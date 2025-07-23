Tags
Hive0156 fährt Remcos-Kampagnen gegen die Ukraine fort

Zwei Männer arbeiten an Computern im Serverraum

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

Stand Anfang Juli 2025 überwacht IBM X-Force®  aktive Hive0156 Remcos Remote-Zugriff-Trojan (RAT)-Kampagnen, die Opfer in der Ukraine anvisieren. Hive0156 ist ein mit Russland verbündeter Bedrohungsakteur, der versucht, Personen innerhalb der ukrainischen Regierung oder des Militärs zu kompromittieren. Die Tools, Taktiken und Verfahren (TTPs) der Gruppe überschneiden sich stark mit dem UAC-0184-Akteur von CERT-UA. Hive0156 liefert präparierte Microsoft LNK- und PowerShell-Dateien, was zum Herunterladen und Ausführen von Remcos RAT führt. X-Force hat wichtige Köderdokumente mit Themen beobachtet, die auf das ukrainische Militär und die Entwicklung eines potenziell breiteren Publikums hindeuten.

Wesentliche Feststellungen: 

  • Hive0156 liefert weiterhin Remcos RAT in der gesamten Ukraine
  • Die Themen der Decoy-Dokumente sind für die ukrainischen Militärs von großer Bedeutung
  • Der Zugang zur ukrainischen Infrastruktur hat für die mit Russland verbündeten Akteure weiterhin höchste Priorität

Analyse

Hive0156 ist ein mit Russland verbündeter Bedrohungsakteur, der hauptsächlich Commodity-Malware und Täuschungsdokumente nutzt, um bösartige Cyberkampagnen in der Ukraine zu Orchestrate. Hive0156 wurde im Laufe des Jahres 2024 gemeldet und richtete sich gegen Chats und Mitarbeiter des ukrainischen Militärs, indem er bösartige LNK-Dateien oder PowerShell-Skripte übermittelte, die zu Remcos-Infektionen führten. Die Gruppe verwendet die Themen der Täuschungsdokumente, die für Mitarbeiter, die sich mit der operativen Haltung des ukrainischen Militärs befassen, von großer Bedeutung sind.

Themen vor Mitte 2025

Die weitverbreitete Verwendung militärischer Themen durch Hive0156 für Täuschungsdokumente bis Mitte 2025 lässt auf ein vorrangiges Interesse an der gezielten Ansprache von Mitgliedern des ukrainischen Militärs schließen. Die Täuschungsdokumente in den Kampagnen sind oft beschädigte Dateien oder Junk-Dateien, die jedoch Themen enthalten, die von der Gruppe ausgewählt wurden, um die Opfer zum Mitmachen zu bewegen. Dateinamen finden sich häufig in transliterierten Formen des Russischen oder Ukrainischen. Nachfolgend sind die Dokumente hervorgehoben, die von Hive0156 vor Mitte 2025 in ihren Geschäftstätigkeiten verwendet wurden.

Kriegsverluste

Screenshot des Vorschaubilds für uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

Die 33. Mechanized ist eine Brigade der ukrainischen Bodentruppen. Ende 2024 nahm die33. an Kampfhandlungen in Kurakhove und später an den Frontlinien von Heorhiivka und Vuhledar teil. Der Lockvogel ist ein nicht authentifiziertes funktionales Excel-Dokument mit verschiedenen Metriken, die im Allgemeinen den Stand der verschiedenen Ressourcen angeben.

Screenshot des von Hive0156 verwendeten ukrainischen Dokuments
Abbildung 1: Ukrainisches Dokument, verwendet von Hive0156

Bataillonsbereitschaftsprüfung

Screenshot der Miniaturansicht für Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx könnte sich auf einen Bereitschaftsbefehl beziehen und möglicherweise mit der33. Mechanisierten Brigade in Zusammenhang stehen. Der Dateiname bezieht sich auf die Bereitschaft des ersten mechanisierten Bataionals, eines offiziellen Bataionals innerhalb des 33.

Im Juni 2024 meldete CERT-UA, dass UAC-0184 schädliche Dateien mit der Funktion der 3. getrennten Sturmbrigade der Ukraine lieferte, was zu ähnlichen Angriffsketten führte.

