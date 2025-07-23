Desde o início de julho de 2025, o IBM X-Force está monitorando campanhas ativas do Hive0156 Remcos Remote Access Trojan (RAT) direcionadas às vítimas na Ucrânia. O Hive0156 é um agente da ameaça alinhado à Rússia que busca comprometer indivíduos dentro do governo ou das forças armadas ucranianas. As ferramentas, táticas e procedimentos (TTPs) do grupo se sobrepõem consideravelmente às do agente UAC-0184 do CERT-UA. O Hive0156 distribui arquivos Microsoft LNK e PowerShell maliciosos, que levam ao download e à execução do Remcos RAT. O X-Force observou documentos-isca importantes com temas que sugerem um foco no exército ucraniano, evoluindo para atingir um público potencialmente mais amplo.
O Hive0156 é um agente da ameaça alinhado à Rússia que usa principalmente malware e documentos falso para orquestrar campanhas cibernéticas maliciosas na Ucrânia. Denunciado ao longo de 2024, o Hive0156 teve como alvo chats de sinais militares ucranianos e pessoal, entregando arquivos LNK maliciosos ou scripts PowerShell, levando a infecções por Remcos. O grupo usa temas de documentos isca altamente relevantes para o pessoal preocupado com a postura operacional dos militares ucranianos.
Até meados de 2025, o uso generalizado de temas militares relevantes pelo Hive0156 para documentos de isca sugere um interesse prioritário em atacar membros das forças armadas ucranianas. Os documentos falsos nas campanhas geralmente são arquivos de dados corrompidos ou lixo eletrônico, mas revelam temas selecionados pelo grupo para atrair o envolvimento das vítimas. Os nomes de arquivos são frequentemente encontrados em formas transliteradas de russo ou ucraniano. Abaixo, estão destacados os documentos utilizados pelo Hive0156 em suas operações antes de meados de 2025.
A 33ª Mecanizada é uma brigada das forças terrestres da Ucrânia. No final de 2024, a 33ª participou de operações de combate em Kurakhove e, posteriormente, nas linhas de frente de Heorhiivka e Vuhledar. A isca é um documento funcional não autenticado do Excel com várias métricas que geralmente comunicam os níveis de vários recursos.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx pode se referir a uma ordem de prontidão e possivelmente estar relacionada à 33ª Brigada Mecanizada. O nome do arquivo refere-se à prontidão do primeiro batalhão mecanizado, um batalhão oficial do 33º.
Em junho de 2024, o CERT-UA denunciou que o UAC-0184 entregava arquivos maliciosos com recursos da 3ª Tropa de Assalto Independente da Ucrânia, o que levou a cadeias de ataques semelhantes.
Traduzido automaticamente, Rozrahnok_rozpodyl_operatyvnogo_skladu.doc refere-se à distribuição da equipe operacional. Dado os temas consistentes durante a guerra, é provável que se refira ao número de militares.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx foi traduzido do russo e é um documento funcional do Excel. O arquivo consiste em coordenadas mapeadas para a Província de Zanjan, no Irã. Após a inspeção das coordenadas, os locais parecem consistir principalmente em terras agrícolas perto de fontes de irrigação, como o rio Tikmeh Dash.
Em meados de 2025, o X-Force tem observando documentos alvo em língua ucraniana transliterados apresentando temas relacionados a "petições", "cartas de apresentação oficiais" ou "rejeições formais". Isso representa uma mudança em relação à ênfase do grupo em temas militares, visando um público mais amplo. Documentos falsos observados após meados de 2025 geralmente estão corrompidos ou preenchidos com dados inúteis.
No início de julho de 2025, o grupo continua entregando Remcos como sua carga útil final principal e simplificou sua entrega desde 2024. Campanhas recentes do Hive0156 começam com um arquivo LNK ou PowerShell de primeiro estágio modificado para ataque. Após a execução, o primeiro estágio tenta entrar em contato com a infraestrutura de comando e controle (C2) do agente para recuperar o documento falso e o arquivo zip dos arquivos maliciosos. A comunicação com o servidor C2 é filtrada por região geográfica e por um agente de usuário esperado. Após a recuperação bem-sucedida, o documento falso é apresentado ao usuário, mas muitas vezes está corrompido. Em segundo plano, uma instância do Hijackloader (também conhecido como IDAT Loader) é executado e entrega o Remcos RAT.
