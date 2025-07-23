Tags
Hive0156 continua as campanhas com Remcos contra a Ucrânia

Dois homens trabalhando em computadores em uma sala de servidores

Autores

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

Desde o início de julho de 2025, o IBM X-Force está monitorando campanhas ativas do Hive0156 Remcos Remote Access Trojan (RAT) direcionadas às vítimas na Ucrânia. O Hive0156 é um agente da ameaça alinhado à Rússia que busca comprometer indivíduos dentro do governo ou das forças armadas ucranianas. As ferramentas, táticas e procedimentos (TTPs) do grupo se sobrepõem consideravelmente às do agente UAC-0184 do CERT-UA. O Hive0156 distribui arquivos Microsoft LNK e PowerShell maliciosos, que levam ao download e à execução do Remcos RAT. O X-Force observou documentos-isca importantes com temas que sugerem um foco no exército ucraniano, evoluindo para atingir um público potencialmente mais amplo.

Principais conclusões:

  • O Hive0156 continua entregando Remcos RAT em toda a Ucrânia
  • Os temas dos documentos de isca são altamente relevantes para o pessoal militar da Ucrânia
  • O acesso à infraestrutura ucraniana continua sendo uma prioridade fundamental para agentes alinhados à Rússia

Análise

O Hive0156 é um agente da ameaça alinhado à Rússia que usa principalmente malware e documentos falso para orquestrar campanhas cibernéticas maliciosas na Ucrânia. Denunciado ao longo de 2024, o Hive0156 teve como alvo chats de sinais militares ucranianos e pessoal, entregando arquivos LNK maliciosos ou scripts PowerShell, levando a infecções por Remcos. O grupo usa temas de documentos isca altamente relevantes para o pessoal preocupado com a postura operacional dos militares ucranianos.

Temas anteriores a meados de 2025

Até meados de 2025, o uso generalizado de temas militares relevantes pelo Hive0156 para documentos de isca sugere um interesse prioritário em atacar membros das forças armadas ucranianas. Os documentos falsos nas campanhas geralmente são arquivos de dados corrompidos ou lixo eletrônico, mas revelam temas selecionados pelo grupo para atrair o envolvimento das vítimas. Os nomes de arquivos são frequentemente encontrados em formas transliteradas de russo ou ucraniano. Abaixo, estão destacados os documentos utilizados pelo Hive0156 em suas operações antes de meados de 2025.

Perdas em tempo de guerra

captura de tela da miniatura de uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

A 33ª Mecanizada é uma brigada das forças terrestres da Ucrânia. No final de 2024, a 33ª participou de operações de combate em Kurakhove e, posteriormente, nas linhas de frente de Heorhiivka e Vuhledar. A isca é um documento funcional não autenticado do Excel com várias métricas que geralmente comunicam os níveis de vários recursos.

captura de tela do documento ucraniano usado pelo Hive0156
Figura 1: documento ucraniano usado pelo Hive0156

Verificação de prontidão do batalhão

captura de tela da miniatura de Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx pode se referir a uma ordem de prontidão e possivelmente estar relacionada à 33ª Brigada Mecanizada. O nome do arquivo refere-se à prontidão do primeiro batalhão mecanizado, um batalhão oficial do 33º.

Em junho de 2024, o CERT-UA denunciou que o UAC-0184 entregava arquivos maliciosos com recursos da 3ª Tropa de Assalto Independente da Ucrânia, o que levou a cadeias de ataques semelhantes.

Cálculo da distribuição de pessoal

captura de tela da miniatura de Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Traduzido automaticamente, Rozrahnok_rozpodyl_operatyvnogo_skladu.doc refere-se à distribuição da equipe operacional. Dado os temas consistentes durante a guerra, é provável que se refira ao número de militares.

Possíveis localizações inimigas

captura de tela da miniatura de Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx foi traduzido do russo e é um documento funcional do Excel. O arquivo consiste em coordenadas mapeadas para a Província de Zanjan, no Irã. Após a inspeção das coordenadas, os locais parecem consistir principalmente em terras agrícolas perto de fontes de irrigação, como o rio Tikmeh Dash.

