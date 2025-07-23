标签
安全

Hive0156 继续对乌克兰发起 Remcos 攻击行动

在服务器机房的电脑上工作的两名男士

作者

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

截至 2025 年 7 月初，IBM X-Force 正在监控针对乌克兰受害者的活跃 Hive0156 Remcos 远程访问木马 (RAT) 攻击行动。Hive0156 是一个与俄罗斯结盟的威胁参与者，它试图攻击乌克兰政府或军队内部的个人。该小组的工具、计策和程序 (TTP) 与 CERT-UA 的 UAC-0184 参与者高度重叠。Hive0156 提供武器化的 Microsoft LNK 与 PowerShell 文件，从而导致下载并执行 Remcos RAT。X-Force 观察到某些关键诱饵文档，而其功能表明这些文档重点关注乌克兰军队，且正在转向更广泛的受众。

主要发现：

  • Hive0156 继续在乌克兰全境投放 Remcos RAT
  • 诱饵文档主题与乌克兰军事人员高度相关
  • 进入乌克兰的基础设施仍是亲俄罗斯的参与者的一大优先事项

分析

Hive0156 是一个亲俄罗斯的威胁参与者，它主要使用恶意软件和诱饵文档在乌克兰策划恶意网络行动。Hive0156 在整个 2024 年都时有报道，它通过发送恶意 LNK 文件或 PowerShell 脚本并以乌克兰军事信号聊天和人员为目标，从而导致 Remcos 感染。该组织使用诱饵文档主题，而这些主题与关注乌克兰军队行动态势的人员高度相关。

2025 年中期之前的主题

到 2025 年中期，Hive0156 广泛使用相关的军事主题制作诱饵文档，表明其优先目标为乌克兰军方成员。这些行动中的诱饵文档往往是损坏的数据文件或垃圾数据文件，但其中揭示了该组织挑选的主题，以吸引受害者参与。文件名通常采用俄语或乌克兰语的音译形式。下文重点介绍 Hive0156 在 2025 年中期之前的运营中所使用的文档。

战时损失

uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx 缩略图的屏幕截图 uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

第 33 机械化旅是乌克兰地面部队的一个旅。2024 年底，第 33 旅参加了在 Kurakhove 以及随后在 Heorhiivka 和 Vuhledar 前线的战斗活动。此诱饵是一份未经认证的功能性 Excel 文档，且通常包含各种指标以用于传达不同资源的水平。

Hive0156 所用乌克兰语文档的屏幕截图
图 1：Hive0156 所用乌克兰语文档

营级战备检查

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx 缩略图的屏幕截图

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx 可能是指战备命令，且可能与第 33 机械化旅有关。该文件名是指第一机械化营的战备情况，而它是第 33 旅的一个正式营。

2024 年 6 月，CERT-UA 报告 UAC-0184 传送的恶意文件重点关注乌克兰第 3 独立攻击旅，而这导致了类似的攻击链。

Think 时事通讯

您的团队能否及时捕获下一个零日？

加入安全领导者的行列，订阅 Think 时事通讯，获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器，我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息，请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy

人员分布计算

Rozrahunok_rozpodyl_operatyvnogo_skladu.doc 缩略图的屏幕截图

机器翻译的 Rozpodyl_operatyvnogo_skladu.doc 是指行动人员的分布情况。鉴于始终如一的战时主题，它很可能是指部队数量。

可能的敌方位置

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx 缩略图的屏幕截图

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx 翻译自俄语，它是一个功能性 Excel 文档。该文件包含映射到伊朗 Zanjan Providence 的坐标。检查坐标后发现，这些地点似乎主要是蒂克美达什河等灌溉源附近的农田。

包含映射到伊朗北部的坐标的 Excel 文件
图 2：包含映射到伊朗北部坐标的 Excel 文件
诱饵文档中坐标的大致位置
图 3：诱饵文档中坐标的大致位置

2025 年中期主题

截至 2025 年中期，X-Force 观察到某些音译的乌克兰语诱饵文档，其内容涉及“请愿书”、“官方求职信”或“正式拒绝”等主题。这与该组织向更广泛的受众所强调的军事主题相背离。2025 年中期之后观察到的诱饵文档通常已损坏或满是垃圾数据。