Berechnung der Personalverteilung

Screenshot der Miniaturansicht für Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Maschinenübersetzt, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc bezieht sich auf die Verteilung des operativen Personals. Angesichts der durchgängigen Kriegsthematik bezieht sich dies wahrscheinlich auf die Truppenstärke.

Mögliche feindliche Standorte

Screenshot der Miniaturansicht für Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx ist aus dem Russischen übersetzt und ist ein funktionales Excel-Dokument. Die Datei enthält Koordinaten, die der Provinz Zanjan im Iran zugeordnet sind. Bei genauerer Betrachtung der Koordinaten scheint es sich bei den Standorten größtenteils um Ackerland in der Nähe von Bewässerungsquellen wie dem Fluss Tikmeh Dash zu handeln.

Excel-Datei mit Koordinaten für Nordiran
Abbildung 2: Excel-Datei mit Koordinaten für den Norden Irans
Allgemeine Lage der Koordinaten im Köderdokument
Abbildung 3: Allgemeine Lage der Koordinaten im Täuschungsdokument

Themen von Mitte 2025

Seit Mitte 2025 beobachtet X-Force transliterierte Lockvogeldokumente in ukrainischer Sprache mit Themen im Zusammenhang mit „Petitionen“, „offiziellen Anschreiben“ oder „formellen Ablehnungen“. Dies ist eine Abkehr von der bisherigen Ausrichtung der Gruppe auf militärische Themen hin zu einer breiteren Zielgruppe. Decoy-Dokumente, die nach Mitte 2025 beobachtet werden, sind in der Regel beschädigt oder mit Junk-Daten gefüllt.

Angriffskette

Ab Anfang Juli 2025 fährt der Konzern mit der Auslieferung von Remcos als primäre schädliche endgültige Nutzlast fort und hat deren Auslieferung seit 2024 vereinfacht. Aktuelle Hive0156-Kampagnen beginnen mit einer präparierten LNK- oder PowerShell-Datei der ersten Phase. Nach der Ausführung versucht die erste Phase, Kontakt mit der Kommando- und Kontrollinfrastruktur (C2) des Akteurs aufzunehmen, um das Köderdokument und das Zip-Archiv mit schädlichen Dateien abzurufen. Die Kommunikation mit dem C2-Server wird nach geografischer Region und einem erwarteten User-Agent gefiltert. Nach erfolgreichem Abruf wird dem Benutzer das Täuschungsdokument präsentiert, das jedoch oft beschädigt ist. Im Hintergrund wird eine Instanz von Hijackloader (a.k.a. IDAT Loader) ausgeführt und liefert Remcos RAT aus.

Beispiel einer Hive0156-Angriffskette
Abbildung 4: Angriffskette Hive0156

Details der ersten Phase

In den jüngsten Kampagnen wechselt Hive0156 bei seinen Infektionen der ersten Phase zwischen bösartigen LNK- oder PowerShell-Dateien. Die Funktionalität beider Typen ist gleichwertig. Die Ausführung der ersten Phase ist kritisch für die Bereitstellung ihrer Malware durch die Gruppe, die in einem Zip-Archiv heruntergeladen wird.  Beide Typen der ersten Stufe führen im Hintergrund eine HijackLoader-Infektionskette aus, während dem Benutzer ein Köderdokument präsentiert wird.

Ein wesentlicher Unterschied zwischen LNK- und PowerShell-Kampagnen besteht in der Zustellung des Köderdokuments. In LNK-basierten Kampagnen werden zwei separate C2-Anfragen gestartet, um das Täuschungsdokument und das HijackLoader ZIP-Archiv herunterzuladen. In PowerShell-basierten Kampagnen wird ein Aufruf zum Herunterladen der HijackLoader-ZIP-Datei initiiert, der das Köderdokument enthält. Diese Unterscheidung kann Netzwerkverteidigern helfen, die Art der Infektion im ersten Stadium zu identifizieren.

HijackLoader (auch bekannt als IDAT Loader) Details

Die Ausführung von HijackLoader dient der Gruppe als Verbreitungsmechanismus für Remcos. HijackLoader, auch bekannt als IDAT Loader, greift auf Datendateien zu, die sich im Zip-Archiv der ersten Stufe befinden, um die endgültige schädliche Nutzlast – Remcos – zu entschlüsseln.

