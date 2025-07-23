Stand Anfang Juli 2025 überwacht IBM X-Force® aktive Hive0156 Remcos Remote-Zugriff-Trojan (RAT)-Kampagnen, die Opfer in der Ukraine anvisieren. Hive0156 ist ein mit Russland verbündeter Bedrohungsakteur, der versucht, Personen innerhalb der ukrainischen Regierung oder des Militärs zu kompromittieren. Die Tools, Taktiken und Verfahren (TTPs) der Gruppe überschneiden sich stark mit dem UAC-0184-Akteur von CERT-UA. Hive0156 liefert präparierte Microsoft LNK- und PowerShell-Dateien, was zum Herunterladen und Ausführen von Remcos RAT führt. X-Force hat wichtige Köderdokumente mit Themen beobachtet, die auf das ukrainische Militär und die Entwicklung eines potenziell breiteren Publikums hindeuten.
Hive0156 ist ein mit Russland verbündeter Bedrohungsakteur, der hauptsächlich Commodity-Malware und Täuschungsdokumente nutzt, um bösartige Cyberkampagnen in der Ukraine zu Orchestrate. Hive0156 wurde im Laufe des Jahres 2024 gemeldet und richtete sich gegen Chats und Mitarbeiter des ukrainischen Militärs, indem er bösartige LNK-Dateien oder PowerShell-Skripte übermittelte, die zu Remcos-Infektionen führten. Die Gruppe verwendet die Themen der Täuschungsdokumente, die für Mitarbeiter, die sich mit der operativen Haltung des ukrainischen Militärs befassen, von großer Bedeutung sind.
Die weitverbreitete Verwendung militärischer Themen durch Hive0156 für Täuschungsdokumente bis Mitte 2025 lässt auf ein vorrangiges Interesse an der gezielten Ansprache von Mitgliedern des ukrainischen Militärs schließen. Die Täuschungsdokumente in den Kampagnen sind oft beschädigte Dateien oder Junk-Dateien, die jedoch Themen enthalten, die von der Gruppe ausgewählt wurden, um die Opfer zum Mitmachen zu bewegen. Dateinamen finden sich häufig in transliterierten Formen des Russischen oder Ukrainischen. Nachfolgend sind die Dokumente hervorgehoben, die von Hive0156 vor Mitte 2025 in ihren Geschäftstätigkeiten verwendet wurden.
Die 33. Mechanized ist eine Brigade der ukrainischen Bodentruppen. Ende 2024 nahm die33. an Kampfhandlungen in Kurakhove und später an den Frontlinien von Heorhiivka und Vuhledar teil. Der Lockvogel ist ein nicht authentifiziertes funktionales Excel-Dokument mit verschiedenen Metriken, die im Allgemeinen den Stand der verschiedenen Ressourcen angeben.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx könnte sich auf einen Bereitschaftsbefehl beziehen und möglicherweise mit der33. Mechanisierten Brigade in Zusammenhang stehen. Der Dateiname bezieht sich auf die Bereitschaft des ersten mechanisierten Bataionals, eines offiziellen Bataionals innerhalb des 33.
Im Juni 2024 meldete CERT-UA, dass UAC-0184 schädliche Dateien mit der Funktion der 3. getrennten Sturmbrigade der Ukraine lieferte, was zu ähnlichen Angriffsketten führte.
Maschinenübersetzt, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc bezieht sich auf die Verteilung des operativen Personals. Angesichts der durchgängigen Kriegsthematik bezieht sich dies wahrscheinlich auf die Truppenstärke.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx ist aus dem Russischen übersetzt und ist ein funktionales Excel-Dokument. Die Datei enthält Koordinaten, die der Provinz Zanjan im Iran zugeordnet sind. Bei genauerer Betrachtung der Koordinaten scheint es sich bei den Standorten größtenteils um Ackerland in der Nähe von Bewässerungsquellen wie dem Fluss Tikmeh Dash zu handeln.
