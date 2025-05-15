حتى مايو 2025، تقوم IBM X-Force بتتبُّع حملة يشتبه في كونها تجسسية تستخدم أرشيفات ZIP مسلّحة لتوزيع backdoors مثل Pubload وToneshell. تنسب X-Force هذه الحملة، التي من المرجح أنها بدأت في أواخر 2024، إلى عنصر التهديد المرتبط بالصين Hive0154، والتي تتداخل عملياته مع مجموعات يتم تتبُّعها تحت أسماء Mustang Panda وStately Taurus وCamaro Dragon وTwill Typhoon وPolaris وEarth Preta. تحتوي الأرشيفات على محتويات ذات طابع سياسي يُرجح أنها صُممت لجذب موظفي الحكومة والجيش والبعثات الدبلوماسية في الفلبين والولايات المتحدة وباكستان. استخدمت مجموعات Hive0154 الفرعية أساليب مماثلة في السابق. على وجه التحديد، استخدموا البرمجية الخبيثة Claimloader لتثبيت backdoors دائمة تُتيح الوصول المباشر إلى بيئات الضحايا بهدف الحصول على رؤى متقدمة حول القرارات الناشئة للحكومات العالمية. لاحظت X-Force أيضًا أن المجموعة تستخدم دودة USB لنشر Pubload في تايوان، مع إمكانية الوصول إلى شبكات قد تكون مفصولة عن الشبكة العامة.
منذ عام 2022 على الأقل، استخدمت Hive0154 عائلة البرمجيات الضارة Toneshell من بين غيرها لتنفيذ عمليات إلكترونية عالمية. تشير البرمجيات الضارة المرتبطة بـ Toneshell، مثل Pubload وPubshell (المعروفة أيضًا باسم NoFive)، إلى أن المجموعة تحتفظ بخيوط برمجية منفصلة كجزء من عملياتها. تتكون المجموعة من عدة مجموعات فرعية وتستهدف المؤسسات العامة والخاصة، بما في ذلك المجموعات السياسية والوكالات الحكومية والأفراد. تقيِّم X-Force أن عنصر التهديد هذا يُعَد تهديدًا يمتلك قدرات عالية، كما يتضح من استخدامه لعدة محمِّلات برمجيات ضارة مستقلة، ومجموعات أبواب خلفية وUSB worm، والتقارير المستمرة عن نشاطه من قِبل عدة فرق أبحاث أمنية.
في عام 2023، أفادت Palo Alto بأن أحد المجموعات الفرعية لـ Hive0154 التي تتتبعها X-Force كانت تستخدم عدة طُعم لنشر الباب الخلفي Pubload. تتزامن بعض الطُعم الواردة أدناه أيضًا مع حملة ضد ميانمار كما ذكرت CSIRT CTI في يناير 2024. وتُظهر الطُعم الموضحة أدناه اهتمام الصين المستمر بالدولة في جنوب شرق آسيا وأستراليا.
اسم الطُعم
الوصف
SHA256
التاريخ
إشعار بشأن UEC، (25-04-2023).zip
غير معروف
167a842b97d0
أبريل 2023
قائمة الأطراف المحدثة بتاريخ 27 أبريل.zip
غير معروف
41276827827b9
أبريل 2023
Biography of Senator the Hon Don Farrell.zip
يبدو أن اسم الملف هو نسخة مباشرة من العنوان الذي يظهر على موقع وزارة التجارة والسياحة الأسترالية حول وزير التجارة الأسترالي.
4fbfbf1cd2efaef1
أبريل 2023
لدى SAC بعض المتطلبات التوجيهية للانتخابات العامة.
غير معروف
782e074601f5b1
أبريل 2023
National Security Priority Programs.zip
غير معروف
a02766b3950dbb
مايو 2023
230605 Ministerial meeting minutes (1).zip
قد يكون الملف إشارة إلى الإعلان الذي صدر في باريس بتاريخ 8 يونيو 2023 من قِبل وزراء من أستراليا وكندا واليابان والولايات المتحدة والمملكة المتحدة ونيوزيلندا بشأن الممارسات التجارية المسيئة في منطقة آسيا والمحيط الهادئ.