Em campanhas recentes, o Hive0156 alterna suas infecções de primeiro estágio entre arquivos maliciosos LNK ou PowerShell. A funcionalidade de ambos os tipos é equivalente. A execução do primeiro estágio é crítica para a distribuição do malware carregador do grupo, que é baixado em um arquivo zip. Ambos os tipos de primeiro estágio executam uma cadeia de infecção do HijackLoader em segundo plano, enquanto apresentam ao usuário um documento de isca.
Uma diferença fundamental entre campanhas no estilo LNK e no estilo PowerShell é a entrega do documento de isca. Em campanhas baseadas em LNK, duas solicitações C2 separadas são iniciadas para baixar o documento de isca e o arquivo ZIP do HijackLoader. Nas campanhas baseadas no PowerShell, é iniciada uma chamada para baixar o arquivo ZIP do HijackLoader que contém o documento de isca. Essa distinção pode ajudar os defensores da rede a identificar o tipo de infecção de primeiro estágio encontrado.
A execução do HijackLoader serve como mecanismo de entrega do grupo para Remcos. Também conhecido como IDAT Loader, o HijackLoader faz referência a arquivos de dados co-localizados dentro do zip de primeiro estágio para revelar a carga útil final – Remcos.
O agente da ameaça compacta o HijackLoader dentro de um arquivo ZIP. Os arquivos ZIP do HijackLoader contêm vários componentes, todos necessários para continuar a cadeia de infecção.
Os seguintes componentes normalmente estão presentes em um arquivo ZIP do HijackLoader:
Neste exemplo, os arquivos relacionados ao HijackLoader foram compactados em um arquivo ZIP chamado premo.zip. O executável legítimo PortRemo.exe é executado pelo arquivo LNK inicial, que carregará a DLL sqlite3.dll com patch malicioso.
A imagem a seguir mostra a tabela de importação para o PortRemo.exe. Em algum momento durante a execução, uma dessas funções será chamada e, por fim, levará ao código malicioso dentro do sqlite3.dll.
Neste exemplo, sqlite3_result_text16() é a função maliciosa. O HijackLoader utilizará a tabela de exportação para impedir que o IDA analise corretamente o arquivo.
A DLL corrigida vai ler e descriptografar o shellcode de primeiro estágio do HijackLoader. O shellcode descriptografado irá descriptografar o arquivo PNG que contém os componentes do HijackLoader. O HijackLoader utiliza vários módulos para aprimorar a funcionalidade.
A tabela a seguir lista os módulos conhecidos, bem como suas funcionalidades:
Nome
Funcionalidade
AVDATA
Módulo de lista de bloqueio, que verifica nomes de processos conhecidos por estarem relacionados ao software de segurança.
ESAL
Executa a carga útil final.
ESLDR
Usado para injetar e executar shellcode relacionado ao HijackLoader.
ESWR
Remove o shellcode da memória e executa o módulo " rshell ".
FIXED
Um arquivo executável legítimo usado para injeção de processo.
LaunchLdr
Descriptografa o arquivo PNG do HijackLoader para extrair todos os módulos.
rshell
Configura a carga útil final na memória e a executa.
ti
Realiza injeção de código pós-primeiro estágio.
tinystub
Um arquivo PE vazio usado para patching e injeção.
tinyutilitymodule
Substitui cabeçalhos PE de arquivos especificados com bytes nulos.
Assim que todos os módulos forem concluídos, o HijackLoader injetará sua carga útil final em um processo remoto.