Der Bedrohungsakteur verpackt HijackLoader in einer ZIP-Datei. HijackLoader-ZIP-Dateien enthalten mehrere Komponenten, die alle vorhanden sein müssen, um die Infektionskette fortzufahren.

Beispiel für HijackLoader ZIP-Dateien enthalten mehrere Komponenten, die alle vorhanden sein müssen, um die Infektionskette fortzufahren

Folgende Komponenten sind normalerweise in einer HijackLoader-ZIP-Datei vorhanden:

  • Eine legitime ausführbare Datei, die normalerweise mit einem gültigen Zertifikat signiert ist. (In diesem Fall PortRemo.exe)
  • Zur Ausführung der legitimen ausführbaren Datei werden gültige DLL-Dateien benötigt. (In diesem Fall Tools.dll)
  • Eine gepatchte DLL-Datei, die Code enthält, der weitere Stufen von HijackLoader lädt. (In diesem Fall sqlite3.dll)
  • Eine PNG-Datei, die die verschlüsselten Module und die endgültige schädliche Nutzlast für HijackLoader enthält. Die PNG-Datei hat in der Regel einen zufälligen Namen. (In diesem Fall Churtseechang.vky)
  • Eine Datei mit verschlüsseltem Shellcode, der ebenfalls zufällig benannt ist. (In diesem Fall Weertijeegdoob.jm)

In diesem Beispiel wurden die Dateien, die mit HijackLoader zusammenhängen, in einer ZIP-Datei namens premo.zip verpackt.  Die legitime ausführbare Datei PortRemo.exe wird von der ursprünglichen LNK-Datei ausgeführt, die die bösartige gepatchte DLL sqlite3.dll lädt.

Das folgende Bild zeigt die Importtabelle für PortRemo.exe.  Irgendwann während der Ausführung wird eine dieser Funktionen aufgerufen und führt schließlich zum schädlichen Code innerhalb sqlite3.dll.

Screenshot der Importtabelle für PortRemo.exe

In diesem Beispiel ist sqlite3_result_text16() die bösartige Funktion. HijackLoader verwendet die Exporttabelle, um zu verhindern, dass IDA die Datei ordnungsgemäß analysiert.

Beispiel, das sqlite3_result_text16() als die bösartige Funktion zeigt

Die gepatchte DLL liest und entschlüsselt den Shellcode der ersten Stufe für HijackLoader. Der entschlüsselte Shellcode entschlüsselt die PNG-Datei, die HijackLoader-Komponenten enthält. HijackLoader nutzt verschiedene Module für erweiterte Funktionalität.

Die folgende Tabelle listet bekannte Module sowie deren Funktionalität auf:

Name

Kernfunktionalität

AVDATA

Das Blocklistenmodul überprüft Prozessnamen, die bekanntermaßen mit Sicherheitssoftware in Verbindung stehen.

ESAL

Führt die endgültige schädliche Nutzlast aus.

ESLDR

Wird verwendet, um Shellcode im Zusammenhang mit HijackLoader einzuschleusen und auszuführen.

ESWR

Entfernt Shellcode aus dem Speicher und führt das Modul „rShell“ aus.

FIXED

Eine legitime ausführbare Datei, die für die Process Injection verwendet wird.

LaunchLdr

Entschlüsselt die HijackLoader-PNG-Datei, um alle Module zu extrahieren.

rShell

Richtet die endgültige schädliche Nutzlast im Speicher ein und führt sie aus.

ti

Führt die Codeinjektion nach der ersten Phase durch.

tinystub

Eine leere PE-Datei, die zum Patchen und Injizieren verwendet wird.

tinyutilitymodule

Überschreibt PE-Header der angegebenen Dateien mit Null-Bytes.

Sobald alle Module abgeschlossen sind, injiziert HijackLoader seine endgültige schädliche Nutzlast in einen entfernten Prozess.

