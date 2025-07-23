Tag
Protezione

Hive0156 continua le campagne di Remcos contro l'Ucraina

Due uomini che lavorano sui computer nella sala server

Autori

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

A partire dall'inizio di luglio 2025, IBM X-Force sta monitorando campagne attive del trojan di accesso remoto (RAT) Remcos del gruppo Hive0156, che prendono di mira vittime in Ucraina. Hive0156 è un attore delle minacce allineato alla Russia che cerca di compromettere individui all'interno del governo ucraino o dell'esercito. Gli strumenti, le tattiche e le procedure (TTP) del gruppo si sovrappongono fortemente all'attore UAC-0184 di CERT-UA. Hive0156 fornisce file Microsoft LNK e PowerShell armati, portando al download e all'esecuzione del RAT Remcos. X-Force ha osservato documenti esca che presentano temi che suggeriscono un focus sull'esercito ucraino e che si evolvono verso un potenziale destinatario più ampio.

Risultati principali: 

  • Hive0156 continua a distribuire il RAT Remcos in tutta l'Ucraina
  • I temi dei documenti esca sono altamente rilevanti per il personale militare ucraino
  • L'accesso alle infrastrutture ucraine rimane una priorità chiave per gli attori allineati con la Russia

Analisi

Hive0156 è un attore delle minacce allineato alla Russia, che utilizza principalmente malware e documenti esca per orchestrare campagne informatiche dannose in Ucraina. Segnalato nel corso del 2024, Hive0156 ha preso di mira le chat e il personale militare ucraino inviando file LNK o script PowerShell dannosi, causando infezioni Remcos. Il gruppo utilizza temi di documenti esca altamente rilevanti per il personale coinvolto nella postura operativa dell'esercito ucraino.

Temi precedenti a metà 2025

In vista della metà del 2025, l'uso diffuso da parte di Hive0156 di temi militari rilevanti per documenti esca suggerisce un interesse prioritario nel colpire membri delle forze armate ucraine. I documenti esca nelle campagne sono spesso file di dati corrotti o spazzatura, ma rivelano temi selezionati dal gruppo per attirare il coinvolgimento delle vittime. I nomi dei file si trovano spesso in forme traslitterate in russo o ucraino. Di seguito sono evidenziati i documenti utilizzati da Hive0156 nelle operazioni precedenti alla metà del 2025.

Perdite in tempo di guerra

schermata della miniatura di uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

La 33a Brigata meccanizzata è un'unità delle Forze terrestri ucraine. Verso la fine del 2024, la 33a Brigata ha partecipato alle operazioni di combattimento a Kurakhove e successivamente sulle linee del fronte di Heorhiivka e Vuhledar. L'esca è un documento funzionale Excel non autenticato con varie metriche che generalmente comunicano i livelli delle varie risorse.

schermata del documento ucraino utilizzato da Hive0156
Figura 1: Documento ucraino utilizzato da Hive0156

Controllo di prontezza del battaglione

schermata della miniatura di Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx può riferirsi a un ordine di prontezza e possibilmente riferirsi alla 33a Brigata meccanizzata. Il nome del file si riferisce alla preparazione del primo battaglione meccanizzato, un battaglione ufficiale all'interno del 33a Brigata.

Nel giugno 2024, CERT-UA ha segnalato che UAC-0184 distribuiva file dannosi che presentavano la 3ª Brigata d'assalto autonoma dell'Ucraina, dando luogo a catene di attacco simili.

Calcolo della distribuzione del personale

schermata della miniatura di Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Tradotto automaticamente, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc si riferisce alla distribuzione dello staff operativo. Considerati i temi ricorrenti del periodo bellico, è probabile che si riferisca al numero delle truppe.

Possibili posizioni del nemico

schermata della miniatura di Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx è tradotto dal russo ed è un documento Excel funzionale. Il file è costituito da coordinate che mappano la provincia di Zanjan, in Iran. Da un'ispezione delle coordinate, sembra che le località siano per lo più costituite da terreni agricoli vicino a fonti di irrigazione come il fiume Tikmeh Dash.

File Excel con coordinate riferite al Nord dell'Iran
Figura 2: File Excel con coordinate riferite al Nord dell'Iran
Posizione generale delle coordinate nel documento esca
Figura 3: Posizione generale delle coordinate nel documento esca

Temi di metà 2025

A partire dalla metà del 2025, X-Force sta osservando documenti esca in lingua ucraina che presentano caratteristiche relative a "petizioni", "lettere di presentazione ufficiali" o "rifiuti formali". Si tratta di un allontanamento dall'enfasi del gruppo sui temi militari per un destinatario più generale. I documenti esca osservati dopo la metà del 2025 sono generalmente corrotti o pieni di dati inutili.

