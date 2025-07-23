Pada awal Juli 2025, IBM® X-Force sedang memantau kampanye Hive0156 Remcos Remote Access Trojan (RAT) aktif yang menargetkan korban di Ukraina. Hive0156 adalah aktor ancaman yang bersekutu dengan Rusia yang berusaha mengompromikan individu dalam pemerintah atau militer Ukraina. Alat, Taktik dan Prosedur (TTP) kelompok ini sangat tumpang tindih dengan aktor UAC-0184 CERT-UA. Hive0156 memberikan file Microsoft LNK dan PowerShell yang dipersenjatai, yang mengarah ke pengunduhan dan eksekusi Remcos RAT. X-Force mengamati dokumen umpan kunci yang menampilkan tema yang menunjukkan fokus pada militer Ukraina dan berkembang ke audiens yang lebih luas.
Hive0156 adalah aktor ancaman yang bersekutu dengan Rusia yang terutama menggunakan malware dan dokumen umpan untuk mengekstrasi kampanye siber berbahaya di Ukraina. Dilaporkan sepanjang tahun 2024, Hive0156 menargetkan obrolan dan personel sinyal militer Ukraina dengan mengirimkan file LNK berbahaya atau skrip PowerShell, yang menyebabkan infeksi Remcos. Kelompok ini menggunakan tema dokumen umpan yang sangat relevan bagi personel yang peduli dengan postur operasional militer Ukraina.
Menjelang pertengahan 2025, penggunaan luas tema militer yang relevan oleh Hive0156 untuk dokumen umpan menunjukkan minat prioritas dalam menargetkan anggota militer Ukraina. Dokumen umpan dalam kampanye sering kali berupa file data yang rusak atau sampah, tetapi mengungkap tema yang dipilih oleh kelompok untuk menarik keterlibatan korban. Nama file sering ditemukan dalam bentuk transliterasi Rusia atau Ukraina. Disorot di bawah ini adalah dokumen yang digunakan oleh Hive0156 dalam operasi mereka sebelum Pertengahan 2025.
Mekanisasi ke- 33 adalah Brigade Angkatan Darat Ukraina. Pada akhir 2024, pasukan ke-33 berpartisipasi dalam operasi tempur di Kurakhove dan kemudian garis depan Heorhiivka dan Vuhledar. Umpannya adalah dokumen Excel fungsional yang tidak diautentikasi dengan berbagai metrik yang umumnya mengomunikasikan tingkat berbagai sumber daya.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx dapat merujuk pada perintah kesiapan dan mungkin berhubungan dengan Mechanized Brigade ke-33. Nama file mengacu pada kesiapan batalion mekanis pertama, batalyon resmi di batalion ke-33.
Pada bulan Juni 2024, CERT-UA melaporkan UAC-0184 mengirimkan file berbahaya yang memiliki fitur Brigade Penyerangan Terpisah ke-3 Ukraina, yang menyebabkan rantai serangan serupa.
Buletin Think
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Diterjemahkan oleh mesin, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc mengacu pada distribusi staf operasional. Mengingat tema masa perang yang konsisten, kemungkinan ini mengacu pada jumlah pasukan.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx diterjemahkan dari bahasa Rusia, dan merupakan dokumen Excel yang fungsional. File ini terdiri atas pemetaan koordinat ke Zanjan Providence of Iran. Setelah memeriksa koordinat, lokasi tampaknya sebagian besar terdiri dari lahan pertanian di dekat sumber irigasi seperti Sungai Tikmeh Dash.
Pada pertengahan 2025, X-Force mengamati dokumen umpan bahasa Ukraina yang ditransliterasi yang menampilkan fitur yang terkait dengan “petisi”, “surat pengantar resmi” atau “penolakan formal”. Ini merupakan perubahan dari penekanan kelompok ini pada tema militer ke audiens yang lebih umum. Dokumen umpan yang diamati setelah pertengahan tahun 2025 umumnya rusak atau berisi data sampah.