178e92c59afe4c
يونيو 2023
NUG's Foreign Policy Strategy.zip
تظهر هذه الصياغة على صفحة CSIS الإندونيسية، فيما يتعلق بالوضع القائم في ميانمار، التي تشهد حربًا أهلية، مع تقارير تشير إلى أن الصين تفكر على ما يبدو في إرسال عناصر أمنية دعمًا لحكومة المجلس العسكري في ميانمار، وفقًا لتقارير ديسمبر 2024.
ba7c456f229adc
أغسطس 2023
Analysis of the third meeting of NDSC.zip
قد يكون الملف جزءًا من الحملة التي تم الإبلاغ عنها سابقًا ضد حكومة ميانمار من قِبل Stately Taurus في أوائل عام 2024. حوالي أكتوبر 2023، انخرطت ميانمار في حرب أهلية بين فصيل متمرد والقوات الحكومية، حيث سيطر المتمردون بشكل فعّال على طريق تجاري رئيسي للصين.
4e8717c9812318f8
نوفمبر 2023
عادةً ما تحتوي ملفات ZIP المسلّحة على ملف تنفيذي شرعي مُعاد تسميته، مثل SolidPDFCreator.exe (e2acbc36c2cce4050e34033c12f766fea58b4196d84cf40e979fac8fed24c942)، ويُستغل في تحميل مكتبة DLL خبيثة بشكل جانبي. تنتمي مكتبة DLL إلى عائلة Claimloader، التي تضم عدة إصدارات مختلفة من عناصر تحميل shellcode استخدمتها Hive0154 عبر السنوات لتحميل حمولات مرتبطة بعائلتي Pubload وToneshell الخلفيتين.
خلال عام 2024، تم تسجيل المزيد من أنشطة Hive0154، والتي تم الإبلاغ عن بعضها بواسطة FatzQuatz، وStrikeReadyLabs حساب Twitter/X، وHunt.io:
اسم الطُعم
الوصف
SHA256
التاريخ
Meeting Request--30-31-05.zip
غير معروف
09597c284
مايو 2024
EBO Brainstorming Friday 24 to
غير معروف
78a60bea56
مايو 2024
Attendee list template (24-6-2024).zip
غير معروف
b7d13787c8be
يونيو 2024
Notice of Final Meeting.zip
غير معروف
fef713b23717
يوليو 2024
a1.Guidelines for Driving Soft Power to Promote Thailand's Image and
غير معروف
727ccc4560
يوليو 2024
Interview with Surachet
غير معروف
f00e5ff2dc47
أغسطس 2024
IISS Prague Defence Summit 2024.zip
تم الإبلاغ سابقًا عن حملة Mustang Panda التي استهدفت المشاركين في قمة الدفاع IISS في براغ، في نوفمبر 2024.
1387ec22a339
أغسطس 2024
NDI-IRI_Election_
يبدو أن اسم الملف يشير إلى تقرير NDI-IRI الصادر في يونيو 2023 والمتعلق بالانتخابات في نيجيريا. تم إعداد التقرير بدعم من الوكالة الأمريكية للتنمية الدولية (USAID).
ac989df2715a
أغسطس 2024
leadership information list.zip
غير معروف
3a37a127a4253
أغسطس 2024
Request for Inputs for the 6th
من المرجَّح أن الطُعم يشير إلى اجتماع ثنائي بين تايلاند والفلبين الذي عُقد في أكتوبر 2024.
057fd248e0219
سبتمبر 2024
Bencana_Air_
يبدو أن وثيقة الطُعم صادرة عن الوكالة الوطنية لإدارة الكوارث في ماليزيا (NADMA, Agensi Pengurusan Bencana Negara) وتتعلق باستجابتها المستمرة لجائحة كوفيد-19 في ماليزيا.
cc4e5d175fc85685
أكتوبر 2024
تظل تقنية تحميل DLL الجانبي داخل ملفات ZIP نفسها، لكن تم تسجيل نسخ مختلفة من DLL الخاصة بـ Claimloader مع تغييرات في خوارزمية فك التشفير. كما استخدمت بعض الحملات أيضًا Toneshell DLL (0bd114fecfd3c09820fa013d8cd8aadedee69906b6f81a2e827bba68ddf1023b) مباشرة.