Details zu Remcos

Die Analyse der Remcos-Konfiguration von Hive0156 durch X-Force ergab, dass nur wenige Funktionen aktiviert sind. Dies deutet jedoch nicht auf eine geringere Bedrohung hin. Die Version von Remcos auf Hive0156 ist primär darauf konfiguriert, die Kommunikation mit der C2-Infrastruktur der Gruppe herzustellen und regelmäßig auf neue Befehle zu warten. Die Gruppe scheint mehrere Kampagnen parallel durchzuführen und nutzt die Kampagnen-ID-Funktion von Remcos gewissenhaft. Im Laufe des Jahres 2025 beobachtete X-Force die Kampagnen-IDs hmu2005, gu2005, ra2005 und ra2005new, die mit der Gruppe in Verbindung stehen.

Remcos ist ein von Breaking-Security entwickeltes Remote Administration Tool.  Einzelheiten zu seinen Funktionen finden Sie hier.

Nach der Ausführung lädt Remcos seine Konfiguration aus einem Blob innerhalb seiner Ressourcen. Nach Abschluss analysiert Remcos seine Konfiguration, die bestimmt, welche Aktionen während der Ausführung ausgeführt werden.

Remcos akzeptiert die folgenden Konfigurationsparameter:

Config ID

Funktionen

0x0

Enthält C2-Adressen.

0x1

Enthält eine Kennung für die Kampagne.

0x2

Legt fest, wie oft Remcos eine Verbindung zu C2 herstellen soll.

0x3

Installiert Remcos nach der Ausführung.  Die Installation umfasst auch das Versetzen an einen speziellen Standort.

0x4

0x5

Ermöglicht die Persistenz mithilfe von HKLM und HKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

Maximale Dateigröße für Keylogger-Daten vor der Rotation.

0x8

Ermöglicht die Persistenz mithilfe des Registrierungsschlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

0x9

Verzeichnis, in dem Remcos während der Installation abgelegt werden sollen.

0xA

Dateiname, in den Remcos während der Installation verschoben werden soll

0xC

Aktiviert das versteckte Dateiattribut und setzt zugehörige Dateien als schreibgeschützt.

0xE

Ein Mutex-Name.

0xF

Legt fest, ob der Keylogger deaktiviert, vollständig aktiviert oder nur für bestimmte Fenster aktiviert ist.

0x10

Wird verwendet, um festzustellen, wo Keylogs gespeichert werden.

0x11

Wird verwendet, um den Dateinamen für Keylogs zu ermitteln.

0x12

Kontrolliert die RC4-Verschlüsselung für Keylogs.

0x13

Steuerelemente zum Ausblenden der Keylogger-Dateien.

0x14

Aktiviert oder deaktiviert die Bildschirmaufzeichnungsfunktion.

0x15

Intervall in Minuten für die Aufnahme jedes Screenshots.

0x16

Nimmt nur Screenshots für bestimmte Fensternamen auf, wenn diese Option aktiviert ist.

0x17

Fensternamen für die obige Option.

0x18

Zeitintervall für die Erstellung von Screenshots bestimmter Fenster.

0x19

Übergeordnetes Verzeichnis zum Speichern von Screenshots.

0x23

Aktiviert oder deaktiviert die Audioaufnahme.

0x24

Dauer in Sekunden für jede Audioaufnahme.

0x25

Übergeordnetes Verzeichnis, in dem Audioaufnahmen gespeichert werden.

0x26

Name des Ordners, in dem Audioaufnahmen gespeichert werden sollen.

0x27

Deaktiviert UAC im Register, wenn aktiviert.

0x28

Protokollierungsmodus.  Dient zum Aktivieren oder Deaktivieren des Konsolenfensters.

0x29

Verzögerung in Sekunden für den ersten C2-Verbindungsversuch.

0x2A

Spezifische Fensternamen für die Keylogging-Funktionalität.

0x2B

Ermöglicht das Löschen des Webbrowsers beim Start. Remcos ist in der Lage, alle Cookies und Logins aus Explorer, Chrome und Firefox gemäß der Konfiguration zu löschen. Diese Funktion dient dazu, Informationsdiebstahl zu behindern, und wird für einen böswilligen Angreifer wahrscheinlich kaum von Nutzen sein.

0x2C

Ermöglicht die Bereinigung des Webbrowsers nur beim ersten Start.

0x2D

Schlafzeit in Minuten vor dem Löschen der Webbrowser.

0x2E

Aktiviert oder deaktiviert die UAC-Umgehungsfunktion.

0x30

Verzeichnis, in das Remcos installiert werden soll.

0x31

Verzeichnis zum Speichern von Tastatureingaben.

