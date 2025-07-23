Tag
Keamanan

Hive0156 melanjutkan kampanye Remcos melawan Ukraina

Dua pria bekerja di komputer di ruang server

Penyusun

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

Pada awal Juli 2025, IBM® X-Force sedang memantau kampanye Hive0156 Remcos Remote Access Trojan (RAT) aktif yang menargetkan korban di Ukraina. Hive0156 adalah aktor ancaman yang bersekutu dengan Rusia yang berusaha mengompromikan individu dalam pemerintah atau militer Ukraina. Alat, Taktik dan Prosedur (TTP) kelompok ini sangat tumpang tindih dengan aktor UAC-0184 CERT-UA. Hive0156 memberikan file Microsoft LNK dan PowerShell yang dipersenjatai, yang mengarah ke pengunduhan dan eksekusi Remcos RAT. X-Force mengamati dokumen umpan kunci yang menampilkan tema yang menunjukkan fokus pada militer Ukraina dan berkembang ke audiens yang lebih luas.

Temuan utama: 

  • Hive0156 lanjutkan mengirimkan Remcos RAT ke seluruh Ukraina
  • Tema dokumen umpan sangat relevan dengan personel militer Ukraina
  • Akses ke infrastruktur Ukraina tetap menjadi prioritas utama bagi aktor yang bersekutu dengan Rusia

Analisis

Hive0156 adalah aktor ancaman yang bersekutu dengan Rusia yang terutama menggunakan malware dan dokumen umpan untuk mengekstrasi kampanye siber berbahaya di Ukraina. Dilaporkan sepanjang tahun 2024, Hive0156 menargetkan obrolan dan personel sinyal militer Ukraina dengan mengirimkan file LNK berbahaya atau skrip PowerShell, yang menyebabkan infeksi Remcos. Kelompok ini menggunakan tema dokumen umpan yang sangat relevan bagi personel yang peduli dengan postur operasional militer Ukraina.

Tema sebelum pertengahan tahun 2025

Menjelang pertengahan 2025, penggunaan luas tema militer yang relevan oleh Hive0156 untuk dokumen umpan menunjukkan minat prioritas dalam menargetkan anggota militer Ukraina. Dokumen umpan dalam kampanye sering kali berupa file data yang rusak atau sampah, tetapi mengungkap tema yang dipilih oleh kelompok untuk menarik keterlibatan korban. Nama file sering ditemukan dalam bentuk transliterasi Rusia atau Ukraina. Disorot di bawah ini adalah dokumen yang digunakan oleh Hive0156 dalam operasi mereka sebelum Pertengahan 2025.

Kerugian masa perang

tangkapan layar thumbnail untuk uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

Mekanisasi ke- 33 adalah Brigade Angkatan Darat Ukraina. Pada akhir 2024, pasukan ke-33 berpartisipasi dalam operasi tempur di Kurakhove dan kemudian garis depan Heorhiivka dan Vuhledar. Umpannya adalah dokumen Excel fungsional yang tidak diautentikasi dengan berbagai metrik yang umumnya mengomunikasikan tingkat berbagai sumber daya.

tangkapan layar dari dokumen Ukraina yang digunakan oleh Hive0156
Gambar 1: Dokumen Ukraina yang digunakan oleh Hive0156

Pemeriksaan kesiapan batalion

tangkapan layar thumbnail untuk Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx dapat merujuk pada perintah kesiapan dan mungkin berhubungan dengan Mechanized Brigade ke-33. Nama file mengacu pada kesiapan batalion mekanis pertama, batalyon resmi di batalion ke-33.

Pada bulan Juni 2024, CERT-UA melaporkan UAC-0184 mengirimkan file berbahaya yang memiliki fitur Brigade Penyerangan Terpisah ke-3 Ukraina, yang menyebabkan rantai serangan serupa.

Perhitungan distribusi personel

tangkapan layar thumbnail untuk Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Diterjemahkan oleh mesin, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc mengacu pada distribusi staf operasional. Mengingat tema masa perang yang konsisten, kemungkinan ini mengacu pada jumlah pasukan.

Kemungkinan lokasi musuh

tangkapan layar thumbnail untuk Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx diterjemahkan dari bahasa Rusia, dan merupakan dokumen Excel yang fungsional. File ini terdiri atas pemetaan koordinat ke Zanjan Providence of Iran. Setelah memeriksa koordinat, lokasi tampaknya sebagian besar terdiri dari lahan pertanian di dekat sumber irigasi seperti Sungai Tikmeh Dash.