攻击链

截至 2025 年 7 月初，该组织继续以 Remcos 作为其主要最终有效负载进行投放，并自 2024 年以来简化了其投放流程。最近的 Hive0156 攻击行动都是从武器化的第一阶段 LNK 或 PowerShell 文件开始的。执行时，第一阶段会尝试联系参与者的指挥控制 (C2) 基础设施，以检索诱饵文档和恶意文件的 zip 压缩包。与 C2 服务器的通信会按地理区域和预期的用户代理进行过滤。成功检索后，诱饵文档将提供给用户，但通常已损坏。在后台，HijackLoader（又名 IDAT Loader）的实例会执行并投放 Remcos RAT。

Hive0156 攻击链示例
图 4：Hive0156 攻击链

第一阶段详情

在最近的行动中，Hive0156 会在恶意 LNK 或 PowerShell 文件之间交替进行第一阶段感染。这两种类型的功能相同。第一阶段执行对于该组织投放其加载程序恶意软件至关重要，而该恶意软件会以 zip 压缩包的形式进行下载。这两种第一阶段类型均会在后台执行 HijackLoader 感染链，同时向用户提供诱饵文档。

LNK 与 PowerShell 式行动的一个关键区别在于诱饵文档的投放。在基于 LNK 的行动中，系统会发起两个独立的 C2 请求，以下载诱饵文档和 HijackLoader ZIP 存档。在基于 PowerShell 的行动中，会启动一次旨在下载 HijackLoader ZIP 文件的调用，且其中包含诱饵文档。此区别可能有助于网络防御者识别遇到的第一阶段感染类型。

HijackLoader（又名 IDAT Loader）详情

HijackLoader 执行将作为该组织的 Remcos 投放机制。HijackLoader 也称为 IDAT Loader，它会引用第一阶段 zip 中同一位置的数据文件来破解最终的有效负载 – Remcos。

威胁参与者将 HijackLoader 打包在 ZIP 文件中。HijackLoader ZIP 文件包含多个组件，而所有组件均须存在才能延续感染链。

HijackLoader ZIP 文件包含多个组件，而所有组件均须存在才能延续感染链

HijackLoader ZIP 文件中通常包含以下组件：

  • 一个合法的可执行文件，而它通常由有效证书签名。（在本例中为 PortRemo.exe
  • 运行此合法的可执行文件需要合法的 DLL 文件。（在本例中为 Tools.dll
  • 一个经过修补的 DLL 文件，其中包含用于加载 HijackLoader 后续阶段的代码。（在本例中为 sqlite3.dll
  • 包含面向 HijackLoader 的加密模块和最终有效负载的 PNG 文件。此 PNG 文件通常是随机命名的。（在本例中为 Churtseechang.vky
  • 一个包含加密 shellcode 的文件，而它也是随机命名的。（在本例中为 Weertijeegdoob.jm

在本示例中，与 HijackLoader 相关的文件会打包在名为 premo.zip 的 ZIP 文件中。合法的可执行文件 PortRemo.exe 由初始 LNP 文件执行，从而会加载已修补的恶意 DLL sqlite3.dll

下图显示了 PortRemo.exe 的导入表。执行过程中的某个时刻，这些函数之一将被调用，并最终导致执行 sqlite3.dll 中的恶意代码。

PortRemo.exe 导入表的屏幕截图

在本例中，sqlite3_result_text16() 为恶意函数。HijackLoader 将利用导出表来阻止 IDA 正常分析此文件。

显示 sqlite3_result_text16() 属于恶意函数的示例

修补过的 DLL 将读取并解密 HijackLoader 的第一阶段 shellcode。解密后的 shellcode 将解密包含 HijackLoader 组件的 PNG 文件。HijackLoader 利用各种模块来增强功能。