رصدت X-Force عدة حملات جديدة في أواخر 2024 وأوائل 2025 اتَّبعت نفس الأساليب والتقنيات والإجراءات (TTPs)، ونُسبت إلى نفس المجموعة الفرعية لـ Hive0154. تدعم أحدث نسخ Claimloader أيضًا فتح ملفات PDF وهمية كجزء من روتين التثبيت، قبل حقن الحمولات البرمجية الخاصة بـ shellcode. تستخدم ملفات PDF، بالإضافة إلى ملفات DLL، سمات الملف لتظل مخفية لمستخدم قياسي.
يشير اثنان من الطعوم وأسماء الملفات الوهمية المرتبطة بهما على وجه التحديد إلى التوترات في بحر الصين الجنوبي بين الصين والفلبين، حيث دعت الحكومة الفلبينية إلى تعاون عسكري وثيق مع الولايات المتحدة في ضوء الأنشطة المتزايدة التي يقوم بها الجيش الصيني. ومن المرجح أن تثير هذه التطورات اهتمامًا متزايدًا من المتلقين، الذين قد يكونون أكثر ميلًا لفتح المرفق. قد يشمل هؤلاء المستلمين موظفي الحكومة والجيش والدبلوماسيين في الفلبين، وقد يشمل أيضًا موظفي الحكومة والجيش الأمريكيين الذين تتطلب مهامهم التعامل مع الموضوعات الواردة في أسماء الملفات.
اسم الطُعم
اسم ملف وهمي (طُعم)
Associated DLL SHA256
التاريخ
Assessment Report 10-17 Oct\China, Philippines' clash over
20241009 Lao PDR_Review and Decision of the ASEAN LEADERS on the 5PC 2024.pdf
93fb8b78d65a9
أكتوبر 2024
Defense_
2025.pdf
a6dfb41bbad08e3f
نوفمبر 2024
كِلا الطُعمين يقومان بتحميل DLL من نوع Claimloader على نحو جانبي، والذي يتولى تحميل باب خلفي من نوع Toneshell الموضَّح بالتفصيل لاحقًا.
Claimloader هو مجموعة من أدوات التحميل التي استخدمتها Hive0154 في الماضي لتحميل حمولات shellcode المختلفة، بما في ذلك Toneshell وPubload. وعلى مر السنين، تطورت إلى عدة إصدارات مختلفة بوظائف مختلفة.
تم نشر إحدى العينات المبكرة، التي تم تجميعها في أواخر عام 2021، بواسطة الوحدة 42 في Palo Alto. يستخدم أسلوبًا مثيرًا للاهتمام، وهو نسخ الشفرة البرمجية إلى مخزن مؤقت عبر واجهة برمجة التطبيقات UuidFromStringA. كما يقوم بتنفيذ الكود الخبيث كدالة رد نداء يتم تمريرها إلى EnumSystemLanguageGroupsA.
تم سابقًا الإبلاغ عن تقنية مماثلة من قبل مجموعة NCC.
في نوفمبر 2022، أبلغ LAC عن متغيّر Claimloader من المحتمل أن يستهدف المؤسسات الحكومية في الفلبين في سلسلة عدوى مطابقة تقريبًا للنشاط في 2023-2024 المفصل في الأقسام السابقة. يقوم هذا النوع من المتغيّرات بتخزين حمولته على شكل كتل من سلاسل المكدس المشفرة بحجم 32 بايت، قبل فك تشفير كل منها. كما يقوم بنسخ الملف التنفيذي الشرعي وملف Claimloader DLL إلى دليل جديد قبل محاولة إنشاء استمرارية عبر السجل أو المهام المجدولة، ما يجعله في الواقع برنامج تثبيت بالإضافة إلى كونه برنامج تحميل.
عند التنفيذ، يبدأ البرنامج الضار بإنشاء mutex مشفر لضمان تشغيل نسخة واحدة فقط من Claimloader. بعد ذلك، يتحقق من وجود وسيط سطر أوامر محدد، وهو غير موجود في التشغيل الأول. إذا كان الأمر كذلك، فسيقوم برنامج Claimloader بنسخ كل من ملف EXE وملف DLL إلى دليل جديد غير مزعج، غالبًا ما يكون تحت "C:\ProgramData\"، محاكيًا دليل برنامج مثل:
يُستخدم هذا السلوك من قبل معظم عينات Claimloader الأحدث ويمكن أن يؤدي أيضًا إلى عمليات تنفيذ غير ناجحة في بيئة الاختبار المعزولة.