Arquivo Excel com mapeamento de coordenadas para o norte do Irã
Figura 2: arquivo Excel com mapeamento de coordenadas para o norte do Irã
Localização geral das coordenadas no documento de isca
Figura 3: localização geral das coordenadas no documento de isca

Temas de meados de 2025

Em meados de 2025, o X-Force tem observando documentos alvo em língua ucraniana transliterados apresentando temas relacionados a "petições", "cartas de apresentação oficiais" ou "rejeições formais". Isso representa uma mudança em relação à ênfase do grupo em temas militares, visando um público mais amplo. Documentos falsos observados após meados de 2025 geralmente estão corrompidos ou preenchidos com dados inúteis.

Cadeia de ataque

No início de julho de 2025, o grupo continua entregando Remcos como sua carga útil final principal e simplificou sua entrega desde 2024. Campanhas recentes do Hive0156 começam com um arquivo LNK ou PowerShell de primeiro estágio modificado para ataque. Após a execução, o primeiro estágio tenta entrar em contato com a infraestrutura de comando e controle (C2) do agente para recuperar o documento falso e o arquivo zip dos arquivos maliciosos. A comunicação com o servidor C2 é filtrada por região geográfica e por um agente de usuário esperado. Após a recuperação bem-sucedida, o documento falso é apresentado ao usuário, mas muitas vezes está corrompido. Em segundo plano, uma instância do Hijackloader (também conhecido como IDAT Loader) é executado e entrega o Remcos RAT.

Exemplo de uma cadeia de ataque Hive0156
Figura 4: cadeia de ataque do Hive0156

Detalhes do primeiro estágio

Em campanhas recentes, o Hive0156 alterna suas infecções de primeiro estágio entre arquivos maliciosos LNK ou PowerShell. A funcionalidade de ambos os tipos é equivalente. A execução do primeiro estágio é crítica para a distribuição do malware carregador do grupo, que é baixado em um arquivo zip.  Ambos os tipos de primeiro estágio executam uma cadeia de infecção do HijackLoader em segundo plano, enquanto apresentam ao usuário um documento de isca.

Uma diferença fundamental entre campanhas no estilo LNK e no estilo PowerShell é a entrega do documento de isca. Em campanhas baseadas em LNK, duas solicitações C2 separadas são iniciadas para baixar o documento de isca e o arquivo ZIP do HijackLoader. Nas campanhas baseadas no PowerShell, é iniciada uma chamada para baixar o arquivo ZIP do HijackLoader que contém o documento de isca. Essa distinção pode ajudar os defensores da rede a identificar o tipo de infecção de primeiro estágio encontrado.

Detalhes do HijackLoader (também conhecido como IDAT Loader)

A execução do HijackLoader serve como mecanismo de entrega do grupo para Remcos. Também conhecido como IDAT Loader, o HijackLoader faz referência a arquivos de dados co-localizados dentro do zip de primeiro estágio para revelar a carga útil final – Remcos.

O agente da ameaça compacta o HijackLoader dentro de um arquivo ZIP. Os arquivos ZIP do HijackLoader contêm vários componentes, todos necessários para continuar a cadeia de infecção.

exemplo de arquivos ZIP do HijackLoader contendo vários componentes, todos necessários para continuar a cadeia de infecção

Os seguintes componentes normalmente estão presentes em um arquivo ZIP do HijackLoader:

  • Um executável legítimo que geralmente é assinado por um certificado válido. (Neste caso, PortRemo.exe)
  • Arquivos DLL legítimos são necessários para rodar o executável legítimo. (Neste caso, Tools.dll)
  • Um arquivo DLL modificado que contém código para carregar estágios adicionais do HijackLoader. (Neste caso, sqlite3.dll)
  • Um arquivo PNG que contém os módulos criptografados e a carga útil final para o HijackLoader. O arquivo PNG geralmente recebe um nome aleatório. (Neste caso, Churtseechang.vky)
  • Um arquivo contendo shellcode criptografado, cujo nome também é aleatório. (Neste caso, Weertijeegdoob.jm)

Neste exemplo, os arquivos relacionados ao HijackLoader foram compactados em um arquivo ZIP chamado premo.zip.  O executável legítimo PortRemo.exe é executado pelo arquivo LNK inicial, que carregará a DLL sqlite3.dll com patch malicioso.