下表列出了已知模块及其功能：

姓名名称

功能

AVDATA

阻止列表模块，可用于检查是否存在已知与安全软件相关的进程名称。

ESAL

执行最终的有效负载。

ESLDR

用于注入和执行与 HijackLoader 相关的 shellcode。

ESWR

从内存中删除 shellcode 并执行“rshell”模块。

FIXED

用于进程注入的合法可执行文件。

LaunchLdr

解密 HijackLoader PNG 文件以提取所有模块。

rshell

在内存中设置并执行最终有效负载。

ti

执行第一阶段后代码注入。

tinystub

用于修补和注入的空 PE 文件。

tinyutilitymodule

用空字节覆盖指定文件的 PE 标头。

所有模块完成后，HijackLoader 会将其最终有效负载注入远程进程。

Remcos 详情

X-Force 对 Hive0156 的 Remcos 配置的分析似乎对已启用的功能提及不多。然而，这并不意味着威胁有所减弱。Hive0156 版本的 Remcos 主要用于与该组织的 C2 基础设施建立通信，并定期等待新命令。该组织似乎同时在运营多个行动，并大量使用 Remcos 的行动 ID 功能。整个 2025 年，X-Force 观察到多个与该组织相关的 hmu2005gu2005ra2005ra2005new 行动 ID。

Remcos 是由 Breaking-Security 开发的远程管理工具。有关其功能的详细信息可见此处

执行时，Remcos 将从其资源内的 blob 加载配置。完成后，Remcos 将解析其配置，从而决定在执行期间完成哪些操作。

Remcos 接受以下配置参数：

配置 ID

功能

0x0

包含 C2 地址。

0x1

包含行动标识符。

0x2

确定 Remcos 应连接到 C2 的频率。

0x3

执行后立即安装 Remcos。安装过程包括将其移至指定位置。

0x4

0x5

使用 HKLM 和 HKCU Software\Microsoft\Windows\CurrentVersion\Run 实现暂留

0x7

轮换之前键盘记录器数据的最大文件大小。

0x8

使用 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 注册表项启用暂留。

0x9

安装期间用于放置 Remcos 的目录。

0xA

安装期间用于将 Remcos 移动到的文件名。

0xC

启用隐藏文件属性并将关联文件设为只读。

0xE

互斥锁名称。

0xF

确定是禁用、完全启用键盘记录器，还是仅为某些窗口启用。

0x10

用于确定键盘记录的存储位置。

0x11

用于确定键盘记录的文件名。

0x12

控制键盘记录的 RC4 加密。

0x13

控制键盘记录器文件的隐藏。

0x14

启用或禁用屏幕录制功能。

0x15

捕获每个屏幕截图的时间间隔（以分钟为单位）。

0x16

仅记录特定窗口名称的屏幕截图（若已启用）。

0x17

上述选项的窗口名称。

0x18

与截取特定窗口屏幕截图相关的时间间隔。

0x19

用于存储屏幕截图的父目录。

0x23

启用或禁用录音功能。

0x24

每次录音的持续时间（以秒为单位）。

0x25

用于存储录音的父目录。

0x26

用于存储录音的文件夹名称。

0x27

在注册表中禁用 UAC（若已启用）。

0x28

日志记录模式。用于启用或禁用控制台窗口。

0x29

首次尝试连接 C2 的延迟时间（以秒为单位）。

0x2A

键盘记录功能的特定窗口名称。

0x2B

在启动时启用 Web 浏览器清理功能。Remcos 能根据配置指令删除资源管理器、Chrome 和 Firefox 上的所有 Cookie 和登录信息。此功能的目的是阻止信息窃取者，但可能对恶意攻击者用处不大。

0x2C

仅在首次运行时启用 Web 浏览器清理。

0x2D

清理 Web 浏览器之前的睡眠时间（以分钟为单位）。

0x2E

启用或禁用 UAC 绕过功能。

0x30

用于安装 Remcos 的目录。

0x31

用于存储键盘记录的目录。

0x32

启用监视器功能。Remcos 会将自身注入到第二个进程中，并监控自己的原始进程。其主要功能是在主可执行文件终止时将其重启。

0x34

Remcos 许可证编号。

0x35

允许在抓取的每个屏幕截图上显示鼠标指针。

0x36

用于 C2 通信的 TLS 证书。

0x37

用于 C2 通信的 TLS 密钥。

0x38

C2 的 TLS 公共证书。

配置标志可用于确定 Remcos 是否应启用某些功能。一旦 Remcos 解析其配置，它就会开始联系 C2 服务器。Remcos 可能会接受来自其 C2 服务器的其他命令，其中包括：