بعد ذلك، يقوم البرنامج الضار بتأسيس استمرارية عند تسجيل الدخول عن طريق تخزين مسار ملف EXE مع وسيطة سطر الأوامر الصحيحة في مفتاح تسجيل جديد مرة أخرى باسم برنامج غير ملحوظ في:
يستخدم برنامج Claimloader أيضًا آلية استمرارية ثانوية من خلال إنشاء العملية التالية لإنشاء مهمة مجدولة، والتي ستنفِّذ برنامج التحميل كل 5 دقائق:
لاحِظ أن التقنيات الدقيقة قد تختلف؛ على سبيل المثال، استخدمت إحدى العينات كائنات COM بدلًا من ذلك لجدولة المهمة عن طريق الاتصال بواجهة ITaskService (8957c8de9032b347ee1a15abbae489788533acac0b1a000a2104812df24fb8ce).
تختلف خوارزميات فك التشفير في Claimloader في عدد العينات بين DES (أحدث إصدار)، وتطبيقين على الأقل لـ AES، وروتينات فك التشفير القائمة على XOR باستخدام بذرة مضمنة لتوليد سلسلة مفاتيح عبر الدالة _srand() :
لتنفيذ حمولاتهم بعد فك التشفير، تستخدم معظم متغيرات Claimloader واجهات برمجة التطبيقات مع وظائف رد الاتصال، ولكن هناك أيضًا متغيّرات تقوم بإنشاء سلسلة رسائل جديدة أو استدعاء الحمولة مباشرةً كدالة.
فيما يلي جدول لعينات Claimloader المختلفة وتقنياتها:
عينة SHA256
اسم DLL
الاستمرارية
فك التشفير
تقنية التنفيذ
3af7807efb105
Amind
السجل ومهمة مجدولة باسم
_srand() keystream
EnumPropsExW
8957c8de9032
libemb
السجل والمهمة المجدولة
AES
استدعاء مباشر
d665f55555f87
CCleaner
لا يوجد
AES، مع تخزين الحمولة داخل سلاسل موجودة في المجموعة
EnumCalendarInfoExW
c7efd45aa7dd1e
Solid
السجل والمهمة المجدولة "jxbrowser-chromiumim"
AES
EnumFontsW
a6dfb41bbad08
jx
السجل والمهمة المجدولة "jxbrowser-chromiumim"
AES
EnumFontsW
900af2b8d03b4
helper_
السجل والمهمة المجدولة "Wargaming
_srand() keystream
EnumFontsW
4c66e7ebf2ca2e
helper_
السجل والمهمة
DES
EnumFontsW
أضافت العديد من النماذج الحديثة دعمًا لعرض ملف PDF وهمي أثناء التنفيذ الأول لبرنامج Claimloader.
بعد فتح ملف PDF للمستخدم، يقوم Claimloader بإزالة سمات الملف "System" و"Hidden" لجعل ملف PDF مرئيًا بشكل دائم للمستخدم في المجلد المفتوح.
يستخدم أحدث إصدار من Claimloader وقت النشر أسماء API وDLL مشوشة، والتي يتم تشفيرها باستخدام XOR مع 0x99. أثناء التنفيذ، يقوم المحمِّل بفك تشفير السلاسل ويستدعي LdrLoadDll وLdrGetProcedureAddress لحل مؤشرات الوظائف لواجهات برمجة التطبيقات التي يحتاجها.
كِلا ملفي Claimloader DLL المرتبطين بطُعوم بحر الصين الجنوبي يقومان بتحميل نفس الباب الخلفي Toneshell (5d7b9605cf85371da0849b82977df222ac6c970596c5a9a123c9490789d40078) كرمز shellcode، وهو ملف PE صالح في نفس الوقت.
تم تعديل رأس DOS ليشمل جزءًا صغيرًا لاستدعاء وظيفة أخرى عند الإزاحة 0x4200، مع توفير عنوان قاعدة PE كوسيط. تستمر وظيفة التحميل هذه في تحميل ملف PE يدويًا، وحل عمليات الاستيراد الضرورية وتعيين الأقسام في الذاكرة. تسمح هذه التقنية لمطوري البرامج الضارة بتحويل PE صالح إلى shellcode بعد التجميع.