A imagem a seguir mostra a tabela de importação para o PortRemo.exe.  Em algum momento durante a execução, uma dessas funções será chamada e, por fim, levará ao código malicioso dentro do sqlite3.dll.

captura de tela da tabela de importação para PortRemo.exe

Neste exemplo, sqlite3_result_text16() é a função maliciosa. O HijackLoader utilizará a tabela de exportação para impedir que o IDA analise corretamente o arquivo.

exemplo mostrando sqlite3_result_text16() como a função maliciosa

A DLL corrigida vai ler e descriptografar o shellcode de primeiro estágio do HijackLoader. O shellcode descriptografado irá descriptografar o arquivo PNG que contém os componentes do HijackLoader. O HijackLoader utiliza vários módulos para aprimorar a funcionalidade.

A tabela a seguir lista os módulos conhecidos, bem como suas funcionalidades:

Nome

Funcionalidade

AVDATA

Módulo de lista de bloqueio, que verifica nomes de processos conhecidos por estarem relacionados ao software de segurança.

ESAL

Executa a carga útil final.

ESLDR

Usado para injetar e executar shellcode relacionado ao HijackLoader.

ESWR

Remove o shellcode da memória e executa o módulo " rshell ".

FIXED

Um arquivo executável legítimo usado para injeção de processo.

LaunchLdr

Descriptografa o arquivo PNG do HijackLoader para extrair todos os módulos.

rshell

Configura a carga útil final na memória e a executa.

ti

Realiza injeção de código pós-primeiro estágio.

tinystub

Um arquivo PE vazio usado para patching e injeção.

tinyutilitymodule

Substitui cabeçalhos PE de arquivos especificados com bytes nulos.

Assim que todos os módulos forem concluídos, o HijackLoader injetará sua carga útil final em um processo remoto.

Detalhes do Remcos

A análise do X-Force sobre configuração do Remcos usada pelo Hive0156 indica que poucas funcionalidades estão ativadas. No entanto, isso não indica uma ameaça diminuída. A versão do Remcos do Hive0156 é configurada principalmente para estabelecer comunicação com a infraestrutura C2 do grupo e aguardar periodicamente novos comandos. O grupo parece operar várias campanhas em paralelo e mantém o uso diligente da funcionalidade de ID de campanha da Remcos. Ao longo de 2025, o X-Force observou os IDs de campanha hmu2005, gu2005, ra2005 e ra2005new associados ao grupo.

O Remcos é uma ferramenta de administração remota desenvolvida pela Breaking-Security.  Detalhes sobre suas funcionalidades podem ser encontrados aqui.

Após a execução, o Remcos carregará sua configuração a partir de um blob dentro dos seus recursos. Depois de concluído, o Remcos analisará a configuração, o que determina quais ações serão realizadas durante a execução.

O Remcos aceita os seguintes parâmetros de configuração:

ID de configuração

Função

0x0

Contém endereços de C2.

0x1

Contém um identificador para a campanha.

0x2

Determina a frequência com que os Remcos devem se conectar ao C2.

0x3

Instala o Remcos após a execução.  A instalação inclui movê-lo para um local específico.

0x4

0x5

Habilita persistência usando HKLM e HKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

Tamanho máximo do arquivo para dados do keylogger antes da rotação.

0x8

Habilita persistência usando a chave de registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

0x9

Diretório para colocar o Remcos durante a instalação.

0xA

Nome de arquivo para migrar Remcos durante a instalação.

0xC

Habilita o atributo de arquivo oculto e define os arquivos associados como somente leitura.

0xE

Um nome de mutex.