Seit Mitte 2025 beobachtet X-Force transliterierte Lockvogeldokumente in ukrainischer Sprache mit Themen im Zusammenhang mit „Petitionen“, „offiziellen Anschreiben“ oder „formellen Ablehnungen“. Dies ist eine Abkehr von der bisherigen Ausrichtung der Gruppe auf militärische Themen hin zu einer breiteren Zielgruppe. Decoy-Dokumente, die nach Mitte 2025 beobachtet werden, sind in der Regel beschädigt oder mit Junk-Daten gefüllt.
Ab Anfang Juli 2025 fährt der Konzern mit der Auslieferung von Remcos als primäre schädliche endgültige Nutzlast fort und hat deren Auslieferung seit 2024 vereinfacht. Aktuelle Hive0156-Kampagnen beginnen mit einer präparierten LNK- oder PowerShell-Datei der ersten Phase. Nach der Ausführung versucht die erste Phase, Kontakt mit der Kommando- und Kontrollinfrastruktur (C2) des Akteurs aufzunehmen, um das Köderdokument und das Zip-Archiv mit schädlichen Dateien abzurufen. Die Kommunikation mit dem C2-Server wird nach geografischer Region und einem erwarteten User-Agent gefiltert. Nach erfolgreichem Abruf wird dem Benutzer das Täuschungsdokument präsentiert, das jedoch oft beschädigt ist. Im Hintergrund wird eine Instanz von Hijackloader (a.k.a. IDAT Loader) ausgeführt und liefert Remcos RAT aus.
In den jüngsten Kampagnen wechselt Hive0156 bei seinen Infektionen der ersten Phase zwischen bösartigen LNK- oder PowerShell-Dateien. Die Funktionalität beider Typen ist gleichwertig. Die Ausführung der ersten Phase ist kritisch für die Bereitstellung ihrer Malware durch die Gruppe, die in einem Zip-Archiv heruntergeladen wird. Beide Typen der ersten Stufe führen im Hintergrund eine HijackLoader-Infektionskette aus, während dem Benutzer ein Köderdokument präsentiert wird.
Ein wesentlicher Unterschied zwischen LNK- und PowerShell-Kampagnen besteht in der Zustellung des Köderdokuments. In LNK-basierten Kampagnen werden zwei separate C2-Anfragen gestartet, um das Täuschungsdokument und das HijackLoader ZIP-Archiv herunterzuladen. In PowerShell-basierten Kampagnen wird ein Aufruf zum Herunterladen der HijackLoader-ZIP-Datei initiiert, der das Köderdokument enthält. Diese Unterscheidung kann Netzwerkverteidigern helfen, die Art der Infektion im ersten Stadium zu identifizieren.
Die Ausführung von HijackLoader dient der Gruppe als Verbreitungsmechanismus für Remcos. HijackLoader, auch bekannt als IDAT Loader, greift auf Datendateien zu, die sich im Zip-Archiv der ersten Stufe befinden, um die endgültige schädliche Nutzlast – Remcos – zu entschlüsseln.
Der Bedrohungsakteur verpackt HijackLoader in einer ZIP-Datei. HijackLoader-ZIP-Dateien enthalten mehrere Komponenten, die alle vorhanden sein müssen, um die Infektionskette fortzufahren.
Folgende Komponenten sind normalerweise in einer HijackLoader-ZIP-Datei vorhanden:
In diesem Beispiel wurden die Dateien, die mit HijackLoader zusammenhängen, in einer ZIP-Datei namens premo.zip verpackt. Die legitime ausführbare Datei PortRemo.exe wird von der ursprünglichen LNK-Datei ausgeführt, die die bösartige gepatchte DLL sqlite3.dll lädt.
Das folgende Bild zeigt die Importtabelle für PortRemo.exe. Irgendwann während der Ausführung wird eine dieser Funktionen aufgerufen und führt schließlich zum schädlichen Code innerhalb sqlite3.dll.
In diesem Beispiel ist sqlite3_result_text16() die bösartige Funktion. HijackLoader verwendet die Exporttabelle, um zu verhindern, dass IDA die Datei ordnungsgemäß analysiert.
Die gepatchte DLL liest und entschlüsselt den Shellcode der ersten Stufe für HijackLoader. Der entschlüsselte Shellcode entschlüsselt die PNG-Datei, die HijackLoader-Komponenten enthält. HijackLoader nutzt verschiedene Module für erweiterte Funktionalität.