命令 ID

功能

0x1

Ping 命令。

0x2

禁用发送保活数据包。

0x3

列出已安装的应用程序。

0x6

列出正在运行的进程。

0x7

终止进程。

0x9

关闭窗口。

0xA

显示最大化的窗口。

0xB

显示窗口。

0xC

按窗口句柄终止进程。

0xD

执行 shell 命令。

0xE

启动管道化 shell。

0xF

执行程序。

0x10

将屏幕截图上传到 C2 服务器。

0x11

获取主机的全局 IP 位置。

0x12

从离线键盘记录器功能中获取信息。

0x13

以在线模式启动键盘记录器。

0x14

以在线模式启动键盘记录器时，停止该记录器。

0x15

将键盘记录器数据上传到 C2。

0x16

将键盘记录器数据上传到 C2。

0x17

删除键盘记录器数据。

0x18

清除浏览器 Cookie 和登录信息。

0x1B

启动网络摄像头录制模块。

0x1C

停止网络摄像头录制模块。

0x1D

启用麦克风录音模块。

0x1E

禁用麦克风录音模块。

0x1F

从各种程序中窃取凭据的尝试。使用 Nirsoft 密码恢复实用工具：https://www.nirsoft.net/（ibm.com 外部链接）。

0x20

删除文件或文件夹。

0x21

终止自己的进程和监视器进程。

0x22

从系统中卸载 Remcos。

0x23

重新启动计算机。

0x24

从提供的 URL 更新 Remcos。

0x25

使用 C2 服务器更新 Remcos。

0x26

显示消息框。

0x27

导致系统关闭或休眠。

0x28

将剪贴板数据上传到 C2 服务器。

0x29

将剪贴板设为 C2 定义的数据。

0x2A

清除剪贴板。

0x2B

从 C2 加载并执行 DLL。

0x2C

从提供的 URL 加载并执行 DLL。

0x2F

根据 C2 提供的值编辑注册表。

0x30

似乎允许袭击者与受害者聊天。

0x31

设置 Remcos 名称标识符。

0x32

允许使用并管理代理服务器。

0x34

允许 Remcos 管理系统服务。

0x8F

在系统中搜索文件。

0x92

设置系统壁纸。

0x94

设置窗口的文本，并使用 EnumWindows() 列出具有窗口的活动进程。

0x97

将“dxdiag”命令的结果上传到 C2 服务器。

0x98

允许 Remcos 通过复制、移动和删除等操作来管理文件。

0x99

将屏幕截图数据上传到 C2。

0x9A

使用 Nirsoft 可执行文件转储 Web 浏览器历史记录。

0x9E

播放音频文件“alarm.wav”。该文件从 C2 服务器获取。

0x9F

在 C2 断开连接时启用播放“alarm.wav”

0xA0

在 C2 断开连接时禁用播放“alarm.wav”

0xA2

从 C2 服务器下载“alarm.wav”

0xA3

播放音频文件。

0xAB

提升进程权限。

0xAC

启用日志记录控制台窗口。

0xAD

显示日志记录控制台窗口。

0xAE

隐藏日志记录控制台窗口。

0xB2

将可执行文件注入新进程并执行它。

0xC5

设置注册表值。

0xC6

将浏览器 Cookie 和密码上传到 C2。

0xC8

暂停进程。

0xC9

恢复进程。

0xCA

读取文件并将其内容发送到 C2 服务器。

0xCB

将 C2 提供的内容写入文件。

0xCC

以离线模式启动键盘记录器。

0xCD

以离线模式启动键盘记录器时，停止该记录器。

0xCE

列出进程的 TCP 与 UDP 表。

如上所示，Remcos 具有多种功能，包括远程管理、执行有效负载、监视、暂留和信息窃取。Remcos 可由合法系统管理员使用；然而，它也被各种恶意威胁参与者频繁使用。Remcos 对系统执行的操作主要是通过与 C2 服务器的通信来驱动的。Remcos 包含一个 GUI 面板，以允许攻击者在单个界面上轻松管理多个受害者。GUI 界面允许创建自动化任务，以及与受害者系统上的 Remcos 植入程序手动交互。