File Excel dengan pemetaan koordinat ke Iran Utara
Gambar 2: File Excel dengan pemetaan koordinat ke Iran Utara
Lokasi umum koordinat dalam dokumen umpan
Gambar 3: Lokasi umum koordinat dalam dokumen umpan

Tema pertengahan tahun 2025

Pada pertengahan 2025, X-Force mengamati dokumen umpan bahasa Ukraina yang ditransliterasi yang menampilkan fitur yang terkait dengan “petisi”, “surat pengantar resmi” atau “penolakan formal”. Ini merupakan perubahan dari penekanan kelompok ini pada tema militer ke audiens yang lebih umum. Dokumen umpan yang diamati setelah pertengahan tahun 2025 umumnya rusak atau berisi data sampah.

Rantai serangan

Pada awal Juli 2025, grup melanjutkan mengirimkan Remcos sebagai muatan akhir utama mereka dan telah menyederhanakan pengiriman mereka sejak 2024. Kampanye Hive0156 terbaru dimulai dengan file LNK atau PowerShell tahap pertama yang dipersenjatai. Setelah eksekusi, tahap pertama mencoba menghubungi infrastruktur perintah-dan-kontrol (C2) aktor untuk mengambil dokumen umpan dan arsip zip file berbahaya. Komunikasi ke server C2 difilter berdasarkan wilayah geografis dan agen pengguna yang diharapkan. Setelah berhasil diambil, dokumen umpan disajikan kepada pengguna, tetapi sering kali rusak. Di latar belakang, contoh Hijackloader (a.k.a. IDAT Loader) dieksekusi dan mengirimkan Remcos RAT.

Contoh rantai serangan Hive0156
Gambar 4: Rantai serangan Hive0156

Detail tahap pertama

Dalam kampanye baru-baru ini, Hive0156 mengganti infeksi tahap pertama antara file LNK atau PowerShell berbahaya. Fungsionalitas kedua jenis setara. Eksekusi tahap pertama sangat penting untuk pengiriman malware loader grup mereka, yang diunduh dalam arsip zip.  Kedua jenis tahap pertama mengeksekusi rantai infeksi HijackLoader di latar belakang sambil menyajikan dokumen umpan kepada pengguna.

Salah satu perbedaan utama antara kampanye bergaya LNK dan PowerShell adalah pengiriman dokumen umpan. Dalam kampanye berbasis LNK, dua permintaan C2 terpisah dimulai untuk mengunduh dokumen umpan dan arsip ZIP HijackLoader. Dalam kampanye berbasis PowerShell, satu panggilan untuk mengunduh file ZIP HijackLoader dimulai dan berisi dokumen umpan. Perbedaan ini dapat membantu pembela jaringan mengidentifikasi jenis infeksi tahap pertama yang ditemui.

Detail HijackLoader (alias IDAT Loader)

Eksekusi HijackLoader berfungsi sebagai mekanisme pengiriman grup untuk Remcos. Juga dikenal sebagai IDAT Loader, HijackLoader mereferensikan file data yang ditempatkan bersama dalam zip tahap pertama untuk mengungkap payload akhir – Remcos.

Aktor ancaman mengemas HijackLoader dalam file ZIP. File ZIP HijackLoader berisi beberapa komponen, semua harus ada untuk Lanjutkan rantai infeksi.

contoh file ZIP HijackLoader berisi beberapa komponen, semua harus ada untuk Lanjutkan rantai infeksi

Komponen berikut biasanya ada dalam file ZIP HijackLoader:

  • Sebuah eksekusi yang sah yang biasanya ditandatangani oleh sertifikat yang valid. (Dalam hal ini, PortRemo.exe)
  • File DLL yang sah diperlukan untuk menjalankan eksekusi yang sah. (Dalam hal ini, Tools.dll)
  • File DLL yang ditambal yang berisi kode yang memuat tahap selanjutnya dari HijackLoader. (Dalam hal ini, sqlite3.dll)
  • File PNG yang berisi modul terenkripsi dan muatan akhir untuk HijackLoader. File PNG biasanya dinamai secara acak. (Dalam hal ini,Churtseechang.vky)
  • File yang berisi shellcode terenkripsi, yang juga dinamai secara acak. (Dalam hal ini, Weertijeegdoob.jm)

Dalam contoh ini, file yang berkaitan dengan HijackLoader dikemas dalam file ZIP bernama premo.zip.  PortRemo.exe yang dapat dieksekusi yang sah dieksekusi oleh file LNK awal, yang akan memuat DLL berbahaya yang ditambal sqlite3.dll.