Die folgende Tabelle listet bekannte Module sowie deren Funktionalität auf:
Name
Kernfunktionalität
AVDATA
Das Blocklistenmodul überprüft Prozessnamen, die bekanntermaßen mit Sicherheitssoftware in Verbindung stehen.
ESAL
Führt die endgültige schädliche Nutzlast aus.
ESLDR
Wird verwendet, um Shellcode im Zusammenhang mit HijackLoader einzuschleusen und auszuführen.
ESWR
Entfernt Shellcode aus dem Speicher und führt das Modul „rShell“ aus.
FIXED
Eine legitime ausführbare Datei, die für die Process Injection verwendet wird.
LaunchLdr
Entschlüsselt die HijackLoader-PNG-Datei, um alle Module zu extrahieren.
rShell
Richtet die endgültige schädliche Nutzlast im Speicher ein und führt sie aus.
ti
Führt die Codeinjektion nach der ersten Phase durch.
tinystub
Eine leere PE-Datei, die zum Patchen und Injizieren verwendet wird.
tinyutilitymodule
Überschreibt PE-Header der angegebenen Dateien mit Null-Bytes.
Sobald alle Module abgeschlossen sind, injiziert HijackLoader seine endgültige schädliche Nutzlast in einen entfernten Prozess.
Die Analyse der Remcos-Konfiguration von Hive0156 durch X-Force ergab, dass nur wenige Funktionen aktiviert sind. Dies deutet jedoch nicht auf eine geringere Bedrohung hin. Die Version von Remcos auf Hive0156 ist primär darauf konfiguriert, die Kommunikation mit der C2-Infrastruktur der Gruppe herzustellen und regelmäßig auf neue Befehle zu warten. Die Gruppe scheint mehrere Kampagnen parallel durchzuführen und nutzt die Kampagnen-ID-Funktion von Remcos gewissenhaft. Im Laufe des Jahres 2025 beobachtete X-Force die Kampagnen-IDs hmu2005, gu2005, ra2005 und ra2005new, die mit der Gruppe in Verbindung stehen.
Remcos ist ein von Breaking-Security entwickeltes Remote Administration Tool. Einzelheiten zu seinen Funktionen finden Sie hier.
Nach der Ausführung lädt Remcos seine Konfiguration aus einem Blob innerhalb seiner Ressourcen. Nach Abschluss analysiert Remcos seine Konfiguration, die bestimmt, welche Aktionen während der Ausführung ausgeführt werden.
Remcos akzeptiert die folgenden Konfigurationsparameter:
Config ID
Funktionen
0x0
Enthält C2-Adressen.
0x1
Enthält eine Kennung für die Kampagne.
0x2
Legt fest, wie oft Remcos eine Verbindung zu C2 herstellen soll.
0x3
Installiert Remcos nach der Ausführung. Die Installation umfasst auch das Versetzen an einen speziellen Standort.
0x4
0x5
Ermöglicht die Persistenz mithilfe von HKLM und HKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
Maximale Dateigröße für Keylogger-Daten vor der Rotation.
0x8
Ermöglicht die Persistenz mithilfe des Registrierungsschlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
0x9
Verzeichnis, in dem Remcos während der Installation abgelegt werden sollen.
0xA
Dateiname, in den Remcos während der Installation verschoben werden soll
0xC
Aktiviert das versteckte Dateiattribut und setzt zugehörige Dateien als schreibgeschützt.
0xE
Ein Mutex-Name.
0xF
Legt fest, ob der Keylogger deaktiviert, vollständig aktiviert oder nur für bestimmte Fenster aktiviert ist.
0x10
Wird verwendet, um festzustellen, wo Keylogs gespeichert werden.
0x11
Wird verwendet, um den Dateinamen für Keylogs zu ermitteln.
0x12
Kontrolliert die RC4-Verschlüsselung für Keylogs.
0x13
Steuerelemente zum Ausblenden der Keylogger-Dateien.
0x14
Aktiviert oder deaktiviert die Bildschirmaufzeichnungsfunktion.
0x15
Intervall in Minuten für die Aufnahme jedes Screenshots.
0x16
Nimmt nur Screenshots für bestimmte Fensternamen auf, wenn diese Option aktiviert ist.