0xF

Determina se o keylogger está desabilitado, totalmente habilitado ou habilitado apenas para determinadas janelas.

0x10

Usado para determinar onde os keylogs são armazenados.

0x11

Usado para determinar o nome do arquivo dos keylogs.

0x12

Controla a criptografia RC4 para keylogs.

0x13

Controla a ocultação dos arquivos do keylogger.

0x14

Ativa ou desativa a funcionalidade de gravação de tela.

0x15

Intervalo em minutos para capturar cada captura de tela.

0x16

Registra capturas de tela apenas para nomes de janelas específicas, se ativado.

0x17

Nomes de janela para a opção acima.

0x18

Intervalo de tempo associado à captura de tela de janelas específicas.

0x19

Diretório pai para armazenar capturas de tela.

0x23

Ativa ou desativa a gravação de áudio.

0x24

Duração em segundos de cada gravação de áudio.

0x25

Diretório pai para armazenar gravações de áudio.

0x26

Nome da pasta para armazenar gravações de áudio.

0x27

Desativa o UAC no registro, se ativado.

0x28

Modo de registro.  Usado para ativar ou desativar a janela do console.

0x29

Atraso em segundos para a primeira tentativa de conexão C2.

0x2A

Nomes de janelas específicos para a funcionalidade de keylogging.

0x2B

Permite a limpeza do navegador na inicialização. O Remcos é capaz de excluir todos os cookies e logins do Explorer, Chrome e Firefox conforme as instruções de configuração. O objetivo dessa funcionalidade é dificultar o roubo de informações e, provavelmente tem pouca utilidade para um atacante malicioso.

0x2C

Ativa a limpeza do navegador apenas na primeira execução.

0x2D

Tempo de inatividade em minutos antes de limpar os navegadores da web.

0x2E

Ativa ou desativa a funcionalidade de ignorar o UAC.

0x30

Diretório para instalar o Remcos.

0x31

Diretório para armazenar keylogs.

0x32

Ativar o recurso de watchdog. O Remcos irá se inserir em um segundo processo e monitorar seu próprio processo original. A função principal é reiniciar o executável principal caso ele seja encerrado.

0x34

Número de licença da Remcos.

0x35

Ativar a exibição do ponteiro do mouse em cada captura de tela.

0x36

Certificado TLS usado para comunicação C2.

0x37

Chave TLS usada para comunicação C2.

0x38

Certificado público TLS para o C2.

Os sinalizadores de configuração são usados para determinar se o Remcos deve ativar determinadas funcionalidades. Depois que o Remcos analisar a configuração, começará a entrar em contato com os servidores C2. O Remcos pode aceitar comandos adicionais do servidor C2, incluindo os seguintes:

ID do comando

Funcionalidade

0x1

Um comando ping.

0x2

Desativa o envio de pacotes keep-alive.

0x3

Lista as aplicações instaladas.

0x6

Lista os processos em execução.

0x7

Encerra um processo.

0x9

Fecha uma janela.

0xA

Mostra uma janela maximizada.

0xB

Mostra uma janela.

0xC

Encerra um processo através do identificador da janela.

0xD

Executa um comando shell.

0xE

Inicia um shell canalizado.

0xF

Executa um programa.

0x10

Faz upload de capturas de tela para o servidor C2.

0x11

Obtém a localização global do IP do host.

0x12

Obtém informações da funcionalidade keylogger offline.

0x13

Inicia o keylogger no modo online.

0x14

Interrompe o keylogger quando iniciado no modo online.

0x15

Carrega dados de keylogger para o C2.

0x16

Carrega dados de keylogger para o C2.

0x17

Exclui os dados do keylogger.

0x18

Limpa cookies e logins do navegador.

0x1B

Inicia o módulo de gravação da webcam.

0x1C

Interrompe o módulo de gravação da webcam.

0x1D

Ativa o módulo de gravação de microfone.

0x1E

Desativa o módulo de gravação de microfone.