A análise do X-Force sobre configuração do Remcos usada pelo Hive0156 indica que poucas funcionalidades estão ativadas. No entanto, isso não indica uma ameaça diminuída. A versão do Remcos do Hive0156 é configurada principalmente para estabelecer comunicação com a infraestrutura C2 do grupo e aguardar periodicamente novos comandos. O grupo parece operar várias campanhas em paralelo e mantém o uso diligente da funcionalidade de ID de campanha da Remcos. Ao longo de 2025, o X-Force observou os IDs de campanha hmu2005, gu2005, ra2005 e ra2005new associados ao grupo.
O Remcos é uma ferramenta de administração remota desenvolvida pela Breaking-Security. Detalhes sobre suas funcionalidades podem ser encontrados aqui.
Após a execução, o Remcos carregará sua configuração a partir de um blob dentro dos seus recursos. Depois de concluído, o Remcos analisará a configuração, o que determina quais ações serão realizadas durante a execução.
O Remcos aceita os seguintes parâmetros de configuração:
ID de configuração
Função
0x0
Contém endereços de C2.
0x1
Contém um identificador para a campanha.
0x2
Determina a frequência com que os Remcos devem se conectar ao C2.
0x3
Instala o Remcos após a execução. A instalação inclui movê-lo para um local específico.
0x4
0x5
Habilita persistência usando HKLM e HKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
Tamanho máximo do arquivo para dados do keylogger antes da rotação.
0x8
Habilita persistência usando a chave de registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
0x9
Diretório para colocar o Remcos durante a instalação.
0xA
Nome de arquivo para migrar Remcos durante a instalação.
0xC
Habilita o atributo de arquivo oculto e define os arquivos associados como somente leitura.
0xE
Um nome de mutex.
0xF
Determina se o keylogger está desabilitado, totalmente habilitado ou habilitado apenas para determinadas janelas.
0x10
Usado para determinar onde os keylogs são armazenados.
0x11
Usado para determinar o nome do arquivo dos keylogs.
0x12
Controla a criptografia RC4 para keylogs.
0x13
Controla a ocultação dos arquivos do keylogger.
0x14
Ativa ou desativa a funcionalidade de gravação de tela.
0x15
Intervalo em minutos para capturar cada captura de tela.
0x16
Registra capturas de tela apenas para nomes de janelas específicas, se ativado.
0x17
Nomes de janela para a opção acima.
0x18
Intervalo de tempo associado à captura de tela de janelas específicas.
0x19
Diretório pai para armazenar capturas de tela.
0x23
Ativa ou desativa a gravação de áudio.
0x24
Duração em segundos de cada gravação de áudio.
0x25
Diretório pai para armazenar gravações de áudio.
0x26
Nome da pasta para armazenar gravações de áudio.
0x27
Desativa o UAC no registro, se ativado.
0x28
Modo de registro. Usado para ativar ou desativar a janela do console.
0x29
Atraso em segundos para a primeira tentativa de conexão C2.
0x2A
Nomes de janelas específicos para a funcionalidade de keylogging.
0x2B
Permite a limpeza do navegador na inicialização. O Remcos é capaz de excluir todos os cookies e logins do Explorer, Chrome e Firefox conforme as instruções de configuração. O objetivo dessa funcionalidade é dificultar o roubo de informações e, provavelmente tem pouca utilidade para um atacante malicioso.
0x2C
Ativa a limpeza do navegador apenas na primeira execução.
0x2D
Tempo de inatividade em minutos antes de limpar os navegadores da web.
0x2E
Ativa ou desativa a funcionalidade de ignorar o UAC.
0x30
Diretório para instalar o Remcos.
0x31
Diretório para armazenar keylogs.
0x32
Ativar o recurso de watchdog. O Remcos irá se inserir em um segundo processo e monitorar seu próprio processo original. A função principal é reiniciar o executável principal caso ele seja encerrado.
0x34
Número de licença da Remcos.
0x35
Ativar a exibição do ponteiro do mouse em cada captura de tela.
0x36
Certificado TLS usado para comunicação C2.
0x37
Chave TLS usada para comunicação C2.
0x38
Certificado público TLS para o C2.