0x17
Fensternamen für die obige Option.
0x18
Zeitintervall für die Erstellung von Screenshots bestimmter Fenster.
0x19
Übergeordnetes Verzeichnis zum Speichern von Screenshots.
0x23
Aktiviert oder deaktiviert die Audioaufnahme.
0x24
Dauer in Sekunden für jede Audioaufnahme.
0x25
Übergeordnetes Verzeichnis, in dem Audioaufnahmen gespeichert werden.
0x26
Name des Ordners, in dem Audioaufnahmen gespeichert werden sollen.
0x27
Deaktiviert UAC im Register, wenn aktiviert.
0x28
Protokollierungsmodus. Dient zum Aktivieren oder Deaktivieren des Konsolenfensters.
0x29
Verzögerung in Sekunden für den ersten C2-Verbindungsversuch.
0x2A
Spezifische Fensternamen für die Keylogging-Funktionalität.
0x2B
Ermöglicht das Löschen des Webbrowsers beim Start. Remcos ist in der Lage, alle Cookies und Logins aus Explorer, Chrome und Firefox gemäß der Konfiguration zu löschen. Diese Funktion dient dazu, Informationsdiebstahl zu behindern, und wird für einen böswilligen Angreifer wahrscheinlich kaum von Nutzen sein.
0x2C
Ermöglicht die Bereinigung des Webbrowsers nur beim ersten Start.
0x2D
Schlafzeit in Minuten vor dem Löschen der Webbrowser.
0x2E
Aktiviert oder deaktiviert die UAC-Umgehungsfunktion.
0x30
Verzeichnis, in das Remcos installiert werden soll.
0x31
Verzeichnis zum Speichern von Tastatureingaben.
0x32
Aktivieren Sie die Watchdog-Funktion. Remcos wird sich in einen zweiten Prozess einklinken und seinen eigenen ursprünglichen Prozess überwachen. Die Hauptfunktion besteht darin, die primäre ausführbare Datei neu zu starten, falls diese beendet wird.
0x34
Remcos-Lizenznummer.
0x35
Aktivieren Sie die Anzeige des Mauszeigers auf jedem aufgenommenen Screenshot.
0x36
TLS-Zertifikat, das für C2-Kommunikation verwendet wird.
0x37
TLS-Schlüssel für die C2-Kommunikation.
0x38
Öffentliches TLS-Zertifikat für C2.
Mithilfe von Konfigurationsflags wird festgelegt, ob Remcos bestimmte Funktionen aktivieren soll. Sobald Remcos seine Konfiguration analysiert hat, beginnt es, die C2-Server zu kontaktieren. Remcos kann zusätzliche Befehle von seinem C2-Server entgegennehmen, darunter die folgenden:
Befehls-ID
Kernfunktionalität
0x1
Ein Ping-Befehl.
0x2
Deaktiviert das Senden von Keepalive-Paketen.
0x3
Listet die installierten Anwendungen auf.
0x6
Listet laufende Prozesse auf.
0x7
Beendet einen Prozess.
0x9
Schließt ein Fenster.
0xA
Zeigt ein maximiertes Fenster an.
0xB
Zeigt ein Fenster.
0xC
Beendet einen Prozess über das Fensterhandle.
0xD
Führt einen Shell-Befehl aus.
0xE
Startet einen Piped-Shell.
0xF
Führt ein Programm aus.
0x10
Lädt Screenshots auf den C2-Server hoch.
0x11
Erhält den globalen IP-Standort des Hosts.
0x12
Ruft Informationen aus der Offline-Keylogger-Funktion ab.
0x13
Startet den Keylogger im Online-Modus.
0x14
Stoppt den Keylogger beim Start im Online-Modus.
0x15
Lädt Keylogger-Daten auf den C2 hoch.
0x16
Lädt Keylogger-Daten auf den C2 hoch.
0x17
Löscht Keylogger-Daten.
0x18
Löscht Browser-Cookies und Anmeldedaten.
0x1B
Startet das Webcam-Aufnahmemodul.
0x1C
Stoppt das Webcam-Aufzeichnungsmodul.
0x1D
Aktiviert das Mikrofonaufnahmemodul.