Pada awal Juli 2025, grup melanjutkan mengirimkan Remcos sebagai muatan akhir utama mereka dan telah menyederhanakan pengiriman mereka sejak 2024. Kampanye Hive0156 terbaru dimulai dengan file LNK atau PowerShell tahap pertama yang dipersenjatai. Setelah eksekusi, tahap pertama mencoba menghubungi infrastruktur perintah-dan-kontrol (C2) aktor untuk mengambil dokumen umpan dan arsip zip file berbahaya. Komunikasi ke server C2 difilter berdasarkan wilayah geografis dan agen pengguna yang diharapkan. Setelah berhasil diambil, dokumen umpan disajikan kepada pengguna, tetapi sering kali rusak. Di latar belakang, contoh Hijackloader (a.k.a. IDAT Loader) dieksekusi dan mengirimkan Remcos RAT.
Dalam kampanye baru-baru ini, Hive0156 mengganti infeksi tahap pertama antara file LNK atau PowerShell berbahaya. Fungsionalitas kedua jenis setara. Eksekusi tahap pertama sangat penting untuk pengiriman malware loader grup mereka, yang diunduh dalam arsip zip. Kedua jenis tahap pertama mengeksekusi rantai infeksi HijackLoader di latar belakang sambil menyajikan dokumen umpan kepada pengguna.
Salah satu perbedaan utama antara kampanye bergaya LNK dan PowerShell adalah pengiriman dokumen umpan. Dalam kampanye berbasis LNK, dua permintaan C2 terpisah dimulai untuk mengunduh dokumen umpan dan arsip ZIP HijackLoader. Dalam kampanye berbasis PowerShell, satu panggilan untuk mengunduh file ZIP HijackLoader dimulai dan berisi dokumen umpan. Perbedaan ini dapat membantu pembela jaringan mengidentifikasi jenis infeksi tahap pertama yang ditemui.
Eksekusi HijackLoader berfungsi sebagai mekanisme pengiriman grup untuk Remcos. Juga dikenal sebagai IDAT Loader, HijackLoader mereferensikan file data yang ditempatkan bersama dalam zip tahap pertama untuk mengungkap payload akhir – Remcos.
Aktor ancaman mengemas HijackLoader dalam file ZIP. File ZIP HijackLoader berisi beberapa komponen, semua harus ada untuk Lanjutkan rantai infeksi.
Komponen berikut biasanya ada dalam file ZIP HijackLoader:
Dalam contoh ini, file yang berkaitan dengan HijackLoader dikemas dalam file ZIP bernama premo.zip. PortRemo.exe yang dapat dieksekusi yang sah dieksekusi oleh file LNK awal, yang akan memuat DLL berbahaya yang ditambal sqlite3.dll.
Gambar berikut menunjukkan tabel impor untuk PortRemo.exe. Pada titik tertentu selama eksekusi, salah satu fungsi ini akan dipanggil dan akhirnya mengarah ke kode berbahaya dalam sqlite3.dll.
Dalam contoh ini, sqlite3_result_text16() adalah fungsi berbahaya. HijackLoader akan menggunakan tabel ekspor untuk mencegah IDA menganalisis file dengan benar.
DLL yang ditambal akan membaca dan mendekripsi shellcode tahap pertama untuk HijackLoader. Shellcode yang didekripsi akan mendekripsi file PNG yang berisi komponen HijackLoader. HijackLoader menggunakan berbagai modul untuk meningkatkan fungsionalitas.
Tabel berikut mencantumkan modul yang dikenal serta fungsinya:
Nama
Fungsionalitas
AVDATA
Modul daftar blokir, yang memeriksa nama proses yang diketahui terkait dengan perangkat lunak keamanan.
ESAL
Mengeksekusi muatan akhir.
ESLDR
Digunakan untuk menyuntikkan dan mengeksekusi shellcode yang terkait dengan HijackLoader.