Os sinalizadores de configuração são usados para determinar se o Remcos deve ativar determinadas funcionalidades. Depois que o Remcos analisar a configuração, começará a entrar em contato com os servidores C2. O Remcos pode aceitar comandos adicionais do servidor C2, incluindo os seguintes:
ID do comando
Funcionalidade
0x1
Um comando ping.
0x2
Desativa o envio de pacotes keep-alive.
0x3
Lista as aplicações instaladas.
0x6
Lista os processos em execução.
0x7
Encerra um processo.
0x9
Fecha uma janela.
0xA
Mostra uma janela maximizada.
0xB
Mostra uma janela.
0xC
Encerra um processo através do identificador da janela.
0xD
Executa um comando shell.
0xE
Inicia um shell canalizado.
0xF
Executa um programa.
0x10
Faz upload de capturas de tela para o servidor C2.
0x11
Obtém a localização global do IP do host.
0x12
Obtém informações da funcionalidade keylogger offline.
0x13
Inicia o keylogger no modo online.
0x14
Interrompe o keylogger quando iniciado no modo online.
0x15
Carrega dados de keylogger para o C2.
0x16
Carrega dados de keylogger para o C2.
0x17
Exclui os dados do keylogger.
0x18
Limpa cookies e logins do navegador.
0x1B
Inicia o módulo de gravação da webcam.
0x1C
Interrompe o módulo de gravação da webcam.
0x1D
Ativa o módulo de gravação de microfone.
0x1E
Desativa o módulo de gravação de microfone.
0x1F
Tentativas de roubo de credenciais de vários programas. Utiliza os utilitários de recuperação de senha da Nirsoft: https://www.nirsoft.net/ (O link está localizado fora do site ibm.com).
0x20
Exclui um arquivo ou pasta.
0x21
Encerra seu próprio processo e o processo de watchdog.
0x22
Desinstala o Remcos do sistema.
0x23
Reinicia o computador.
0x24
Atualiza o Remcos a partir de uma URL fornecida.
0x25
Atualiza Remcos usando o servidor C2.
0x26
Exibe uma caixa de mensagem.
0x27
Faz com que ocorra o desligamento ou a hibernação do sistema.
0x28
Envia dados da área de transferência para o servidor C2.
0x29
Define a área de transferência para dados definidos em C2.
0x2A
Limpa a área de transferência.
0x2B
Carrega e executa uma DLL do C2.
0x2C
Carrega e executa uma DLL a partir de uma URL fornecida.
0x2F
Edita o registro com base nos valores fornecidos pelo C2.
0x30
Aparentemente, permite que o atacante converse com a vítima.
0x31
Define o identificador de nome do Remcos.
0x32
Permite o uso e gerenciamento de proxies.
0x34
Permite que o Remcos gerencie os serviços do sistema.
0x8F
Procura um arquivo no sistema.
0x92
Define o plano de fundo do sistema.
0x94
Define o texto de uma janela e lista os processos ativos com janelas usando EnumWindows().
0x97
Carrega os resultados do comando "dxdiag" para o servidor C2.
0x98
Permite que o Remcos gerencie arquivos por meio de ações como copiar, mover e excluir.
0x99
Faz upload de dados da captura de tela para o C2.
0x9A
Extrai o histórico do navegador web usando executáveis da Nirsoft.
0x9E
Reproduz um arquivo de áudio " alarm.wav ". Esse arquivo é obtido do servidor C2.
0x9F
Permite reproduzir "alarm.wav" ao desconectar C2.
0xA0
Desativa a reprodução de "alarm.wav" ao desconectar C2.
0xA2
Downloads "alarm.wav" do servidor C2.
0xA3
Reproduz um arquivo de áudio.
0xAB
Eleva um processo.
0xAC
Ativa a janela do console de registro.
0xAD
Mostra a janela do console de registro.
0xAE
Oculta a janela do console de registro.
0xB2
Injeta um executável em um novo processo e o executa.
0xC5
Define um valor de registro.
