截至 2025 年 7 月初，IBM X-Force 正在监控针对乌克兰受害者的活跃 Hive0156 Remcos 远程访问木马 (RAT) 攻击行动。Hive0156 是一个与俄罗斯结盟的威胁参与者，它试图攻击乌克兰政府或军队内部的个人。该小组的工具、计策和程序 (TTP) 与 CERT-UA 的 UAC-0184 参与者高度重叠。Hive0156 提供武器化的 Microsoft LNK 与 PowerShell 文件，从而导致下载并执行 Remcos RAT。X-Force 观察到某些关键诱饵文档，而其功能表明这些文档重点关注乌克兰军队，且正在转向更广泛的受众。
Hive0156 是一个亲俄罗斯的威胁参与者，它主要使用恶意软件和诱饵文档在乌克兰策划恶意网络行动。Hive0156 在整个 2024 年都时有报道，它通过发送恶意 LNK 文件或 PowerShell 脚本并以乌克兰军事信号聊天和人员为目标，从而导致 Remcos 感染。该组织使用诱饵文档主题，而这些主题与关注乌克兰军队行动态势的人员高度相关。
到 2025 年中期，Hive0156 广泛使用相关的军事主题制作诱饵文档，表明其优先目标为乌克兰军方成员。这些行动中的诱饵文档往往是损坏的数据文件或垃圾数据文件，但其中揭示了该组织挑选的主题，以吸引受害者参与。文件名通常采用俄语或乌克兰语的音译形式。下文重点介绍 Hive0156 在 2025 年中期之前的运营中所使用的文档。
第 33 机械化旅是乌克兰地面部队的一个旅。2024 年底，第 33 旅参加了在 Kurakhove 以及随后在 Heorhiivka 和 Vuhledar 前线的战斗活动。此诱饵是一份未经认证的功能性 Excel 文档，且通常包含各种指标以用于传达不同资源的水平。
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx 可能是指战备命令，且可能与第 33 机械化旅有关。该文件名是指第一机械化营的战备情况，而它是第 33 旅的一个正式营。
2024 年 6 月，CERT-UA 报告 UAC-0184 传送的恶意文件重点关注乌克兰第 3 独立攻击旅，而这导致了类似的攻击链。
机器翻译的 Rozpodyl_operatyvnogo_skladu.doc 是指行动人员的分布情况。鉴于始终如一的战时主题，它很可能是指部队数量。
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx 翻译自俄语，它是一个功能性 Excel 文档。该文件包含映射到伊朗 Zanjan Providence 的坐标。检查坐标后发现，这些地点似乎主要是蒂克美达什河等灌溉源附近的农田。
截至 2025 年中期，X-Force 观察到某些音译的乌克兰语诱饵文档，其内容涉及“请愿书”、“官方求职信”或“正式拒绝”等主题。这与该组织向更广泛的受众所强调的军事主题相背离。2025 年中期之后观察到的诱饵文档通常已损坏或满是垃圾数据。
截至 2025 年 7 月初，该组织继续以 Remcos 作为其主要最终有效负载进行投放，并自 2024 年以来简化了其投放流程。最近的 Hive0156 攻击行动都是从武器化的第一阶段 LNK 或 PowerShell 文件开始的。执行时，第一阶段会尝试联系参与者的指挥控制 (C2) 基础设施，以检索诱饵文档和恶意文件的 zip 压缩包。与 C2 服务器的通信会按地理区域和预期的用户代理进行过滤。成功检索后，诱饵文档将提供给用户，但通常已损坏。在后台，HijackLoader（又名 IDAT Loader）的实例会执行并投放 Remcos RAT。
在最近的行动中，Hive0156 会在恶意 LNK 或 PowerShell 文件之间交替进行第一阶段感染。这两种类型的功能相同。第一阶段执行对于该组织投放其加载程序恶意软件至关重要，而该恶意软件会以 zip 压缩包的形式进行下载。这两种第一阶段类型均会在后台执行 HijackLoader 感染链，同时向用户提供诱饵文档。
LNK 与 PowerShell 式行动的一个关键区别在于诱饵文档的投放。在基于 LNK 的行动中，系统会发起两个独立的 C2 请求，以下载诱饵文档和 HijackLoader ZIP 存档。在基于 PowerShell 的行动中，会启动一次旨在下载 HijackLoader ZIP 文件的调用，且其中包含诱饵文档。此区别可能有助于网络防御者识别遇到的第一阶段感染类型。