ESWR
Menghapus shellcode dari memori dan mengeksekusi modul "rshell".
FIXED
File yang dapat dieksekusi yang sah yang digunakan untuk injeksi proses.
LaunchLdr
Mendekripsi file PNG HijackLoader untuk mengekstrak semua modul.
rshell
Menyiapkan payload akhir dalam memori dan mengeksekusinya.
ti
Melakukan injeksi kode pasca-tahap pertama.
minystub
File PE kosong yang digunakan untuk menambal dan injeksi.
modul tinyutility
Mengganti header PE dari file tertentu dengan byte nol.
Setelah semua modul selesai, HijackLoader akan menyuntikkan muatan terakhirnya ke dalam proses jarak jauh.
Analisis X-Force terhadap konfigurasi Remcos Hive0156 tampaknya jarang pada fungsionalitas yang diaktifkan. Namun, ini tidak menunjukkan ancaman yang berkurang. Versi Remcos Hive0156 terutama dikonfigurasi untuk menjalin komunikasi dengan infrastruktur C2 grup dan secara berkala menunggu perintah baru. Kelompok ini tampaknya mengoperasikan beberapa kampanye secara paralel dan mempertahankan penggunaan fitur ID kampanye Remcos dengan rajin. Sepanjang tahun 2025, X-Force mengamati ID kampanye baru hmu2005, gu2005, ra2005 dan ra2005 yang terkait dengan grup.
Remcos adalah Alat Administrasi Jarak Jauh yang dikembangkan oleh Breaking-Security. Detail tentang fitur-fiturnya dapat ditemukan di sini.
Setelah eksekusi, Remcos akan memuat konfigurasinya dari blob di dalam sumber dayanya. Setelah selesai, Remcos akan mengurai konfigurasinya, yang menentukan tindakan apa yang akan diambil selama eksekusi.
Remcos menerima parameter konfigurasi berikut:
ID Konfigurasi
Fungsi
0x0
Berisi alamat C2.
0x1
Berisi pengenal untuk kampanye.
0x2
Menentukan seberapa sering Remcos harus terhubung ke C2.
0x3
Instal Remcos setelah dijalankan. Instalasi termasuk memindahkannya ke lokasi khusus.
0x4
0x5
Mengaktifkan persistensi menggunakan HKLM dan Software\Microsoft\Windows\CurrentVersion\Run
0x7
Ukuran file maksimum untuk data keylogger sebelum diputar.
0x8
Mengaktifkan persistensi menggunakan kunci registri HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run.
0x9
Direktori untuk menempatkan Remcos selama instalasi.
0xA
Nama file untuk pindah Remcos selama instalasi.
0xC
Aktifkan atribut file tersembunyi dan atur file terkait sebagai baca-saja.
0xE
Nama mutex.
0xF
Menentukan apakah keylogger dinonaktifkan, diaktifkan sepenuhnya atau diaktifkan hanya untuk jendela tertentu.
0x10
Digunakan untuk menentukan di mana keylog disimpan.
0x11
Digunakan untuk menentukan nama file untuk keylog.
0x12
Mengontrol enkripsi RC4 untuk keylog.
0x13
Kontrol bersembunyi untuk file keylogger.
0x14
Mengaktifkan atau menonaktifkan fungsi perekaman layar.
0x15
Interval dalam menit untuk menangkap setiap tangkapan layar.
0x16
Hanya merekam tangkapan layar untuk nama jendela tertentu jika diaktifkan.
0x17
Nama jendela untuk opsi di atas.
0x18
Interval waktu yang terkait dengan mengambil tangkapan layar dari jendela tertentu.
0x19
Direktori induk untuk menyimpan tangkapan layar.
0x23
Mengaktifkan atau menonaktifkan rekaman audio.
0x24
Durasi dalam detik untuk setiap rekaman audio.