Gambar berikut menunjukkan tabel impor untuk PortRemo.exe.  Pada titik tertentu selama eksekusi, salah satu fungsi ini akan dipanggil dan akhirnya mengarah ke kode berbahaya dalam sqlite3.dll.

tangkapan layar tabel impor untuk PortRemo.exe

Dalam contoh ini, sqlite3_result_text16() adalah fungsi berbahaya. HijackLoader akan menggunakan tabel ekspor untuk mencegah IDA menganalisis file dengan benar.

contoh menunjukkan sqlite3_result_text16 () sebagai fungsi berbahaya

DLL yang ditambal akan membaca dan mendekripsi shellcode tahap pertama untuk HijackLoader. Shellcode yang didekripsi akan mendekripsi file PNG yang berisi komponen HijackLoader. HijackLoader menggunakan berbagai modul untuk meningkatkan fungsionalitas.

Tabel berikut mencantumkan modul yang dikenal serta fungsinya:

Nama

Fungsionalitas

AVDATA

Modul daftar blokir, yang memeriksa nama proses yang diketahui terkait dengan perangkat lunak keamanan.

ESAL

Mengeksekusi muatan akhir.

ESLDR

Digunakan untuk menyuntikkan dan mengeksekusi shellcode yang terkait dengan HijackLoader.

ESWR

Menghapus shellcode dari memori dan mengeksekusi modul "rshell".

FIXED

File yang dapat dieksekusi yang sah yang digunakan untuk injeksi proses.

LaunchLdr

Mendekripsi file PNG HijackLoader untuk mengekstrak semua modul.

rshell

Menyiapkan payload akhir dalam memori dan mengeksekusinya.

ti

Melakukan injeksi kode pasca-tahap pertama.

minystub

File PE kosong yang digunakan untuk menambal dan injeksi.

modul tinyutility

Mengganti header PE dari file tertentu dengan byte nol.

Setelah semua modul selesai, HijackLoader akan menyuntikkan muatan terakhirnya ke dalam proses jarak jauh.

Detail Remcos

Analisis X-Force terhadap konfigurasi Remcos Hive0156 tampaknya jarang pada fungsionalitas yang diaktifkan. Namun, ini tidak menunjukkan ancaman yang berkurang. Versi Remcos Hive0156 terutama dikonfigurasi untuk menjalin komunikasi dengan infrastruktur C2 grup dan secara berkala menunggu perintah baru. Kelompok ini tampaknya mengoperasikan beberapa kampanye secara paralel dan mempertahankan penggunaan fitur ID kampanye Remcos dengan rajin. Sepanjang tahun 2025, X-Force mengamati ID kampanye baru hmu2005, gu2005, ra2005 dan ra2005 yang terkait dengan grup.

Remcos adalah Alat Administrasi Jarak Jauh yang dikembangkan oleh Breaking-Security.  Detail tentang fitur-fiturnya dapat ditemukan di sini.

Setelah eksekusi, Remcos akan memuat konfigurasinya dari blob di dalam sumber dayanya. Setelah selesai, Remcos akan mengurai konfigurasinya, yang menentukan tindakan apa yang akan diambil selama eksekusi.

Remcos menerima parameter konfigurasi berikut:

ID Konfigurasi

Fungsi

0x0

Berisi alamat C2.

0x1

Berisi pengenal untuk kampanye.

0x2

Menentukan seberapa sering Remcos harus terhubung ke C2.

0x3

Instal Remcos setelah dijalankan.  Instalasi termasuk memindahkannya ke lokasi khusus.

0x4

0x5

Mengaktifkan persistensi menggunakan HKLM dan Software\Microsoft\Windows\CurrentVersion\Run

0x7

Ukuran file maksimum untuk data keylogger sebelum diputar.

0x8

Mengaktifkan persistensi menggunakan kunci registri HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run.

0x9

Direktori untuk menempatkan Remcos selama instalasi.