HijackLoader 执行将作为该组织的 Remcos 投放机制。HijackLoader 也称为 IDAT Loader，它会引用第一阶段 zip 中同一位置的数据文件来破解最终的有效负载 – Remcos。
威胁参与者将 HijackLoader 打包在 ZIP 文件中。HijackLoader ZIP 文件包含多个组件，而所有组件均须存在才能延续感染链。
HijackLoader ZIP 文件中通常包含以下组件：
在本示例中，与 HijackLoader 相关的文件会打包在名为 premo.zip 的 ZIP 文件中。合法的可执行文件 PortRemo.exe 由初始 LNP 文件执行，从而会加载已修补的恶意 DLL sqlite3.dll。
下图显示了 PortRemo.exe 的导入表。执行过程中的某个时刻，这些函数之一将被调用，并最终导致执行 sqlite3.dll 中的恶意代码。
在本例中，sqlite3_result_text16() 为恶意函数。HijackLoader 将利用导出表来阻止 IDA 正常分析此文件。
修补过的 DLL 将读取并解密 HijackLoader 的第一阶段 shellcode。解密后的 shellcode 将解密包含 HijackLoader 组件的 PNG 文件。HijackLoader 利用各种模块来增强功能。
下表列出了已知模块及其功能：
姓名名称
功能
AVDATA
阻止列表模块，可用于检查是否存在已知与安全软件相关的进程名称。
ESAL
执行最终的有效负载。
ESLDR
用于注入和执行与 HijackLoader 相关的 shellcode。
ESWR
从内存中删除 shellcode 并执行“rshell”模块。
FIXED
用于进程注入的合法可执行文件。
LaunchLdr
解密 HijackLoader PNG 文件以提取所有模块。
rshell
在内存中设置并执行最终有效负载。
ti
执行第一阶段后代码注入。
tinystub
用于修补和注入的空 PE 文件。
tinyutilitymodule
用空字节覆盖指定文件的 PE 标头。
所有模块完成后，HijackLoader 会将其最终有效负载注入远程进程。
X-Force 对 Hive0156 的 Remcos 配置的分析似乎对已启用的功能提及不多。然而，这并不意味着威胁有所减弱。Hive0156 版本的 Remcos 主要用于与该组织的 C2 基础设施建立通信，并定期等待新命令。该组织似乎同时在运营多个行动，并大量使用 Remcos 的行动 ID 功能。整个 2025 年，X-Force 观察到多个与该组织相关的 hmu2005、gu2005、ra2005 和 ra2005new 行动 ID。
Remcos 是由 Breaking-Security 开发的远程管理工具。有关其功能的详细信息可见此处。
执行时，Remcos 将从其资源内的 blob 加载配置。完成后，Remcos 将解析其配置，从而决定在执行期间完成哪些操作。
Remcos 接受以下配置参数：
配置 ID
功能
0x0
包含 C2 地址。
0x1
包含行动标识符。
0x2
确定 Remcos 应连接到 C2 的频率。
0x3
执行后立即安装 Remcos。安装过程包括将其移至指定位置。
0x4
0x5
使用 HKLM 和 HKCU Software\Microsoft\Windows\CurrentVersion\Run 实现暂留
0x7
轮换之前键盘记录器数据的最大文件大小。
0x8
使用 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 注册表项启用暂留。
0x9
安装期间用于放置 Remcos 的目录。
0xA
安装期间用于将 Remcos 移动到的文件名。
0xC
启用隐藏文件属性并将关联文件设为只读。
0xE
互斥锁名称。
0xF
确定是禁用、完全启用键盘记录器，还是仅为某些窗口启用。
0x10
用于确定键盘记录的存储位置。
0x11
用于确定键盘记录的文件名。
0x12
控制键盘记录的 RC4 加密。
0x13
控制键盘记录器文件的隐藏。
0x14
启用或禁用屏幕录制功能。
0x15
捕获每个屏幕截图的时间间隔（以分钟为单位）。
0x16
仅记录特定窗口名称的屏幕截图（若已启用）。
0x17
上述选项的窗口名称。
0x18
与截取特定窗口屏幕截图相关的时间间隔。
0x19
用于存储屏幕截图的父目录。
0x23
启用或禁用录音功能。