Catena d'attacco

All'inizio di luglio 2025, il gruppo continua a fornire Remcos come payload finale principale e ne ha semplificato la distribuzione dal 2024. Le campagne recenti di Hive0156 iniziano con un file LNK o PowerShell di prima fase armato. Al momento dell'esecuzione, la prima fase tenta di contattare l'infrastruttura di comando e controllo (C2) dell'attore per recuperare il documento esca e l'archivio zip dei file dannosi. La comunicazione con il server C2 è filtrata per regione geografica e per un user-agent atteso. Dopo il recupero riuscito, il documento esca viene presentato all'utente, ma spesso viene corrotto. In background, un'istanza di Hijackloader (noto anche come IDAT Loader) viene eseguita e distribuisce il RAT Remcos.

Esempio di una catena di attacco Hive0156
Figura 4: Catena di attacco Hive0156

Dettagli di prima fase

Nelle campagne recenti, Hive0156 alterna le sue infezioni di prima fase tra file LNK o PowerShell dannosi. La funzionalità di entrambi i tipi è equivalente. L'esecuzione della prima fase è critica per la distribuzione del malware del gruppo, che viene scaricato in un archivio zip.  Entrambi i tipi di prima fase eseguono una catena di infezione HijackLoader in background, mentre presentano all'utente un documento esca.

Una differenza fondamentale tra le campagne LNK e quelle in stile PowerShell è la distribuzione del documento esca. Nelle campagne basate su LNK, vengono avviate due richieste C2 separate per scaricare il documento esca e l'archivio ZIP di HijackLoader. Nelle campagne basate su PowerShell, viene avviata una chiamata per scaricare il file ZIP di HijackLoader che contiene il documento esca. Questa distinzione può aiutare i difensori della rete a identificare il tipo di infezione di prima fase riscontrato.

Dettagli di HijackLoader (noto anche come IDAT Loader)

L'esecuzione di HijackLoader serve come meccanismo di distribuzione del gruppo per Remcos. Noto anche come IDAT Loader, HijackLoader fa riferimento ai file di dati collocati nello zip di prima fase per sbrogliare il payload finale: Remcos.

L'attore delle minacce impacchetta HijackLoader in un file ZIP. I file ZIP di HijackLoader contengono più componenti, tutti necessari per continuare la catena di infezione.

esempio di file ZIP di HijackLoader che contengono più componenti, tutti necessari per continuare la catena di infezione

I seguenti componenti sono normalmente presenti all'interno di un file ZIP di HijackLoader:

  • Un file eseguibile legittimo che di solito è firmato da un certificato valido. (In questo caso, PortRemo.exe)
  • I file DLL legittimi sono necessari per eseguire il file eseguibile legittimo. (In questo caso, Tools.dll)
  • Un file DLL patchato che contiene codice che carica ulteriori fasi di HijackLoader. (In questo caso, sqlite3.dll)
  • Un file PNG che contiene i moduli criptati e il payload finale per HijackLoader. Di solito il nome del file PNG è casuale. (In questo caso, Churtseechang.vky)
  • Un file contenente shellcode criptato, anch'esso denominato casualmente. (In questo caso, Weertijeegdoob.jm)

In questo esempio, i file relativi a HijackLoader erano impacchettati in un file ZIP chiamato premo.zip.  Il file eseguibile legittimo PortRemo.exe viene eseguito dal file LNK iniziale, che caricherà il file DLL patchato dannoso sqlite3.dll.

L'immagine seguente mostra la tabella di importazione per PortRemo.exe.  A un certo punto durante l'esecuzione, una di queste funzioni verrà chiamata e alla fine porterà al codice dannoso all'interno di sqlite3.dll.

schermata della tabella di importazione per PortRemo.exe

In questo esempio, sqlite3_result_text16() è la funzione dannosa. HijackLoader utilizzerà la tabella di esportazione per impedire a IDA di analizzare correttamente il file.

esempio che mostra sqlite3_result_text16() come funzione dannosa

Il file DLL patchato leggerà e decifrerà lo shellcode di prima fase per HijackLoader. Lo shellcode decifrato procederà a decrittare il file PNG contenente i componenti di HijackLoader. HijackLoader utilizza vari moduli per una funzionalità migliorata.

La seguente tabella elenca i moduli noti così come le loro funzionalità:

Nome

Funzionalità

AVDATA

Modulo di blocklist che controlla i nomi dei processi noti per essere associati a software di sicurezza.

ESAL

Esegue il payload finale.

ESLDR

Usato per iniettare ed eseguire shellcode correlato a HijackLoader.

ESWR

Rimuove lo shellcode dalla memoria ed esegue il modulo "rshell".

FIXED

Un file eseguibile legittimo utilizzato per l'injection di processi.