تضم عائلة Toneshell ترسانة كبيرة من المتغيّرات المختلفة وقد تطورت بشكل كبير بمرور الوقت. على الرغم من أنها تشترك في تداخلات قوية في التعليمات البرمجية مع الباب الخلفي Pubload، فإنها تتم مراقبتها بشكل منفصل بواسطة X-Force. قد تختلف المتغيرات في آليات التحكم والسيطرة، وبروتوكولات التحكم والسيطرة المخصصة، والأوامر المدعومة، وتجزئات واجهة برمجة التطبيقات. كما تقوم X-Force بتجميع إصدارات متعددة من إطار عمل دودة USB يسمى "Tonedisk" ضمن عائلة Toneshell.
الباب الخلفي Toneshell من الحملة المذكورة أعلاه هو نسخة بسيطة نسبيًا ومصمم لإنشاء غلاف عكسي من خلال خادم C2 الخاص به.
يبدأ الأمر بحل واجهات برمجة التطبيقات الخاصة به وإنشاء معرّف فريد عالمي جديد عبر CoCreateGuid. يتم استخدام البايتات الـ 16 الناتجة كمعرِّف فريد للضحية وكتابتها في ملف جديد:
بعد ذلك، يقوم بإنشاء حدث جديد "Fool87012900137"، والذي يستخدمه كقفل متبادل لضمان أنه النسخة الوحيدة قيد التشغيل. يقوم Toneshell بتهيئة بنيته الرئيسية بعنوان خادم C2 (45[.]136[.]254[.]193:443)، وGUID واسم جهاز الكمبيوتر الخاص بالضحية، من بين قِيم التكوين الأخرى. كما يقوم بتهيئة تطبيق Microsoft "rand" PRNG.
لكل منارة تستعلم من خادم C2 عن الأوامر، يُنشئ Toneshell المفتاح التالي المكوَّن من 256 بايت من PRNG، والذي يستخدم لتشفير اتصال C2، وGUID واسم الكمبيوتر.
تحتوي إشارات TCP على القيم التالية المنسقة برأس يحاكي حزمة بيانات تطبيق TLS (17 03 03):
يتوقع برنامج Toneshell استجابة مماثلة من الخادم:
بعد فك تشفير الاستجابة، يتم تحليل البايت الأول كقيمة أمر، ويتم استخدام البايت الثاني كمعرِّف للمسارات التي تم إنشاؤها، والباقي كحمولة أمر.
قبل معالجة الأمر، يُنشئ Toneshell سلسلة رسائل جديدة ترسِل إشارات استجابة تشبه نبضات القلب كل 30 ثانية. يجب على كل منارة أيضًا إرسال البايت الأدنى الصحيح من البايتات الأربعة التالية التي تم إنشاؤها بواسطة تدفق مفاتيح PRNG المهيأ للتحقق من سلامة الاتصال بخادم C2. وقد تم تنسيق هذه المنارات على النحو التالي:
يدعم هذا الإصدار من Toneshell رموز أوامر C2 التالية:
الرمز
الوصف
1
Wait - سيستمر في انتظار الأوامر التي تحتوي على حمولة غير فارغة.
2
إنشاء ملف جديد (احذفه إذا كان موجودًا بالفعل)
3
Write data to file
4
كتابة البيانات في الملف وقم بالتأكيد عبر إشارة الاستجابة
5
إنشاء غلاف عكسي عبر المسارات
6
كتابة أمر shell في المسار
7
إنهاء الغلاف العكسي
لإنشاء غلاف عكسي، يعمل Toneshell على إعداد مسارَين مجهولين وإنشاء عملية cmd.exe جديدة باستخدام المسارات لكتابة البيانات إلى stdin وقراءة البيانات من stdout وstderr.
بإضافة المقابض إلى المسارات في بنية STARTUPINFO للعملية الجديدة، يمكن لـ Toneshell تنفيذ أوامر عشوائية بمجرد الكتابة إلى المسار. في مؤشر ترابط جديد، يفحص Toneshell المسار بحثًا عن خرج جديد باستخدام PeekNamedPipe كل 100 مللي ثانية. وتتم قراءة أي بيانات جديدة من المسار ثم ترحيلها مرة أخرى إلى خادم C2.