0x32

Aktivieren Sie die Watchdog-Funktion. Remcos wird sich in einen zweiten Prozess einklinken und seinen eigenen ursprünglichen Prozess überwachen. Die Hauptfunktion besteht darin, die primäre ausführbare Datei neu zu starten, falls diese beendet wird.

0x34

Remcos-Lizenznummer.

0x35

Aktivieren Sie die Anzeige des Mauszeigers auf jedem aufgenommenen Screenshot.

0x36

TLS-Zertifikat, das für C2-Kommunikation verwendet wird.

0x37

TLS-Schlüssel für die C2-Kommunikation.

0x38

Öffentliches TLS-Zertifikat für C2.

Mithilfe von Konfigurationsflags wird festgelegt, ob Remcos bestimmte Funktionen aktivieren soll. Sobald Remcos seine Konfiguration analysiert hat, beginnt es, die C2-Server zu kontaktieren. Remcos kann zusätzliche Befehle von seinem C2-Server entgegennehmen, darunter die folgenden:

Befehls-ID

Kernfunktionalität

0x1

Ein Ping-Befehl.

0x2

Deaktiviert das Senden von Keepalive-Paketen.

0x3

Listet die installierten Anwendungen auf.

0x6

Listet laufende Prozesse auf.

0x7

Beendet einen Prozess.

0x9

Schließt ein Fenster.

0xA

Zeigt ein maximiertes Fenster an.

0xB

Zeigt ein Fenster.

0xC

Beendet einen Prozess über das Fensterhandle.

0xD

Führt einen Shell-Befehl aus.

0xE

Startet einen Piped-Shell.

0xF

Führt ein Programm aus.

0x10

Lädt Screenshots auf den C2-Server hoch.

0x11

Erhält den globalen IP-Standort des Hosts.

0x12

Ruft Informationen aus der Offline-Keylogger-Funktion ab.

0x13

Startet den Keylogger im Online-Modus.

0x14

Stoppt den Keylogger beim Start im Online-Modus.

0x15

Lädt Keylogger-Daten auf den C2 hoch.

0x16

Lädt Keylogger-Daten auf den C2 hoch.

0x17

Löscht Keylogger-Daten.

0x18

Löscht Browser-Cookies und Anmeldedaten.

0x1B

Startet das Webcam-Aufnahmemodul.

0x1C

Stoppt das Webcam-Aufzeichnungsmodul.

0x1D

Aktiviert das Mikrofonaufnahmemodul.

0x1E

Deaktiviert das Mikrofonaufnahmemodul.

0x1F

Versucht, Zugangsdaten aus verschiedenen Programmen zu stehlen. Nutzt die Nirsoft-Passwortwiederherstellungs-Dienstprogramme: https://www.nirsoft.net/ (Der Link befindet sich außerhalb von ibm.com).  

0x20

Löscht eine Datei oder einen Ordner.

0x21

Beendet seinen eigenen Prozess und den Prozess des Überwachungssystems.

0x22

Deinstalliert Remcos vom System.

0x23

Startet den Computer neu.

0x24

Aktualisiert Remcos von einer bereitgestellten URL.

0x25

Aktualisiert Remcos mithilfe des C2-Servers.

0x26

Zeigt ein Meldungsfeld an.

0x27

Führt zu einem Herunterfahren oder Ruhezustand des Systems.

0x28

Lädt Daten aus der Zwischenablage auf den C2-Server hoch.

0x29

Setzt die Zwischenablage auf die in C2 definierten Daten.

0x2A

Löscht die Zwischenablage.

0x2B

Lädt und führt eine DLL vom C2 aus.

0x2C

Lädt und führt eine DLL von einer angegebenen URL aus.

0x2F

Bearbeitet die Registrierung auf der Grundlage der vom C2 bereitgestellten Werte.

0x30

Scheint dem Angreifer die Möglichkeit zu geben, mit dem Opfer zu chatten.

0x31

Legt den Remcos-Namensbezeichner fest.

0x32

Ermöglicht die Verwendung und Verwaltung von Proxys.

0x34

Ermöglicht es Remcos, Systemdienste zu verwalten.

0x8F

Sucht nach einer Datei im System.

0x92

Legt das Systemhintergrundbild fest.