0xA

Nama file untuk pindah Remcos selama instalasi.

0xC

Aktifkan atribut file tersembunyi dan atur file terkait sebagai baca-saja.

0xE

Nama mutex.

0xF

Menentukan apakah keylogger dinonaktifkan, diaktifkan sepenuhnya atau diaktifkan hanya untuk jendela tertentu.

0x10

Digunakan untuk menentukan di mana keylog disimpan.

0x11

Digunakan untuk menentukan nama file untuk keylog.

0x12

Mengontrol enkripsi RC4 untuk keylog.

0x13

Kontrol bersembunyi untuk file keylogger.

0x14

Mengaktifkan atau menonaktifkan fungsi perekaman layar.

0x15

Interval dalam menit untuk menangkap setiap tangkapan layar.

0x16

Hanya merekam tangkapan layar untuk nama jendela tertentu jika diaktifkan.

0x17

Nama jendela untuk opsi di atas.

0x18

Interval waktu yang terkait dengan mengambil tangkapan layar dari jendela tertentu.

0x19

Direktori induk untuk menyimpan tangkapan layar.

0x23

Mengaktifkan atau menonaktifkan rekaman audio.

0x24

Durasi dalam detik untuk setiap rekaman audio.

0x25

Direktori induk untuk menyimpan rekaman audio.

0x26

Nama folder untuk toko rekaman audio.

0x27

Menonaktifkan UAC di registri jika diaktifkan.

0x28

Mode pencatatan.  Digunakan untuk mengaktifkan atau menonaktifkan jendela konsol.

0x29

Keterlambatan dalam detik untuk upaya koneksi C2 pertama.

0x2A

Nama jendela khusus untuk fungsionalitas keylogging.

0x2B

Mengaktifkan pembersihan browser web saat startup. Remcos mampu menghapus semua cookie dan login dari Explorer, Chrome, dan Firefox seperti yang diinstruksikan oleh konfigurasi. Tujuan dari fitur ini adalah untuk menghalangi pencuri informasi, dan kemungkinan tidak banyak digunakan untuk penyerang jahat.

0x2C

Mengaktifkan pembersihan browser web pada proses pertama saja.

0x2D

Waktu tidur dalam hitungan menit sebelum membersihkan browser web.

0x2E

Mengaktifkan atau menonaktifkan fungsionalitas bypass UAC.

0x30

Direktori untuk menginstal Remcos.

0x31

Direktori untuk menyimpan keylog.

0x32

Aktifkan kemampuan pengawasan. Remcos akan menyuntikkan dirinya ke dalam proses kedua dan memantau proses aslinya sendiri. Fungsi utamanya adalah me-restart yang dapat dieksekusi primer jika dihentikan.

0x34

Nomor lisensi Remcos.

0x35

Aktifkan menampilkan pointer mouse pada setiap tangkapan layar yang diambil.

0x36

Sertifikat TLS digunakan untuk komunikasi C2.

0x37

Kunci TLS digunakan untuk komunikasi C2.

0x38

Sertifikat publik TLS untuk C2.

Bendera konfigurasi digunakan untuk menentukan apakah Remcos harus mengaktifkan fitur tertentu. Setelah Remcos mengurai konfigurasinya, ia akan mulai menghubungi server C2. Remcos dapat menerima perintah tambahan dari server C2-nya, termasuk yang berikut:

ID Perintah

Fungsionalitas

0x1

Perintah ping.

0x2

Menonaktifkan pengiriman paket keep-alive.

0x3

Mencantumkan aplikasi yang terinstal.

0x6

Mencantumkan proses yang sedang berjalan.

0x7

Mengakhiri suatu proses.

0x9

Menutup jendela.

0xA

Menampilkan jendela yang dimaksimalkan.

0xB

Menunjukkan jendela.

0xC

Mengakhiri proses dengan pegangan jendela.

0xD

Menjalankan perintah shell.

0xE

Memulai shell yang disalurkan.

0xF

Menjalankan program.

0x10

Mengunggah tangkapan layar ke server C2.

0x11

Mendapatkan lokasi IP global host.

0x12

Mendapat informasi dari fungsionalitas keylogger offline.

0x13

Memulai keylogger dalam mode online.

0x14

Menghentikan keylogger saat dimulai dalam mode online.

0x15

Mengunggah data keylogger ke C2.

0x16

Mengunggah data keylogger ke C2.