LaunchLdr

Decritta il file PNG di HijackLoader per estrarre tutti i moduli.

rshell

Imposta il payload finale in memoria e lo esegue.

ti

Esegue l'injection di codice dopo la prima fase.

tinystub

Un file PE vuoto usato per patch e injection.

tinyutilitymodule

Sovrascrive gli header PE dei file specificati con byte nulli.

Una volta completati tutti i moduli, HijackLoader inietterà il payload finale in un processo remoto.

Dettagli di Remcos

L'analisi di X-Force sulla configurazione di Remcos da parte di Hive0156 sembra mostrare poche funzionalità abilitate. Tuttavia, ciò non indica una diminuzione della minaccia. La versione di Remcos di Hive0156 è principalmente configurata per stabilire comunicazione con l'infrastruttura C2 del gruppo e attendere periodicamente nuovi comandi. Sembra che il gruppo gestisca più campagne in parallelo e utilizzi con diligenza la funzionalità ID campagna di Remcos. Nel corso del 2025, X-Force ha osservato gli ID campagna hmu2005, gu2005, ra2005 ra2005new associati al gruppo.

Remcos è uno strumento di amministrazione remota sviluppato da Breaking-Security.  I dettagli sulle sue caratteristiche sono disponibili qui.

Al momento dell'esecuzione, Remcos caricherà la sua configurazione da un blob all'interno delle sue risorse. Una volta completato, Remcos analizzerà la sua configurazione, che determina quali azioni intraprenderà durante l'esecuzione.

Remcos accetta i seguenti parametri di configurazione:

ID configurazione

Funzione

0x0

Contiene indirizzi C2.

0x1

Contiene un identificatore per la campagna.

0x2

Determina la frequenza con cui Remcos deve collegarsi a C2.

0x3

Installa Remcos una volta eseguito.  L'installazione include lo spostamento in una posizione speciale.

0x4

0x5

Abilita la persistenza utilizzando HKLM e HKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

Dimensione massima del file per i dati del keylogger prima della rotazione.

0x8

Abilita la persistenza utilizzando la chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

0x9

Directory per posizionare Remcos durante l'installazione.

0xA

Nome del file in cui spostare Remcos durante l'installazione.

0xC

Abilita l'attributo file nascosto e imposta i file associati come di sola lettura.

0xE

Un nome mutex.

0xF

Determina se il keylogger è disabilitato, abilitato completamente o abilitato solo per determinate finestre.

0x10

Utilizzato per determinare dove vengono memorizzati i keylog.

0x11

Utilizzato per determinare il nome del file per i keylog.

0x12

Controlla la crittografia RC4 per i keylog.

0x13

Controlla l'occultamento dei file del keylogger.

0x14

Abilita o disabilita la funzionalità di registrazione dello schermo.

0x15

Intervallo in minuti per l'acquisizione di ogni schermata.

0x16

Registra solo le schermate per i nomi di finestre specifici se abilitato.

0x17

Nomi delle finestre per l'opzione precedente.

0x18

Intervallo di tempo associato all'acquisizione di schermate di finestre specifiche.

0x19

Directory principale in cui memorizzare le schermate.

0x23

Abilita o disabilita la registrazione audio.

0x24

Durata in secondi per ogni registrazione audio.

0x25

Directory principale in cui memorizzare le registrazioni audio.

0x26

Nome della cartella in cui memorizzare le registrazioni audio.

0x27

Disabilita l'UAC nel registro se abilitato.

0x28

Modalità di registrazione.  Utilizzato per abilitare o disabilitare la finestra della console.

0x29

Ritardo in secondi per il primo tentativo di connessione al C2.

0x2A

Nomi di finestre specifici per la funzionalità di keylogging.

0x2B

Abilita la cancellazione del browser web all'avvio. Remcos è in grado di eliminare tutti i cookie e gli accessi da Explorer, Chrome e Firefox, come indicato dalla configurazione. Lo scopo di questa caratteristica è ostacolare i ladri di informazioni e probabilmente non è molto utile per un aggressore malintenzionato.

0x2C

Abilita la pulizia del browser web solo alla prima esecuzione.

0x2D

Tempo di attesa in minuti prima di cancellare i dati dei browser web.

0x2E

Abilita o disabilita la funzionalità di bypass UAC.

0x30

Directory in cui installare Remcos.

0x31

Directory in cui memorizzare i keylog.

0x32

Attiva la funzionalità watchdog. Remcos si inserirà in un secondo processo e monitorerà il proprio processo originale. La funzione principale è quella di riavviare il file eseguibile primario se viene terminato.

0x34

Numero di licenza Remcos.

0x35

Abilita la visualizzazione del puntatore del mouse su ogni schermata scattata.