0x1E
Deaktiviert das Mikrofonaufnahmemodul.
0x1F
Versucht, Zugangsdaten aus verschiedenen Programmen zu stehlen. Nutzt die Nirsoft-Passwortwiederherstellungs-Dienstprogramme: https://www.nirsoft.net/ (Der Link befindet sich außerhalb von ibm.com).
0x20
Löscht eine Datei oder einen Ordner.
0x21
Beendet seinen eigenen Prozess und den Prozess des Überwachungssystems.
0x22
Deinstalliert Remcos vom System.
0x23
Startet den Computer neu.
0x24
Aktualisiert Remcos von einer bereitgestellten URL.
0x25
Aktualisiert Remcos mithilfe des C2-Servers.
0x26
Zeigt ein Meldungsfeld an.
0x27
Führt zu einem Herunterfahren oder Ruhezustand des Systems.
0x28
Lädt Daten aus der Zwischenablage auf den C2-Server hoch.
0x29
Setzt die Zwischenablage auf die in C2 definierten Daten.
0x2A
Löscht die Zwischenablage.
0x2B
Lädt und führt eine DLL vom C2 aus.
0x2C
Lädt und führt eine DLL von einer angegebenen URL aus.
0x2F
Bearbeitet die Registrierung auf der Grundlage der vom C2 bereitgestellten Werte.
0x30
Scheint dem Angreifer die Möglichkeit zu geben, mit dem Opfer zu chatten.
0x31
Legt den Remcos-Namensbezeichner fest.
0x32
Ermöglicht die Verwendung und Verwaltung von Proxys.
0x34
Ermöglicht es Remcos, Systemdienste zu verwalten.
0x8F
Sucht nach einer Datei im System.
0x92
Legt das Systemhintergrundbild fest.
0x94
Legt den Text eines Fensters fest und listet aktive Prozesse mit Fenstern mit EnumWindows() auf.
0x97
Lädt die Ergebnisse des Befehls „dxdiag“ auf den C2-Server hoch.
0x98
Ermöglicht Remcos die Verwaltung von Dateien durch Aktionen wie Kopieren, Verschieben und Löschen.
0x99
Lädt Screenshot-Daten auf das C2 hoch.
0x9A
Speichert den Verlauf des Web-Browsers mithilfe der ausführbaren Dateien von Nirsoft.
0x9E
Spielt eine Audiodatei „alarm.wav“ ab. Diese Datei wird vom C2-Server abgerufen.
0x9F
Ermöglicht das Abspielen von „alarm.wav“ bei C2-Trennung.
0xA0
Deaktiviert die Wiedergabe von „alarm.wav“ bei C2-Trennung.
0xA2
Downloads „alarm.wav“ vom C2-Server.
0xA3
Spielt eine Audiodatei ab.
0xAB
Erhöht einen Prozess.
0xAC
Aktiviert das Protokollierungskonsolenfenster.
0xAD
Zeigt das Protokollierungskonsolenfenster an.
0xAE
Blendet das Protokollierungskonsolenfenster aus.
0xB2
Injiziert eine ausführbare Datei in einen neuen Prozess und führt sie aus.
0xC5
Legt einen Registrierungswert fest.
0xC6
Lädt Browser-Cookies und Passwörter auf das C2 hoch.
0xC8
Unterbricht einen Prozess.
0xC9
Nimmt einen Prozess wieder auf.
0xCA
Liest eine Datei und sendet den Inhalt an den C2-Server.
0xCB
Schreibt C2-bereitgestellte Inhalte in eine Datei.
0xCC
Startet den Keylogger im Offline-Modus.
0xCD
Stoppt den Keylogger, wenn er im Offline-Modus gestartet wird.
0xCE
Listet die TCP- und UDP-Tabellen eines Prozesses auf.