اعتبارًا من فبراير 2025، لاحظت X-Force حملة Hive0154 التي تقدِّم الباب الخلفي Pubload من خلال متغيرات مماثلة لـ Claimloader كما هو موضَّح أعلاه. تشترك العينات الأربع أدناه في نفس خادم التحكم والسيطرة (C2) 218[.]255[.]96[.]245:443
اسم الطُعم
دولة المرسل
اسم Claimloader DLL
Claimloader Mutex
DLL SHA256
التاريخ
BLA,BLF,
باكستان
SolidPDF
TB2025
c7efd45aa7
12 فبراير 2025
غير معروف
هونغ كونغ
SolidPDF
MTM2025
087ccc7f6c02
11 مارس 2025
(The_
الفلبين
chrome_
CATM2025
216188ee52b0
20 مارس 2025
NSC_
الولايات المتحدة
helper_
GameBox
900af2b8d03b
17 أبريل 2025
Invitation to
الفلبين
helper_
GameGpu
4c66e7ebf2ca2
29 أبريل 2025
豐德電廠
غير معروف (من المحتمل أن يكون من تايوان)
helper_
GameFind
112118aad0db9ff
7 مايو 2025
英諾飛保
تايوان
helper_
غير معروف
غير معروف
8 مايو 2025
Invitation letter
غير معروف
helper_
GameBox
7476d6b375d8
9 مايو 2025
في حالة ملف LNK المذكور أعلاه، يقوم بتشغيل الملف التنفيذي الذي تمت إعادة تسميته بشكل شرعي لبدء عملية تحميل ملف DLL الجانبي لبرنامج Claimloader:
أحد ملفات ZIP المستخدمة كسلاح يحتوي على ملف تنفيذي شرعي تمت إعادة تسميته إلى "BLA,BLF,BRAS,BRG,BRA,UBA (Research & Analysis) Report.exe". من المرجح أن يكون الطُعم إشارة إلى جيش تحرير بلوشستان (BLA)، وهو جماعة انفصالية مسلحة، وجماعات مسلحة أخرى مرتبطة به تدعو إلى إنشاء دولة بلوشستان الجديدة. من المرجح أن يكون استخدام مثل هذه الأسماء في الطُعم محاولة من المهاجم لحث المتلقين المهتمين على النقر على المرفق.
قد يشير ملف آخر بعنوان "NSC_Meeting_Minutes_Apr2025.lnk" إلى اجتماع لمجلس الأمن القومي الأمريكي والملاحظات المزعومة التي تم تدوينها، والتي قد تكون ذات أهمية للأفراد في الحكومة الأمريكية أو الأفراد الآخرين المشاركين في الاستخبارات أو الأكاديميين أو الصحافة المتعلقة بالشؤون الحكومية الأمريكية. كما هو الحال في طُعم "BLA" التي تستهدف المسؤولين الباكستانيين، قد يكون هذا الإغراء موجهًا نحو جمهور أمريكي باستخدام اسم ملف مقيد لإغراء المستلمين بالنقر على المرفق.
قد يشير اسم الملف "Invitation to the Inter-Agency Meeting for the 46th ASEAN Summit.exe" إلى قمة رابطة دول جنوب شرق آسيا (ASEAN) القادمة في 26 و27 مايو 2025 في ماليزيا.
اسم الملف، "豐德電廠114年5月份現金需求表/114.04~114.06月現金需求表(114年度5月).exe" قد يشير إلى فاتورة دفع محطة طاقة Power في تايوان حول شهر أبريل/مايو 2015.
الملف الأخير، "英諾飛保密合約書-NDA-亞航 v英諾飛-AACLlegal1105.exe" قد يشير ذلك إلى اتفاقية عدم إفصاح مزعومة بين شركتين تايوانيتين متخصصتين في مجال الطيران والفضاء تتعلقان بالطائرات بدون طيار وصيانة الطائرات.
Pubload هو أول باب خلفي وصفته Cisco Talos في عام 2022 على أنه برنامج تسلسلي غير مسمى. لاحظ أن X-Force يحدد أداة تحميل الشفرة الخبيثة باسم Claimloader وأداة تنزيل الشفرة الخبيثة في المرحلة الأولى باسم Pubload، بينما تقارير TrendMicro تحدد كليهما باسم Pubload. تم استخدام Claimloader لتحميل كل من Pubload وToneshell. Team T5 يتتبَّع Pubload وPubshell باسم NoFive.