0x94

Legt den Text eines Fensters fest und listet aktive Prozesse mit Fenstern mit EnumWindows() auf.

0x97

Lädt die Ergebnisse des Befehls „dxdiag“ auf den C2-Server hoch.

0x98

Ermöglicht Remcos die Verwaltung von Dateien durch Aktionen wie Kopieren, Verschieben und Löschen.

0x99

Lädt Screenshot-Daten auf das C2 hoch.

0x9A

Speichert den Verlauf des Web-Browsers mithilfe der ausführbaren Dateien von Nirsoft.

0x9E

Spielt eine Audiodatei „alarm.wav“ ab.  Diese Datei wird vom C2-Server abgerufen.

0x9F

Ermöglicht das Abspielen von „alarm.wav“ bei C2-Trennung.

0xA0

Deaktiviert die Wiedergabe von „alarm.wav“ bei C2-Trennung.

0xA2

Downloads „alarm.wav“ vom C2-Server.

0xA3

Spielt eine Audiodatei ab.

0xAB

Erhöht einen Prozess.

0xAC

Aktiviert das Protokollierungskonsolenfenster.

0xAD

Zeigt das Protokollierungskonsolenfenster an.

0xAE

Blendet das Protokollierungskonsolenfenster aus.

0xB2

Injiziert eine ausführbare Datei in einen neuen Prozess und führt sie aus.

0xC5

Legt einen Registrierungswert fest.

0xC6

Lädt Browser-Cookies und Passwörter auf das C2 hoch.

0xC8

Unterbricht einen Prozess.

0xC9

Nimmt einen Prozess wieder auf.

0xCA

Liest eine Datei und sendet den Inhalt an den C2-Server.

0xCB

Schreibt C2-bereitgestellte Inhalte in eine Datei.

0xCC

Startet den Keylogger im Offline-Modus.

0xCD

Stoppt den Keylogger, wenn er im Offline-Modus gestartet wird.

0xCE

Listet die TCP- und UDP-Tabellen eines Prozesses auf.

Wie oben gezeigt, verfügt Remcos über eine Vielzahl von Funktionen, darunter Fernadministration, Ausführung der schädlichen Nutzlast, Überwachung, Persistenz und Informationsdiebstahl. Remcos kann von legitimen Systemadministratoren verwendet werden; es wird jedoch auch von verschiedenen böswilligen Bedrohungsakteuren intensiv genutzt. Die von Remcos auf einem System durchgeführten Aktionen werden hauptsächlich durch die Kommunikation mit seinem C2-Server gesteuert. Remcos verfügt über ein GUI-Panel, das es Angreifern ermöglicht, mehrere Opfer einfach in einer einzigen Schnittstelle zu verwalten. Die GUI-Oberfläche ermöglicht sowohl die Erstellung automatisierter Aufgaben als auch die manuelle Interaktion mit dem Remcos-Implantat auf einem betroffenen System.

Infrastruktur und Betrieb

Hive0156 betreibt ein weltweites Netzwerk von C2-Servern und hat höchstwahrscheinlich einen Vorteil von der Gleichgültigkeit russischer Hosting-Anbieter gegenüber den Aktivitäten der Gruppe. X-Force entdeckte, dass die Gruppe zumindest in der Ukraine Geofencing einsetzt und fordert Header-Filterung als Teil ihrer Staging-Operationen an. Hive0156 stellt Remcos mit eingeschränkten Funktionen bereit, aktualisiert aber kontinuierlich seine Konfiguration von seinem C2 aus. Dies könnte auf eine Priorisierung des Zugriffs auf bisher ungenutzte Daten und die selektive Aktivierung der Datenerfassung im Rahmen neuer Initiativen hindeuten. Die Wartung einer ungehinderten Verbindung zwischen den Remcos-Infektionen und der C2-Infrastruktur der Gruppe ist von entscheidender Bedeutung für den fortgesetzten Zugang der Opfer.

Zusammenfassung:

Hive0156 führt weiterhin bösartige Cyberoperationen gegen die Ukraine durch. X-Force geht davon aus, dass die Gruppe weiterhin ukrainische Militärangehörige ins Visier nimmt, aber ihre Täuschungsdokumente zu allgemeineren Themen weiterentwickelt, was auf einen größeren Opferkreis schließen lässt. Unternehmen und Personal innerhalb oder in Verbindung mit dem ukrainischen Militär sind einem erhöhten Risiko ausgesetzt, Opfer von Hive0156 zu werden.