0x25
Direktori induk untuk menyimpan rekaman audio.
0x26
Nama folder untuk toko rekaman audio.
0x27
Menonaktifkan UAC di registri jika diaktifkan.
0x28
Mode pencatatan. Digunakan untuk mengaktifkan atau menonaktifkan jendela konsol.
0x29
Keterlambatan dalam detik untuk upaya koneksi C2 pertama.
0x2A
Nama jendela khusus untuk fungsionalitas keylogging.
0x2B
Mengaktifkan pembersihan browser web saat startup. Remcos mampu menghapus semua cookie dan login dari Explorer, Chrome, dan Firefox seperti yang diinstruksikan oleh konfigurasi. Tujuan dari fitur ini adalah untuk menghalangi pencuri informasi, dan kemungkinan tidak banyak digunakan untuk penyerang jahat.
0x2C
Mengaktifkan pembersihan browser web pada proses pertama saja.
0x2D
Waktu tidur dalam hitungan menit sebelum membersihkan browser web.
0x2E
Mengaktifkan atau menonaktifkan fungsionalitas bypass UAC.
0x30
Direktori untuk menginstal Remcos.
0x31
Direktori untuk menyimpan keylog.
0x32
Aktifkan kemampuan pengawasan. Remcos akan menyuntikkan dirinya ke dalam proses kedua dan memantau proses aslinya sendiri. Fungsi utamanya adalah me-restart yang dapat dieksekusi primer jika dihentikan.
0x34
Nomor lisensi Remcos.
0x35
Aktifkan menampilkan pointer mouse pada setiap tangkapan layar yang diambil.
0x36
Sertifikat TLS digunakan untuk komunikasi C2.
0x37
Kunci TLS digunakan untuk komunikasi C2.
0x38
Sertifikat publik TLS untuk C2.
Bendera konfigurasi digunakan untuk menentukan apakah Remcos harus mengaktifkan fitur tertentu. Setelah Remcos mengurai konfigurasinya, ia akan mulai menghubungi server C2. Remcos dapat menerima perintah tambahan dari server C2-nya, termasuk yang berikut:
ID Perintah
Fungsionalitas
0x1
Perintah ping.
0x2
Menonaktifkan pengiriman paket keep-alive.
0x3
Mencantumkan aplikasi yang terinstal.
0x6
Mencantumkan proses yang sedang berjalan.
0x7
Mengakhiri suatu proses.
0x9
Menutup jendela.
0xA
Menampilkan jendela yang dimaksimalkan.
0xB
Menunjukkan jendela.
0xC
Mengakhiri proses dengan pegangan jendela.
0xD
Menjalankan perintah shell.
0xE
Memulai shell yang disalurkan.
0xF
Menjalankan program.
0x10
Mengunggah tangkapan layar ke server C2.
0x11
Mendapatkan lokasi IP global host.
0x12
Mendapat informasi dari fungsionalitas keylogger offline.
0x13
Memulai keylogger dalam mode online.
0x14
Menghentikan keylogger saat dimulai dalam mode online.
0x15
Mengunggah data keylogger ke C2.
0x16
Mengunggah data keylogger ke C2.
0x17
Menghapus data keylogger.
0x18
Menghapus cookie dan login browser.
0x1B
Memulai modul perekaman webcam.
0x1C
Menghentikan modul perekaman webcam.
0x1D
Mengaktifkan modul perekaman mikrofon.
0x1E
Menonaktifkan modul perekaman mikrofon.
0x1F
Upaya untuk mencuri kredensial dari berbagai program. Memanfaatkan utilitas pemulihan kata sandi Nirsoft: Nirsoft: https://www.nirsoft.net/ (Tautan berada di luar ibm.com).
0x20
Menghapus file atau folder.
0x21
Mengakhiri prosesnya sendiri dan proses pengawas.
0x22
Menghapus instalasi Remcos dari sistem.
0x23
Mulai ulang komputer.