基础设施和运营

Hive0156 在全球运营着一个由 C2 服务器组成的网络，而这很可能得益于俄罗斯托管服务提供商对该组织运营的漠不关心。X-Force 发现该组织至少在乌克兰使用了地理围栏，并请求将标头过滤作为其临时运营的一部分。Hive0156 部署了功能有限的 Remcos，但会持续从 C2 更新其配置。这可能表示它会优先考虑休眠访问，并根据新发起的操作选择性地启用收集。维持 Remcos 感染组织与该组织的 C2 基础设施之间的畅通无阻连接，对于持续触及受害者至关重要。

结论：

Hive0156 继续对乌克兰进行恶意网络行动。X-Force 评估认为，该组织会继续针对乌克兰军事人员，但正在将其诱饵文档演变为更宽泛的主题，从而表明受害者群体已扩大。乌克兰军队内部或与之有关联的组织和人员更有可能成为 Hive0156 受害者。

建议：

X-Force 建议采取以下措施来缓解 Hive0156 活动：

  1. 用户培训和意识：鼓励用户在打开电子邮件或 Messenger 聊天（尤其是包含附件的电子邮件或 Messenger 聊天），或是点击链接时要谨慎。指示他们在打开任何文件之前先验证发件人的身份并检查文件扩展名。
  2. 端点保护：部署更新版端点保护软件，而该软件可检测并阻止已知的恶意软件病毒（如 Remcos）以及可疑行为。定期更新恶意软件特征码和行为模式。
  3. 网络分段：对网络进行分段，以限制在发生泄露时出现的水平运动。此举可限制感染成功可能造成的损害。
  4. 地理屏蔽：实施地理屏蔽规则，以防止连接到已知的恶意 C2 服务器，尤其是链接到 Hive0156 的服务器。
  5. 监控和分析：定期监控和分析网络流量，以发现所有异常活动或与已知恶意 IP 的连接。使用能提供行为分析和异常检测的解决方案。
  6. 补丁管理：确保所有系统和应用程序都安装了最新补丁。威胁参与者使用的很多攻击都利用了已知的已修补漏洞。
  7. 事件响应计划：制定并定期更新事件响应计划。此举可确保在发生违规行为时，您能快速有效地做出响应。
  8. 使用安全工具：使用能检测和阻止恶意 PowerShell 脚本和 LNA 文件的安全工具，因为它们是 Hive0156 的常见初始投放机制。

入侵指标

指示符

指标类型

情境化

5.101.83[.]18

IP 地址

C2

5.101.83[.]19

IP 地址

C2

5.101.82[.]52

IP 地址

C2

146.185.239[.]11

IP 地址

C2

146.185.239[.]12

IP 地址

C2

5.101.80[.]15

IP 地址

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

恶意 LNK

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

恶意 LNK

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

恶意 LNK

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

恶意 LNK

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

恶意 LNK

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

恶意 LNK

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

恶意 LNK

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

恶意 LNK

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

恶意 LNK

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

恶意 LNK

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

恶意 LNK

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

恶意 LNK

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

恶意 LNK

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

恶意 LNK

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

恶意 LNK

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

恶意 LNK

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

恶意 LNK

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

恶意 LNK

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

恶意 PowerShell

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

HijackLoader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

HijackLoader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

HijackLoader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

HijackLoader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

HijackLoader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

HijackLoader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

IBM X-Force Premier Threat Intelligence 现已与 Filigran 的 OpenCTI 集成，从而可提供有关该威胁活动等内容的可操作威胁情报。获取有关威胁参与者、恶意软件和行业风险的洞察分析。安装 X-Force OpenCTI 连接器以增强检测和响应，以便利用 IBM X-Force 的专业知识来增强您的网络安全。立即获取 30 天 X-Force Premier Threat Intelligence 试用！