자 ID를 초기 난독화된 일련 번호로 재설정
3
새 피해자 ID 설정
4
비콘 주파수를 초 단위로 설정(초기값은 10초)
5
비콘 중지
26
파일 삭제
27
새 파일 생성
29
새로 생성된 파일에 데이터 쓰기
30
파이프를 통한 리버스 셸 생성
31
파이프에 새 명령어 작성
32
리버스 셸을 종료하고 모든 핸들과 관련 프로세스 닫기
48
파이프에서 명령 결과(stdin, stderr) 읽기
ToneShell과 마찬가지로 PubShell은 명령 결과에 따라 다른 응답 코드를 C2 서버로 다시 보냅니다. 예를 들어, 새 파일을 만드는 명령(27)과 해당 파일에 쓰는 명령(29)은 모두 성공 시 코드 42를 반환하고 실패 시 코드 43을 반환합니다. 또한, PubShell에는 다음과 같은 보다 자세한 오류 메시지 문자열도 포함되어 있습니다.
다른 ToneShell 변형에서도 비슷한 문자열이 관찰되었습니다.
익명 파이프를 통한 리버스 셸의 PubShell 구현은 ToneShell과 거의 동일합니다. 그러나 Pubshell은 새 스레드를 실행하여 결과를 즉시 반환하는 대신 명령 결과를 반환하는 추가 명령이 필요합니다. 또한 "cmd.exe"를 셸로 실행하는 것만 지원합니다.
여러 가지 면에서 Pubload와 PubShell은 독립적으로 개발된 ToneShell의 "라이트 버전"으로 보이며, 정교함은 떨어지고 코드는 명확하지 않습니다.
2024년 12월, X-Force는 Pubload 백도어를 통해 대만을 표적으로 삼는 추가적인 Hive0154 활동을 관찰했습니다. 3월, X-Force는 주요 제조 회사와 협력하여 대만의 Pubload 감염을 조사했습니다. 이 사건에서 위협 행위자는 HIUPAN USB 웜을 사용하여 USB 디바이스를 통해 Claimloader와 Pubload를 유포했습니다. 이 웜은 초기 Pubload 감염의 후속 페이로드로 사용되어 감염 수를 늘리고 잠재적으로 에어갭이 있는 네트워크에 도달할 가능성이 높습니다. 두 멀웨어 변형의 관계는 이전에 Trend Micro에서 문서화되었습니다.
HIUPAN(일명 U2DiskWatch)은 사용자가 의도치 않게 USB 디바이스에서 실행할 때 메인 DLL "u2ec.dll"이 합법적인 EXE "UsbConfig.exe"를 통해 사이드로딩되는 USB 웜입니다. 웜은 다음과 같은 작업을 수행합니다.
HIUPAN은 구성 파일 '$.ini'를 사용하여 절전 승수와 해당 구성 요소 및 수반되는 멀웨어의 파일 이름을 저장합니다. 이를 통해 페이로드 파일과 텍스트 기반 구성을 교환하는 것만으로도 멀웨어를 유포하도록 웜을 매우 쉽게 구성할 수 있습니다.
다음은 Claimloader 및 Pubload를 확산시키는 대만 기반 감염에서 관찰된 구성 파일입니다.
명령 코드
설명
1
피해자 ID를 초기 난독화된 일련 번호로 재설정
3
새 피해자 ID 설정
4
비콘 주파수를 초 단위로 설정(초기값은 10초)
5
비콘 중지
26
파일 삭제
27
새 파일 생성
29
새로 생성된 파일에 데이터 쓰기
30
파이프를 통한 리버스 셸 생성
31
파이프에 새 명령어 작성
32
리버스 셸을 종료하고 모든 핸들과 관련 프로세스 닫기
48
파이프에서 명령 결과(stdin, stderr) 읽기
Hive0154가 사용하는 USB 웜은 HIUPAN만이 아닙니다. ToneShell 및 PubShell과 같은 멀웨어를 배포하는 여러 다른 프레임워크 및 변형은 여전히 활발히 확산되고 있으며 VirusTotal에 정기적으로 업로드되고 있습니다.
이 블로그에서 설명하는 Hive0154의 광범위한 운영 범위는 다양한 도구, 혁신적인 기술 및 광범위한 잠재적 피해자의 활용을 통해 분명해집니다. Hive0154와 같은 중국 기반 그룹은 대규모 멀웨어 무기고를 지속적으로 개선하고 민간 및 공공 부문의 동아시아 기반 조직에 계속 집중할 것입니다. 그들의 다양한 도구, 빈번한 개발 주기, USB 웜 기반 멀웨어 배포 등을 통해 이들은 정교한 위협 행위자로 부각되고 있습니다. Hive0154 활동의 위험에 처한 엔티티는 강화된 방어 보안 상태를 유지하고 이 보고서에 언급된 기술과 관련하여 경계를 늦추지 않아야 합니다.