0x24
Memperbarui Remcos dari URL yang disediakan.
0x25
Memperbarui Remcos menggunakan server C2.
0x26
Menampilkan kotak pesan.
0x27
Menyebabkan penutupan sistem atau hibernasi terjadi.
0x28
Mengunggah data clipboard ke server C2.
0x29
Menetapkan clipboard ke data yang ditentukan C2.
0x2A
Menghapus clipboard.
0x2B
Memuat dan mengeksekusi DLL dari C2.
0x2C
Memuat dan mengeksekusi DLL dari URL yang disediakan.
0x2F
Mengedit registri berdasarkan nilai yang disediakan oleh C2.
0x30
Tampaknya memungkinkan penyerang untuk mengobrol dengan korban.
0x31
Mengatur pengidentifikasi nama Remcos.
0x32
Memungkinkan penggunaan dan pengelolaan proksi.
0x34
Memungkinkan Remcos untuk mengelola layanan sistem.
0x8F
Mencari file di sistem.
0x92
Mengatur wallpaper sistem.
0x94
Menetapkan teks jendela dan mencantumkan proses aktif dengan windows menggunakan EnumWindows ().
0x97
Mengunggah hasil perintah "dxdiag" ke server C2.
0x98
Memungkinkan Remcos mengelola file melalui tindakan seperti menyalin, memindahkan, dan menghapus.
0x99
Mengunggah data tangkapan layar ke C2.
0x9A
Membuang riwayat browser web menggunakan eksekusi Nirsoft.
0x9E
Memutar file audio "alarm.wav". File ini diperoleh dari server C2.
0x9F
Memungkinkan pemutaran "alarm.wav" pada pemutusan C2.
0xA0
Menonaktifkan pemutaran "alarm.wav" pada pemutusan C2.
0xA2
Unduh "alarm.wav" dari server C2.
0xA3
Memutar file audio.
0xAB
Meningkatkan suatu proses.
0xAC
Mengaktifkan jendela konsol pencatatan.
0xAD
Menampilkan jendela konsol pencatatan.
0xAE
Menyembunyikan jendela konsol pencatatan.
0xB2
Menyuntikkan file yang dapat dieksekusi ke dalam proses baru dan mengeksekusinya.
0xC5
Menetapkan nilai registri.
0xC6
Mengunggah cookie dan kata sandi browser ke C2.
0xC8
Menangguhkan suatu proses.
0xC9
Melanjutkan suatu proses.
0xCA
Membaca file dan mengirim konten ke server C2.
0xCB
Menulis konten yang disediakan C2 ke file.
0xCC
Memulai keylogger dalam mode offline.
0xCD
Menghentikan keylogger saat dimulai dalam mode offline.
0xCE
Mencantumkan tabel TCP dan UDP proses.
Seperti yang ditunjukkan di atas, Remcos memiliki berbagai kemampuan, termasuk administrasi jarak jauh, eksekusi payload, surveilans, persistensi, dan info. Remcos dapat digunakan oleh administrator sistem yang sah; namun, itu juga banyak digunakan oleh berbagai aktor ancaman jahat. Tindakan yang diambil oleh Remcos pada sistem terutama didorong oleh komunikasi dengan server C2-nya. Remcos menyertakan panel GUI untuk memungkinkan penyerang mengelola beberapa korban dengan mudah dalam satu antarmuka. Antarmuka GUI memungkinkan pembuatan tugas otomatis serta berinteraksi secara manual dengan implan Remcos pada sistem korban.