0x17

Menghapus data keylogger.

0x18

Menghapus cookie dan login browser.

0x1B

Memulai modul perekaman webcam.

0x1C

Menghentikan modul perekaman webcam.

0x1D

Mengaktifkan modul perekaman mikrofon.

0x1E

Menonaktifkan modul perekaman mikrofon.

0x1F

Upaya untuk mencuri kredensial dari berbagai program. Memanfaatkan utilitas pemulihan kata sandi Nirsoft: Nirsoft: https://www.nirsoft.net/ (Tautan berada di luar ibm.com).  

0x20

Menghapus file atau folder.

0x21

Mengakhiri prosesnya sendiri dan proses pengawas.

0x22

Menghapus instalasi Remcos dari sistem.

0x23

Mulai ulang komputer.

0x24

Memperbarui Remcos dari URL yang disediakan.

0x25

Memperbarui Remcos menggunakan server C2.

0x26

Menampilkan kotak pesan.

0x27

Menyebabkan penutupan sistem atau hibernasi terjadi.

0x28

Mengunggah data clipboard ke server C2.

0x29

Menetapkan clipboard ke data yang ditentukan C2.

0x2A

Menghapus clipboard.

0x2B

Memuat dan mengeksekusi DLL dari C2.

0x2C

Memuat dan mengeksekusi DLL dari URL yang disediakan.

0x2F

Mengedit registri berdasarkan nilai yang disediakan oleh C2.

0x30

Tampaknya memungkinkan penyerang untuk mengobrol dengan korban.

0x31

Mengatur pengidentifikasi nama Remcos.

0x32

Memungkinkan penggunaan dan pengelolaan proksi.

0x34

Memungkinkan Remcos untuk mengelola layanan sistem.

0x8F

Mencari file di sistem.

0x92

Mengatur wallpaper sistem.

0x94

Menetapkan teks jendela dan mencantumkan proses aktif dengan windows menggunakan EnumWindows ().

0x97

Mengunggah hasil perintah "dxdiag" ke server C2.

0x98

Memungkinkan Remcos mengelola file melalui tindakan seperti menyalin, memindahkan, dan menghapus.

0x99

Mengunggah data tangkapan layar ke C2.

0x9A

Membuang riwayat browser web menggunakan eksekusi Nirsoft.

0x9E

Memutar file audio "alarm.wav".  File ini diperoleh dari server C2.

0x9F

Memungkinkan pemutaran "alarm.wav" pada pemutusan C2.

0xA0

Menonaktifkan pemutaran "alarm.wav" pada pemutusan C2.

0xA2

Unduh "alarm.wav" dari server C2.

0xA3

Memutar file audio.

0xAB

Meningkatkan suatu proses.

0xAC

Mengaktifkan jendela konsol pencatatan.

0xAD

Menampilkan jendela konsol pencatatan.

0xAE

Menyembunyikan jendela konsol pencatatan.

0xB2

Menyuntikkan file yang dapat dieksekusi ke dalam proses baru dan mengeksekusinya.

0xC5

Menetapkan nilai registri.

0xC6

Mengunggah cookie dan kata sandi browser ke C2.

0xC8

Menangguhkan suatu proses.

0xC9

Melanjutkan suatu proses.

0xCA

Membaca file dan mengirim konten ke server C2.

0xCB

Menulis konten yang disediakan C2 ke file.

0xCC

Memulai keylogger dalam mode offline.

0xCD

Menghentikan keylogger saat dimulai dalam mode offline.

0xCE

Mencantumkan tabel TCP dan UDP proses.

Seperti yang ditunjukkan di atas, Remcos memiliki berbagai kemampuan, termasuk administrasi jarak jauh, eksekusi payload, surveilans, persistensi, dan info. Remcos dapat digunakan oleh administrator sistem yang sah; namun, itu juga banyak digunakan oleh berbagai aktor ancaman jahat. Tindakan yang diambil oleh Remcos pada sistem terutama didorong oleh komunikasi dengan server C2-nya. Remcos menyertakan panel GUI untuk memungkinkan penyerang mengelola beberapa korban dengan mudah dalam satu antarmuka. Antarmuka GUI memungkinkan pembuatan tugas otomatis serta berinteraksi secara manual dengan implan Remcos pada sistem korban.