Wie oben gezeigt, verfügt Remcos über eine Vielzahl von Funktionen, darunter Fernadministration, Ausführung der schädlichen Nutzlast, Überwachung, Persistenz und Informationsdiebstahl. Remcos kann von legitimen Systemadministratoren verwendet werden; es wird jedoch auch von verschiedenen böswilligen Bedrohungsakteuren intensiv genutzt. Die von Remcos auf einem System durchgeführten Aktionen werden hauptsächlich durch die Kommunikation mit seinem C2-Server gesteuert. Remcos verfügt über ein GUI-Panel, das es Angreifern ermöglicht, mehrere Opfer einfach in einer einzigen Schnittstelle zu verwalten. Die GUI-Oberfläche ermöglicht sowohl die Erstellung automatisierter Aufgaben als auch die manuelle Interaktion mit dem Remcos-Implantat auf einem betroffenen System.
Hive0156 betreibt ein weltweites Netzwerk von C2-Servern und hat höchstwahrscheinlich einen Vorteil von der Gleichgültigkeit russischer Hosting-Anbieter gegenüber den Aktivitäten der Gruppe. X-Force entdeckte, dass die Gruppe zumindest in der Ukraine Geofencing einsetzt und fordert Header-Filterung als Teil ihrer Staging-Operationen an. Hive0156 stellt Remcos mit eingeschränkten Funktionen bereit, aktualisiert aber kontinuierlich seine Konfiguration von seinem C2 aus. Dies könnte auf eine Priorisierung des Zugriffs auf bisher ungenutzte Daten und die selektive Aktivierung der Datenerfassung im Rahmen neuer Initiativen hindeuten. Die Wartung einer ungehinderten Verbindung zwischen den Remcos-Infektionen und der C2-Infrastruktur der Gruppe ist von entscheidender Bedeutung für den fortgesetzten Zugang der Opfer.
Hive0156 führt weiterhin bösartige Cyberoperationen gegen die Ukraine durch. X-Force geht davon aus, dass die Gruppe weiterhin ukrainische Militärangehörige ins Visier nimmt, aber ihre Täuschungsdokumente zu allgemeineren Themen weiterentwickelt, was auf einen größeren Opferkreis schließen lässt. Unternehmen und Personal innerhalb oder in Verbindung mit dem ukrainischen Militär sind einem erhöhten Risiko ausgesetzt, Opfer von Hive0156 zu werden.
X-Force empfiehlt die folgenden Maßnahmen zur Eindämmung der Hive0156-Aktivität:
Indikator
Art des Indikators
Kontext
5.101.83[.]18
IP-Adresse
C2
5.101.83[.]19
IP-Adresse
C2
5.101.82[.]52
IP-Adresse
C2
146.185.239[.]11
IP-Adresse
C2
146.185.239[.]12
IP-Adresse
C2
5.101.80[.]15
IP-Adresse
C2
6637405265adc8b
SHA256
Bösartiges LNK
46d633c2937eeca2
SHA256
Bösartiges LNK
14515e5498d3d3219e
SHA256
Bösartiges LNK
37d2f3d3af2d564d6f9
SHA256
Bösartiges LNK
842d1e27d919a0ef568
SHA256
Bösartiges LNK
ccf6d3eaea549b8f1f02
SHA256
Bösartiges LNK
63e9fa71789996cf52b
SHA256
Bösartiges LNK
1f157d473ccfe51a22a0
SHA256
Bösartiges LNK
002e2e591f324ebdfa2
SHA256
Bösartiges LNK
c38beb137b130c00b6
SHA256
Bösartiges LNK
6cd56f7f1f8c7c422c672
SHA256
Bösartiges LNK
44448993bbe5931c62
SHA256
Bösartiges LNK
d9d26d19da539b0adc
SHA256
Bösartiges LNK
7efbfd633d469405c66
SHA256
Bösartiges LNK
9b662720f48749f5b29d
SHA256
Bösartiges LNK
8556f07ceb37e726a66c
SHA256
Bösartiges LNK
9d95228173bf5f29bc3d2
SHA256
Bösartiges LNK
6c5a89c3dd7b596fd1be
SHA256
Bösartiges LNK
2387e5e7f1eebfa1c27f95
SHA256
Malicious PowerShell
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
IBM X-Force Premier Threat-Intelligence ist jetzt in OpenCTI von Filigran integriert und liefert umsetzbar Threat-Intelligence über diese Bedrohungsaktivitäten und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den X-Force OpenCTI Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Erhalten Sie noch heute eine 30-tägige X-Force Premier Threat Intelligence-Studie!