0x24
每次录音的持续时间（以秒为单位）。
0x25
用于存储录音的父目录。
0x26
用于存储录音的文件夹名称。
0x27
在注册表中禁用 UAC（若已启用）。
0x28
日志记录模式。用于启用或禁用控制台窗口。
0x29
首次尝试连接 C2 的延迟时间（以秒为单位）。
0x2A
键盘记录功能的特定窗口名称。
0x2B
在启动时启用 Web 浏览器清理功能。Remcos 能根据配置指令删除资源管理器、Chrome 和 Firefox 上的所有 Cookie 和登录信息。此功能的目的是阻止信息窃取者，但可能对恶意攻击者用处不大。
0x2C
仅在首次运行时启用 Web 浏览器清理。
0x2D
清理 Web 浏览器之前的睡眠时间（以分钟为单位）。
0x2E
启用或禁用 UAC 绕过功能。
0x30
用于安装 Remcos 的目录。
0x31
用于存储键盘记录的目录。
0x32
启用监视器功能。Remcos 会将自身注入到第二个进程中，并监控自己的原始进程。其主要功能是在主可执行文件终止时将其重启。
0x34
Remcos 许可证编号。
0x35
允许在抓取的每个屏幕截图上显示鼠标指针。
0x36
用于 C2 通信的 TLS 证书。
0x37
用于 C2 通信的 TLS 密钥。
0x38
C2 的 TLS 公共证书。
配置标志可用于确定 Remcos 是否应启用某些功能。一旦 Remcos 解析其配置，它就会开始联系 C2 服务器。Remcos 可能会接受来自其 C2 服务器的其他命令，其中包括：
命令 ID
功能
0x1
Ping 命令。
0x2
禁用发送保活数据包。
0x3
列出已安装的应用程序。
0x6
列出正在运行的进程。
0x7
终止进程。
0x9
关闭窗口。
0xA
显示最大化的窗口。
0xB
显示窗口。
0xC
按窗口句柄终止进程。
0xD
执行 shell 命令。
0xE
启动管道化 shell。
0xF
执行程序。
0x10
将屏幕截图上传到 C2 服务器。
0x11
获取主机的全局 IP 位置。
0x12
从离线键盘记录器功能中获取信息。
0x13
以在线模式启动键盘记录器。
0x14
以在线模式启动键盘记录器时，停止该记录器。
0x15
将键盘记录器数据上传到 C2。
0x16
将键盘记录器数据上传到 C2。
0x17
删除键盘记录器数据。
0x18
清除浏览器 Cookie 和登录信息。
0x1B
启动网络摄像头录制模块。
0x1C
停止网络摄像头录制模块。
0x1D
启用麦克风录音模块。
0x1E
禁用麦克风录音模块。
0x1F
从各种程序中窃取凭据的尝试。使用 Nirsoft 密码恢复实用工具：https://www.nirsoft.net/（ibm.com 外部链接）。
0x20
删除文件或文件夹。
0x21
终止自己的进程和监视器进程。
0x22
从系统中卸载 Remcos。
0x23
重新启动计算机。
0x24
从提供的 URL 更新 Remcos。
0x25
使用 C2 服务器更新 Remcos。
0x26
显示消息框。
0x27
导致系统关闭或休眠。
0x28
将剪贴板数据上传到 C2 服务器。
0x29
将剪贴板设为 C2 定义的数据。
0x2A
清除剪贴板。
0x2B
从 C2 加载并执行 DLL。
0x2C
从提供的 URL 加载并执行 DLL。
0x2F
根据 C2 提供的值编辑注册表。
0x30
似乎允许袭击者与受害者聊天。
0x31
设置 Remcos 名称标识符。
0x32
允许使用并管理代理服务器。
0x34
允许 Remcos 管理系统服务。
0x8F
在系统中搜索文件。
0x92
设置系统壁纸。
0x94
设置窗口的文本，并使用 EnumWindows() 列出具有窗口的活动进程。
0x97
将“dxdiag”命令的结果上传到 C2 服务器。
0x98
允许 Remcos 通过复制、移动和删除等操作来管理文件。
0x99
将屏幕截图数据上传到 C2。
0x9A
使用 Nirsoft 可执行文件转储 Web 浏览器历史记录。
0x9E
播放音频文件“alarm.wav”。该文件从 C2 服务器获取。
0x9F
在 C2 断开连接时启用播放“alarm.wav”。
0xA0
在 C2 断开连接时禁用播放“alarm.wav”。
0xA2
从 C2 服务器下载“alarm.wav”。
0xA3
播放音频文件。
0xAB
提升进程权限。
0xAC
启用日志记录控制台窗口。
0xAD
显示日志记录控制台窗口。
0xAE