تبدأ حمولة شفرة Pubload البرمجية الضارة بفك تشفير باقي شفرتها البرمجية باستخدام مفتاح XOR مكوَّن من 32 بايت:
تمت إضافة روتين فك التشفير الذاتي هذا بدءًا من العينة الثانية من عينات Claimloader الأربعة المذكورة أعلاه. بعد فك التشفير، ينتقل البرنامج إلى حل جميع واجهات برمجة التطبيقات الضرورية الخاصة به، والتي تم إخفاؤها عبر خوارزمية ROR13. بعد ذلك، يقوم بتخصيص ذاكرة جديدة وإعداد هيكله الرئيسي بعنوان خادم C2 ومفتاح تشفير مضمنين في الكود، قبل بدء سلوكه الرئيسي.
تبدأ الحلقة الرئيسية لبرنامج Pubload بتعداد القيم التالية:
يتم تنسيق هذه القيم على أنها حمولة المنارة الأولى:
يتم تشفير الحمولة باستخدام المفتاح المرمّز في أربع حلقات XOR متتالية مع إزاحات مفاتيح مختلفة:
على غرار Toneshell، يتم وضع الحمولة المشفرة في حزمة بيانات تطبيق TLS مزيفة:
يتم إرسال حزمة TCP إلى خادم C2 المبرمج مسبقًا على العنوان التالي:
في المقابل، يتوقع Pubload استجابة يتم تحليلها على النحو التالي:
بعد فك تشفير الحمولة بنجاح، من المتوقع أن يكون البايت الأول هو 0x06، بينما يتم تحليل باقي البيانات على شكل البنية أدناه لفك تشفير حمولة الشفرة الخبيثة المستلمة باستخدام عملية XOR:
وأخيرًا، يقوم برنامج Pubload بإضافة خيار حماية الذاكرة PAGE_EXECUTE_READWRITE الضروري وتنفيذ الشفرة الخبيثة، مع توفير معلومات النظام المعدودة وخادم C2 كوسيطات.
تُظهر حمولة الشفرة الضارة (Pubshell) التي يتم تنزيلها على الفور بواسطة Pubload العديد من أوجه التشابه مع متغير Toneshell الذي تمت مناقشته أعلاه ولها نفس الوظيفة - إنشاء غلاف عكسي من خلال المسارات.
يبدأ الأمر بإجراءات الإعداد المعتادة، وحل واجهات برمجة التطبيقات، وتخصيص الذاكرة، وتهيئة بنيته الرئيسية ونفس المفتاح الخاص بعينة Pubload الأصلية.
المنارة الأولى تشبه منارة Pubload، باستثناء البايت الأول من الحمولة (رمز المنارة)، وهو 0x0B.
مرة أخرى، يعمل البايت الأول من الاستجابة التي تم فك تشفيرها كرمز أمر لتحديد سلوك Pubshell:
كود الأوامر
الوصف
1
إعادة تعيين معرّف الضحية إلى الرقم التسلسلي الأولي المبهم
3
تعيين معرِّف الضحية الجديد
4
ضبط تردد الإشارة بالثواني (القيمة الأولية هي 10 ثوانٍ)
5
التوقف عن استخدام الإشارات
26
حذف ملف
27
إنشاء ملف جديد
29
كتابة البيانات إلى ملف تم إنشاؤه حديثًا
30
إنشاء غلاف عكسي عبر المسارات
31
كتابة أمر جديد إلى المسارات
32
إنهاء الغلاف العكسي وإغلاق جميع المعالجات والعمليات المرتبطة بها
48
قراءة نتيجة الأمر (stdin، stderr) من المسار
تمامًا مثل Toneshell، يقوم Pubshell بإرسال رموز استجابة مختلفة إلى خادم C2 الخاص به، اعتمادًا على نتيجة الأمر. على سبيل المثال، فإن كلا الأمرين لإنشاء ملف جديد (27) والكتابة إلى ذلك الملف (29) سيعيدان الرمز 42 عند النجاح و43 عند الفشل. بالإضافة إلى ذلك، يتضمن Pubshell أيضًا سلاسل رسائل خطأ أكثر تفصيلًا، مثل:
كما لوحظت سلاسل مماثلة في أنواع أخرى من متغيرات Toneshell.