Infrastruktur dan operasi

Hive0156 mengoperasikan jaringan server C2 di seluruh dunia dan kemungkinan besar mendapat manfaat dari ketidakpedulian penyedia hosting Rusia terhadap operasi grup. X-Force menemukan grup menggunakan geofencing setidaknya ke Ukraina dan meminta pemfilteran header sebagai bagian dari operasi pementasan mereka. Hive0156 menerapkan Remcos dengan fitur terbatas yang diaktifkan, tetapi terus memperbarui konfigurasinya dari C2-nya. Ini mungkin menunjukkan prioritas akses yang tidak aktif dan secara selektif mengaktifkan pengumpulan pada inisiatif baru. Pemeliharaan koneksi yang tidak terhalang antara infeksi Remcos dan infrastruktur C2 grup sangat penting untuk akses korban yang berkelanjutan.

Kesimpulan:

Hive0156 terus mengoperasikan operasi cyber berbahaya terhadap Ukraina. X-Force menilai bahwa kelompok itu terus menargetkan personel militer Ukraina tetapi mengembangkan dokumen umpan ke tema yang lebih umum, menunjukkan kumpulan korban yang lebih luas. Organisasi dan personel dalam atau dengan asosiasi dengan militer Ukraina berada pada risiko tinggi penargetan korban Hive0156.

Rekomendasi:

X-Force merekomendasikan tindakan berikut untuk mengurangi aktivitas Hive0156:

  1. Pelatihan dan kesadaran pengguna: Dorong pengguna untuk berhati-hati saat membuka email atau obrolan messenger, terutama yang berisi lampiran, atau mengklik tautan. Instruksikan mereka untuk memverifikasi identitas pengirim dan memeriksa ekstensi file sebelum membuka file apa pun.
  2. Perlindungan titik akhir: Menerapkan perangkat lunak perlindungan endpoint yang diperbarui yang dapat deteksi dan memblokir strain malware yang diketahui, seperti Remcos, bersama dengan perilaku mencurigakan. Perbarui tanda tangan malware dan pola perilaku secara teratur.
  3. Segmentasi jaringan: Segmentasikan jaringan Anda untuk membatasi gerakan lateral jika terjadi pelanggaran. Metode ini membatasi potensi kerusakan infeksi yang berhasil.
  4. Pemblokiran geografis: Menerapkan aturan pemblokiran geografis untuk mencegah koneksi ke server C2 berbahaya yang diketahui, terutama yang terkait dengan Hive0156.
  5. Pemantauan dan analisis: Secara teratur memantau dan menganalisis lalu lintas jaringan untuk setiap aktivitas atau koneksi yang tidak biasa ke IP berbahaya yang diketahui. Gunakan solusi yang menyediakan analisis perilaku dan deteksi anomali.
  6. Manajemen patch: Pastikan semua sistem dan aplikasi diperbarui dengan patch terbaru. Banyak eksploitasi yang digunakan oleh aktor ancaman memanfaatkan kerentanan yang diketahui dan telah ditambal.
  7. Rencana respons insiden: Mengembangkan dan memperbarui secara teratur rencana respons insiden. Solusi ini memastikan bahwa jika terjadi pelanggaran, Anda dapat merespons dengan cepat dan efektif.
  8. Penggunaan alat keamanan: Gunakan alat keamanan yang dapat deteksi dan memblokir skrip PowerShell berbahaya dan file LNK, karena ini adalah mekanisme pengiriman awal yang umum untuk Hive0156.

Indikator kompromi

Indikator

Jenis Indikator

Konteks

5.101.83[.]18

Alamat IP

C2

5.101.83[.]19

Alamat IP

C2

5.101.82[.]52

Alamat IP

C2

146.185.239[.]11

Alamat IP

C2

146.185.239[.]12

Alamat IP

C2

5.101.80[.]15

Alamat IP

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

LNK berbahaya

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

LNK berbahaya

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

LNK berbahaya

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

LNK berbahaya

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

LNK berbahaya

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

LNK berbahaya

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

LNK berbahaya

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

LNK berbahaya

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

LNK berbahaya

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

LNK berbahaya

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

LNK berbahaya

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

LNK berbahaya

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

LNK berbahaya

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

LNK berbahaya

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

LNK berbahaya

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

LNK berbahaya

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

LNK berbahaya

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

LNK berbahaya

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

PowerShell Berbahaya

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