0x1F

Tentativas de roubo de credenciais de vários programas. Utiliza os utilitários de recuperação de senha da Nirsoft: https://www.nirsoft.net/ (O link está localizado fora do site ibm.com).  

0x20

Exclui um arquivo ou pasta.

0x21

Encerra seu próprio processo e o processo de watchdog.

0x22

Desinstala o Remcos do sistema.

0x23

Reinicia o computador.

0x24

Atualiza o Remcos a partir de uma URL fornecida.

0x25

Atualiza Remcos usando o servidor C2.

0x26

Exibe uma caixa de mensagem.

0x27

Faz com que ocorra o desligamento ou a hibernação do sistema.

0x28

Envia dados da área de transferência para o servidor C2.

0x29

Define a área de transferência para dados definidos em C2.

0x2A

Limpa a área de transferência.

0x2B

Carrega e executa uma DLL do C2.

0x2C

Carrega e executa uma DLL a partir de uma URL fornecida.

0x2F

Edita o registro com base nos valores fornecidos pelo C2.

0x30

Aparentemente, permite que o atacante converse com a vítima.

0x31

Define o identificador de nome do Remcos.

0x32

Permite o uso e gerenciamento de proxies.

0x34

Permite que o Remcos gerencie os serviços do sistema.

0x8F

Procura um arquivo no sistema.

0x92

Define o plano de fundo do sistema.

0x94

Define o texto de uma janela e lista os processos ativos com janelas usando EnumWindows().

0x97

Carrega os resultados do comando "dxdiag" para o servidor C2.

0x98

Permite que o Remcos gerencie arquivos por meio de ações como copiar, mover e excluir.

0x99

Faz upload de dados da captura de tela para o C2.

0x9A

Extrai o histórico do navegador web usando executáveis da Nirsoft.

0x9E

Reproduz um arquivo de áudio " alarm.wav ".  Esse arquivo é obtido do servidor C2.

0x9F

Permite reproduzir "alarm.wav" ao desconectar C2.

0xA0

Desativa a reprodução de "alarm.wav" ao desconectar C2.

0xA2

Downloads "alarm.wav" do servidor C2.

0xA3

Reproduz um arquivo de áudio.

0xAB

Eleva um processo.

0xAC

Ativa a janela do console de registro.

0xAD

Mostra a janela do console de registro.

0xAE

Oculta a janela do console de registro.

0xB2

Injeta um executável em um novo processo e o executa.

0xC5

Define um valor de registro.

0xC6

Carrega cookies e senhas de navegadores para o C2.

0xC8

Suspende um processo.

0xC9

Retoma um processo.

0xCA

Lê um arquivo e envia o conteúdo para o servidor C2.

0xCB

Grava o conteúdo fornecido por C2 em um arquivo.

0xCC

Inicia o keylogger no modo offline.

0xCD

Interrompe o keylogger quando iniciado no modo offline.

0xCE

Lista as tabelas TCP e UDP de um processo.

Conforme mostrado acima, o Remcos tem uma ampla variedade de recursos, incluindo administração remota, execução de carga útil, vigilância, persistência e roubo de informações. O Remcos pode ser usado por administradores de sistemas legítimos; no entanto, também é amplamente utilizado por diversos agente de ameaças. As ações tomadas pelo Remcos em um sistema são orientadas principalmente pela comunicação com seu servidor C2. O Remcos inclui um painel GUI para permitir que os invasores gerenciem facilmente várias vítimas em uma única interface. A interface GUI permite criar tarefas automatizadas, bem como interagir manualmente com o implante Remcos em um sistema de vítima.

Infraestrutura e operações

O Hive0156 opera uma rede de servidores C2 em todo o mundo e provavelmente se beneficia da indiferença do provedor de hospedagem russo em relação às operações do grupo. O X-Force descobriu que o grupo emprega geofencing, ao menos para a Ucrânia, e solicita filtragem de cabeçalho como parte de suas operações de preparação. O Hive0156 implementa Remcos com funcionalidades limitadas ativadas, mas atualiza continuamente sua configuração a partir de relatórios C2. Isso pode indicar uma priorização do acesso inativo e a habilitação seletiva da coleta em novas iniciativas. A manutenção da conectividade desobstruída entre as infecções por Remcos e a infraestrutura de C2 do grupo é fundamental para o acesso contínuo às vítimas.