Empfehlungen:

X-Force empfiehlt die folgenden Maßnahmen zur Eindämmung der Hive0156-Aktivität:

  1. Nutzerschulung und Bewusstsein: Ermutigen Sie die Nutzer, beim Öffnen von E-Mails oder Messenger-Chats, insbesondere solchen mit Anhängen, oder beim Klicken auf Links vorsichtig zu sein. Weisen Sie sie an, die Identität des Absenders zu verifizieren und die Dateierweiterungen zu kontrollieren, bevor Sie eine Datei öffnen.
  2. Endgerät-Schutz: Stellen Sie aktualisierte Endgerät-Schutzsoftware bereit, die bekannte Malware-Varianten wie Remcos sowie verdächtige Verhaltensweisen erkennen und blockieren kann. Aktualisieren Sie regelmäßig Malware-Signaturen und Verhaltensmuster.
  3. Netzwerksegmentierung: Segmentieren Sie Ihr Netzwerk, um die Lateralbewegung im Falle eines Datenbruchs zu begrenzen. Dies begrenzt den potenziellen Schaden einer erfolgreichen Infektion.
  4. Geoblocking: Implementieren Sie Geoblocking-Regeln, um Verbindungen zu bekannten bösartigen C2-Servern zu verhindern, insbesondere zu solchen, die mit Hive0156 verbunden sind.
  5. Überwachung und Analyse: Überwachen und analysieren Sie den Netzwerkverkehr regelmäßig auf ungewöhnliche Aktivitäten oder Verbindungen zu bekannten bösartigen IPs. Verwenden Sie Lösungen, die Verhaltensanalysen und Erkennung von Anomalien bieten.
  6. Patch-Management: Stellen Sie sicher, dass alle Systeme und Anwendungen mit den neuesten Patches auf dem neuesten Stand sind. Viele von Bedrohungsakteuren genutzte Ausnutzungen nutzen bekannte Sicherheitslücken aus, die bereits behoben wurden.
  7. Notfallplan: Entwickeln und aktualisieren Sie regelmäßig einen Notfallplan. Dadurch wird sichergestellt, dass Sie im Falle einer Sicherheitsverletzung schnell und effektiv reagieren können.
  8. Verwendung von Sicherheitstools: Setzen Sie Sicherheitstools ein, die bösartige PowerShell-Skripte und LNK-Dateien erkennen und blockieren können, da dies häufig die ersten Übertragungswege für Hive0156 sind.

Indikatoren für Kompromittierung

Indikator

Art des Indikators

Kontext

5.101.83[.]18

IP-Adresse

C2

5.101.83[.]19

IP-Adresse

C2

5.101.82[.]52

IP-Adresse

C2

146.185.239[.]11

IP-Adresse

C2

146.185.239[.]12

IP-Adresse

C2

5.101.80[.]15

IP-Adresse

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

Bösartiges LNK

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

Bösartiges LNK

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

Bösartiges LNK

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

Bösartiges LNK

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

Bösartiges LNK

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

Bösartiges LNK

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

Bösartiges LNK

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

Bösartiges LNK

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

Bösartiges LNK

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

Bösartiges LNK

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

Bösartiges LNK

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

Bösartiges LNK

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

Bösartiges LNK

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

Bösartiges LNK

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

Bösartiges LNK

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

Bösartiges LNK

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

Bösartiges LNK

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

Bösartiges LNK

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

Malicious PowerShell

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

IBM X-Force Premier Threat-Intelligence ist jetzt in OpenCTI von Filigran integriert und liefert umsetzbar Threat-Intelligence über diese Bedrohungsaktivitäten und mehr. Erhalten Sie Erkenntnisse zu Bedrohungsakteuren, Malware und Branchenrisiken. Installieren Sie den X-Force OpenCTI Connector, um die Erkennung und Reaktion zu verbessern und Ihre Cybersicherheit mit der Expertise von IBM X-Force zu stärken. Erhalten Sie noch heute eine 30-tägige X-Force Premier Threat Intelligence-Studie!