0xC6
Carrega cookies e senhas de navegadores para o C2.
0xC8
Suspende um processo.
0xC9
Retoma um processo.
0xCA
Lê um arquivo e envia o conteúdo para o servidor C2.
0xCB
Grava o conteúdo fornecido por C2 em um arquivo.
0xCC
Inicia o keylogger no modo offline.
0xCD
Interrompe o keylogger quando iniciado no modo offline.
0xCE
Lista as tabelas TCP e UDP de um processo.
Conforme mostrado acima, o Remcos tem uma ampla variedade de recursos, incluindo administração remota, execução de carga útil, vigilância, persistência e roubo de informações. O Remcos pode ser usado por administradores de sistemas legítimos; no entanto, também é amplamente utilizado por diversos agente de ameaças. As ações tomadas pelo Remcos em um sistema são orientadas principalmente pela comunicação com seu servidor C2. O Remcos inclui um painel GUI para permitir que os invasores gerenciem facilmente várias vítimas em uma única interface. A interface GUI permite criar tarefas automatizadas, bem como interagir manualmente com o implante Remcos em um sistema de vítima.
O Hive0156 opera uma rede de servidores C2 em todo o mundo e provavelmente se beneficia da indiferença do provedor de hospedagem russo em relação às operações do grupo. O X-Force descobriu que o grupo emprega geofencing, ao menos para a Ucrânia, e solicita filtragem de cabeçalho como parte de suas operações de preparação. O Hive0156 implementa Remcos com funcionalidades limitadas ativadas, mas atualiza continuamente sua configuração a partir de relatórios C2. Isso pode indicar uma priorização do acesso inativo e a habilitação seletiva da coleta em novas iniciativas. A manutenção da conectividade desobstruída entre as infecções por Remcos e a infraestrutura de C2 do grupo é fundamental para o acesso contínuo às vítimas.
O Hive0156 continua com operações cibernéticas maliciosas contra a Ucrânia. O X-Force avalia que o grupo continua atacando militares ucranianos, mas está aprimorando seus documentos de isca para temas mais gerais, sugerindo um leque maior de vítimas. Organizações e pessoal que atuam dentro ou têm alguma ligação com as forças armadas ucranianas correm um risco maior de serem alvos do Hive0156.
O X-Force recomenda as seguintes ações para mitigar a atividade do Hive0156:
Indicador
Tipo de indicador
Contexto
5.101.83[.]18
Endereço de IP
C2
5.101.83[.]19
Endereço de IP
C2
5.101.82[.]52
Endereço de IP
C2
146.185.239[.]11
Endereço de IP
C2
146.185.239[.]12
Endereço de IP
C2
5.101.80[.]15
Endereço de IP
C2
6637405265adc8b
SHA256
LNK malicioso
46d633c2937eeca2
SHA256
LNK malicioso
14515e5498d3d3219e
SHA256
LNK malicioso
37d2f3d3af2d564d6f9
SHA256
LNK malicioso
842d1e27d919a0ef568
SHA256
LNK malicioso
ccf6d3eaea549b8f1f02
SHA256
LNK malicioso
63e9fa71789996cf52b
SHA256
LNK malicioso
1f157d473ccfe51a22a0
SHA256
LNK malicioso
002e2e591f324ebdfa2
SHA256
LNK malicioso
c38beb137b130c00b6
SHA256
LNK malicioso
6cd56f7f1f8c7c422c672
SHA256
LNK malicioso
44448993bbe5931c62
SHA256
LNK malicioso
d9d26d19da539b0adc
SHA256
LNK malicioso
7efbfd633d469405c66
SHA256
LNK malicioso
9b662720f48749f5b29d
SHA256
LNK malicioso
8556f07ceb37e726a66c
SHA256
LNK malicioso
9d95228173bf5f29bc3d2
SHA256
LNK malicioso
6c5a89c3dd7b596fd1be
SHA256
LNK malicioso
2387e5e7f1eebfa1c27f95
SHA256
PowerShell malicioso
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