Conclusão:

O Hive0156 continua com operações cibernéticas maliciosas contra a Ucrânia. O X-Force avalia que o grupo continua atacando militares ucranianos, mas está aprimorando seus documentos de isca para temas mais gerais, sugerindo um leque maior de vítimas. Organizações e pessoal que atuam dentro ou têm alguma ligação com as forças armadas ucranianas correm um risco maior de serem alvos do Hive0156.

Recomendações:

O X-Force recomenda as seguintes ações para mitigar a atividade do Hive0156:

  1. Treinamento e consciência do usuário: incentive os usuários a serem cautelosos ao abrir e-mails ou bate-papos de mensagens, especialmente aqueles que contêm anexos, ou ao clicar em links. Instrua-os a verificar a identidade do remetente e a conferir as extensões dos arquivos antes de abrir.
  2. Proteção de endpoint: implemente um software de proteção de endpoint atualizado que possa detectar e bloquear variantes de malware conhecidas, como o Remcos, além de comportamentos suspeitos. Atualize regularmente assinaturas de malware e padrões comportamentais.
  3. Segmentação de rede: segmente sua rede para restringir o movimento lateral no caso de uma violação. Isso limita os danos potenciais de uma infecção bem-sucedida.
  4. Bloqueio geográfico: implemente regras de bloqueio geográfico para evitar conexões com servidores C2 mal-intencionados conhecidos, especialmente aqueles vinculados ao Hive0156.
  5. Monitoramento e análise: monitore e analise regularmente o tráfego de rede em busca de atividades incomuns ou conexões com IPs mal-intencionados conhecidos. Use soluções que fornecem análise comportamental e detecção de anomalias.
  6. Gerenciamento de patches: garanta que todos os sistemas e aplicações estejam atualizados com os patches mais recentes. Muitas explorações usadas por agentes da ameaça aproveitam vulnerabilidades conhecidas que já foram corrigidas.
  7. Plano de resposta a incidentes: desenvolva e atualize regularmente um plano de resposta a incidentes. Isso garante que, se ocorrer uma violação, você poderá responder de forma rápida e eficaz.
  8. Uso de ferramentas de segurança: empregue ferramentas de segurança que possam detectar e bloquear scripts maliciosos do PowerShell e arquivos LNK, pois esses são mecanismos comuns de entrega inicial do Hive0156.

Indicadores de comprometimento

Indicador

Tipo de indicador

Contexto

5.101.83[.]18

Endereço de IP

C2

5.101.83[.]19

Endereço de IP

C2

5.101.82[.]52

Endereço de IP

C2

146.185.239[.]11

Endereço de IP

C2

146.185.239[.]12

Endereço de IP

C2

5.101.80[.]15

Endereço de IP

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

LNK malicioso

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

LNK malicioso

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

LNK malicioso

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

LNK malicioso

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

LNK malicioso

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

LNK malicioso

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

LNK malicioso

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

LNK malicioso

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

LNK malicioso

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

LNK malicioso

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

LNK malicioso

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

LNK malicioso

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

LNK malicioso

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

LNK malicioso

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

LNK malicioso

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

LNK malicioso

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

LNK malicioso

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

LNK malicioso

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

PowerShell malicioso

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

O IBM X-Force Premier Threat Intelligence agora está integrado ao OpenCTI da Filigran, fornecendo inteligência de ameaças praticável sobre essa atividade de ameaças e muito mais. Acesse insights sobre agentes da ameaça, malware e riscos dos setores. Instale o X-Force OpenCTI Connector para aprimorar a detecção e a resposta, fortalecendo sua cibersegurança com a experiência do IBM X-Force. Obtenha hoje mesmo uma avaliação de 30 dias do X-Force Premier Threat Intelligence!