隐藏日志记录控制台窗口。
0xB2
将可执行文件注入新进程并执行它。
0xC5
设置注册表值。
0xC6
将浏览器 Cookie 和密码上传到 C2。
0xC8
暂停进程。
0xC9
恢复进程。
0xCA
读取文件并将其内容发送到 C2 服务器。
0xCB
将 C2 提供的内容写入文件。
0xCC
以离线模式启动键盘记录器。
0xCD
以离线模式启动键盘记录器时，停止该记录器。
0xCE
列出进程的 TCP 与 UDP 表。
如上所示，Remcos 具有多种功能，包括远程管理、执行有效负载、监视、暂留和信息窃取。Remcos 可由合法系统管理员使用；然而，它也被各种恶意威胁参与者频繁使用。Remcos 对系统执行的操作主要是通过与 C2 服务器的通信来驱动的。Remcos 包含一个 GUI 面板，以允许攻击者在单个界面上轻松管理多个受害者。GUI 界面允许创建自动化任务，以及与受害者系统上的 Remcos 植入程序手动交互。
Hive0156 在全球运营着一个由 C2 服务器组成的网络，而这很可能得益于俄罗斯托管服务提供商对该组织运营的漠不关心。X-Force 发现该组织至少在乌克兰使用了地理围栏，并请求将标头过滤作为其临时运营的一部分。Hive0156 部署了功能有限的 Remcos，但会持续从 C2 更新其配置。这可能表示它会优先考虑休眠访问，并根据新发起的操作选择性地启用收集。维持 Remcos 感染组织与该组织的 C2 基础设施之间的畅通无阻连接，对于持续触及受害者至关重要。
Hive0156 继续对乌克兰进行恶意网络行动。X-Force 评估认为，该组织会继续针对乌克兰军事人员，但正在将其诱饵文档演变为更宽泛的主题，从而表明受害者群体已扩大。乌克兰军队内部或与之有关联的组织和人员更有可能成为 Hive0156 受害者。
X-Force 建议采取以下措施来缓解 Hive0156 活动：
指示符
指标类型
情境化
5.101.83[.]18
IP 地址
C2
5.101.83[.]19
IP 地址
C2
5.101.82[.]52
IP 地址
C2
146.185.239[.]11
IP 地址
C2
146.185.239[.]12
IP 地址
C2
5.101.80[.]15
IP 地址
C2
6637405265adc8b
SHA256
恶意 LNK
46d633c2937eeca2
SHA256
恶意 LNK
14515e5498d3d3219e
SHA256
恶意 LNK
37d2f3d3af2d564d6f9
SHA256
恶意 LNK
842d1e27d919a0ef568
SHA256
恶意 LNK
ccf6d3eaea549b8f1f02
SHA256
恶意 LNK
63e9fa71789996cf52b
SHA256
恶意 LNK
1f157d473ccfe51a22a0
SHA256
恶意 LNK
002e2e591f324ebdfa2
SHA256
恶意 LNK
c38beb137b130c00b6
SHA256
恶意 LNK
6cd56f7f1f8c7c422c672
SHA256
恶意 LNK
44448993bbe5931c62
SHA256
恶意 LNK
d9d26d19da539b0adc
SHA256
恶意 LNK
7efbfd633d469405c66
SHA256
恶意 LNK
9b662720f48749f5b29d
SHA256
恶意 LNK
8556f07ceb37e726a66c
SHA256
恶意 LNK
9d95228173bf5f29bc3d2
SHA256
恶意 LNK
6c5a89c3dd7b596fd1be
SHA256
恶意 LNK
2387e5e7f1eebfa1c27f95
SHA256
恶意 PowerShell
2d69f5ac19a8f9d4989216
SHA256
HijackLoader
e476331dee7ed59dca01
SHA256
HijackLoader
fab5189c5025d7550dab
SHA256
HijackLoader
f3b4d31644fb8607937a
SHA256
HijackLoader
a720d05cb33492b7526
SHA256
HijackLoader
40325649ca85b3022d
SHA256
HijackLoader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