إن تطبيق Pubshell للغلاف العكسي عبر المسارات المجهولة يكاد يكون مطابقًا لتطبيق Toneshell. ومع ذلك، بدلًا من تشغيل سلسلة عمليات جديدة لإرجاع أي نتائج على الفور، يتطلب Pubshell أمرًا إضافيًا لإرجاع نتائج الأوامر. كما أنه يدعم تشغيل "cmd.exe" فقط كغلاف.
من نواحٍ عديدة، يبدو أن Pubload وPubshell عبارة عن "نسخة مبسطة" مطورة بشكل مستقل من Toneshell، مع تعقيد أقل وتداخلات واضحة في التعليمات البرمجية.
في ديسمبر 2024، رصدت X-Force نشاطًا إضافيًا لـ Hive0154 يستهدف تايوان باستخدام الباب الخلفي Pubload. في شهر مارس، تعاونت X-Force مع شركة تصنيع كبرى للتحقيق في عدوى Pubload في تايوان. في الحادثة، استخدم المهاجمون دودة HIUPAN USB لنشر Claimloader وPubload من خلال أجهزة USB. من المحتمل أن يتم استخدام الدودة كحمولة لاحقة في إصابات Pubload الأولية لزيادة عدد الإصابات وربما الوصول إلى الشبكات التي قد تكون معزولة عن العالم الخارجي. تم توثيق العلاقة بين كِلا نوعي البرامج الضارة سابقًا بواسطة Trend Micro.
HIUPAN (المعروف أيضًا باسم U2DiskWatch) هو دودة USB، يتم تحميل ملف DLL الرئيسي الخاص بها "u2ec.dll" من خلال ملف EXE مشروع "UsbConfig.exe" عندما يقوم المستخدم بتشغيله عن غير قصد من جهاز USB. تُنجز الدودة المهام التالية:
يستخدم برنامج HIUPAN ملف تكوين "$.ini" لتخزين مُضاعِف النوم وأسماء ملفات مكوناته والبرامج الضارة المصاحبة له. وهذا يجعل من السهل للغاية تهيئة الدودة لنشر أي برامج ضارة عن طريق تبادل ملفات الحمولة والتكوين النصي.
يظهر أدناه ملف التكوين الذي تم رصده في الإصابات التي تنتشر في تايوان والتي تستخدم Claimloader وPubload:
كود الأوامر
الوصف
1
إعادة تعيين معرّف الضحية إلى الرقم التسلسلي الأولي المبهم
3
تعيين معرِّف الضحية الجديد
4
ضبط تردد الإشارة بالثواني (القيمة الأولية هي 10 ثوانٍ)
5
التوقف عن استخدام الإشارات
26
حذف ملف
27
إنشاء ملف جديد
29
كتابة البيانات إلى ملف تم إنشاؤه حديثًا
30
إنشاء غلاف عكسي عبر المسارات
31
كتابة أمر جديد إلى المسارات
32
إنهاء الغلاف العكسي وإغلاق جميع المعالجات والعمليات المرتبطة بها
48
قراءة نتيجة الأمر (stdin، stderr) من المسار
لا يُعَد HIUPAN الدودة الوحيدة التي تستخدمها Hive0154 عبر منفذ USB. لا تزال العديد من الأطر والمتغيرات الأخرى التي تنشر البرامج الضارة، مثل Toneshell وPubshell، تنتشر بنشاط ويتم تحميلها بانتظام إلى VirusTotal.
يتضح النطاق التشغيلي الواسع لـ Hive0154 الذي تمت مناقشته في هذه المدونة من خلال استخدامهم لأدوات متنوعة وتقنيات مبتكرة ومجموعة واسعة من الضحايا المحتملين. ستواصل الجماعات المتحالفة مع الصين مثل Hive0154 تحسين ترسانتها الكبيرة من البرامج الضارة وستحافظ على تركيزها على المؤسسات الموجودة في شرق آسيا في القطاعين الخاص والعام. إن مجموعتهم الواسعة من الأدوات، ودورات التطوير المتكررة، وتوزيع البرامج الضارة القائمة على دودة USB، تسلط الضوء عليهم كجهة تهديد متطورة. ينبغي على الكيانات المعرضة لخطر نشاط Hive0154 أن تظل في حالة تأهب أمني دفاعي عالية وأن تظل متيقظة فيما يتعلق بالتقنيات المذكورة في هذا التقرير.