Hive0156 mengoperasikan jaringan server C2 di seluruh dunia dan kemungkinan besar mendapat manfaat dari ketidakpedulian penyedia hosting Rusia terhadap operasi grup. X-Force menemukan grup menggunakan geofencing setidaknya ke Ukraina dan meminta pemfilteran header sebagai bagian dari operasi pementasan mereka. Hive0156 menerapkan Remcos dengan fitur terbatas yang diaktifkan, tetapi terus memperbarui konfigurasinya dari C2-nya. Ini mungkin menunjukkan prioritas akses yang tidak aktif dan secara selektif mengaktifkan pengumpulan pada inisiatif baru. Pemeliharaan koneksi yang tidak terhalang antara infeksi Remcos dan infrastruktur C2 grup sangat penting untuk akses korban yang berkelanjutan.
Hive0156 terus mengoperasikan operasi cyber berbahaya terhadap Ukraina. X-Force menilai bahwa kelompok itu terus menargetkan personel militer Ukraina tetapi mengembangkan dokumen umpan ke tema yang lebih umum, menunjukkan kumpulan korban yang lebih luas. Organisasi dan personel dalam atau dengan asosiasi dengan militer Ukraina berada pada risiko tinggi penargetan korban Hive0156.
X-Force merekomendasikan tindakan berikut untuk mengurangi aktivitas Hive0156:
Indikator
Jenis Indikator
Konteks
5.101.83[.]18
Alamat IP
C2
5.101.83[.]19
Alamat IP
C2
5.101.82[.]52
Alamat IP
C2
146.185.239[.]11
Alamat IP
C2
146.185.239[.]12
Alamat IP
C2
5.101.80[.]15
Alamat IP
C2
6637405265adc8b
SHA256
LNK berbahaya
46d633c2937eeca2
SHA256
LNK berbahaya
14515e5498d3d3219e
SHA256
LNK berbahaya
37d2f3d3af2d564d6f9
SHA256
LNK berbahaya
842d1e27d919a0ef568
SHA256
LNK berbahaya
ccf6d3eaea549b8f1f02
SHA256
LNK berbahaya
63e9fa71789996cf52b
SHA256
LNK berbahaya
1f157d473ccfe51a22a0
SHA256
LNK berbahaya
002e2e591f324ebdfa2
SHA256
LNK berbahaya
c38beb137b130c00b6
SHA256
LNK berbahaya
6cd56f7f1f8c7c422c672
SHA256
LNK berbahaya
44448993bbe5931c62
SHA256
LNK berbahaya
d9d26d19da539b0adc
SHA256
LNK berbahaya
7efbfd633d469405c66
SHA256
LNK berbahaya
9b662720f48749f5b29d
SHA256
LNK berbahaya
8556f07ceb37e726a66c
SHA256
LNK berbahaya
9d95228173bf5f29bc3d2
SHA256
LNK berbahaya
6c5a89c3dd7b596fd1be
SHA256
LNK berbahaya
2387e5e7f1eebfa1c27f95
SHA256
PowerShell Berbahaya
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
IBM® X-Force Premier intelijen ancaman sekarang terintegrasi dengan OpenCTI oleh Filigran, memberikan intelijen ancaman yang dapat ditindaklanjuti tentang aktivitas ancaman ini dan banyak lagi. Akses insight tentang aktor ancaman, malware, dan risiko industri. Pasang X-Force OpenCTI Connector untuk meningkatkan deteksi dan respons, memperkuat keamanan siber Anda dengan keahlian IBM® X-Force. Dapatkan uji coba X-Force Premier intelijen ancaman 30 Hari sekarang!
Pahami ancaman terbaru dan perkuat pertahanan cloud Anda dengan Laporan lingkungan Ancaman X-Force Cloud.
Pelajari cara mengelola tantangan dan memanfaatkan ketahanan AI generatif dalam keamanan siber.
Lindungi organisasi Anda dari ancaman global dengan tim peretas, perespons, peneliti, dan analis IBM X-Force yang berfokus pada ancaman.
Gunakan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Lindungi lingkungan seluler Anda dengan solusi pertahanan ancaman seluler IBM MaaS360 yang komprehensif.
Dapatkan solusi manajemen ancaman yang komprehensif, yang secara ahli melindungi bisnis Anda dari serangan siber.