0x36

Certificato TLS utilizzato per la comunicazione C2.

0x37

Chiave TLS utilizzata per la comunicazione C2.

0x38

Certificato pubblico TLS per C2.

I flag di configurazione vengono utilizzati per determinare se Remcos debba abilitare determinate caratteristiche. Una volta che Remcos avrà analizzato la sua configurazione, inizierà a contattare i server C2. Remcos può accettare comandi aggiuntivi dal suo server C2, tra cui i seguenti:

ID comando

Funzionalità

0x1

Un comando ping.

0x2

Disabilita l'invio di pacchetti keep-alive.

0x3

Elenca le applicazioni installate.

0x6

Elenca i processi in esecuzione.

0x7

Termina un processo.

0x9

Chiude una finestra.

0xA

Mostra una finestra ingrandita.

0xB

Mostra una finestra.

0xC

Termina un processo tramite l'handle della finestra.

0xD

Esegue un comando di shell.

0xE

Avvia una shell con pipe.

0xF

Esegue un programma.

0x10

Carica le schermate sul server C2.

0x11

Ottiene la posizione IP globale dell'host.

0x12

Ottiene informazioni dalla funzionalità keylogger offline.

0x13

Avvia il keylogger in modalità online.

0x14

Arresta il keylogger quando viene avviato in modalità online.

0x15

Carica i dati del keylogger sul C2.

0x16

Carica i dati del keylogger sul C2.

0x17

Cancella i dati del keylogger.

0x18

Cancella i cookie e gli accessi del browser.

0x1B

Avvia il modulo di registrazione della webcam.

0x1C

Arresta il modulo di registrazione della webcam.

0x1D

Abilita il modulo di registrazione del microfono.

0x1E

Disabilita il modulo di registrazione del microfono.

0x1F

Tenta di rubare credenziali da vari programmi. Utilizza le utility di recupero password Nirsoft: https://www.nirsoft.net/ (Link esterno a ibm.com).  

0x20

Elimina un file o una cartella.

0x21

Termina il proprio processo e il processo del watchdog.

0x22

Disinstalla Remcos dal sistema.

0x23

Riavvia il computer.

0x24

Aggiorna Remcos da un URL fornito.

0x25

Aggiorna Remcos utilizzando il server C2.

0x26

Visualizza una finestra di messaggio.

0x27

Provoca uno spegnimento del sistema o un'ibernazione.

0x28

Carica i dati degli appunti sul server C2.

0x29

Imposta gli appunti sui dati definiti da C2.

0x2A

Cancella gli appunti.

0x2B

Carica ed esegue un file DLL dal C2.

0x2C

Carica ed esegue un file DLL da un URL fornito.

0x2F

Modifica il registro in base ai valori forniti dal C2.

0x30

Sembra permettere all'aggressore di parlare con la vittima.

0x31

Imposta l'identificatore del nome Remcos.

0x32

Consente l'uso e la gestione dei proxy.

0x34

Consente a Remcos di gestire i servizi di sistema.

0x8F

Cerca un file nel sistema.

0x92

Imposta lo sfondo del sistema.

0x94

Imposta il testo di una finestra ed elenca i processi attivi con finestre utilizzando EnumWindows().

0x97

Carica i risultati del comando "dxdiag" sul server C2.

0x98

Consente a Remcos di gestire i file tramite azioni quali copia, spostamento ed eliminazione.

0x99

Carica i dati della schermata sul C2.

0x9A

Scarica la cronologia del browser web utilizzando i file eseguibili di Nirsoft.

0x9E

Riproduce un file audio "alarm.wav".  Questo file è ottenuto dal server C2.

0x9F

Abilita la riproduzione di "alarm.wav" in caso di disconnessione dal C2.

0xA0

Disabilita la riproduzione di "alarm.wav" in caso di disconnessione dal C2.

0xA2

Scarica "alarm.wav" dal server C2.

0xA3

Riproduce un file audio.

0xAB

Migliora un processo.

0xAC

Abilita la finestra della console di registrazione.

0xAD

Mostra la finestra della console di registrazione.

0xAE

Nasconde la finestra della console di registrazione.

0xB2

Inietta un file eseguibile in un nuovo processo e lo esegue.

0xC5

Imposta un valore di registro.

0xC6

Carica i cookie e le password del browser sul C2.

0xC8

Sospende un processo.

0xC9

Riprende un processo.

0xCA

Legge un file e invia il contenuto al server C2.

0xCB

Scrive il contenuto fornito dal C2 in un file.

0xCC

Avvia il keylogger in modalità offline.

0xCD

Ferma il keylogger quando viene avviato in modalità offline.

0xCE

Elenca le tabelle TCP e UDP di un processo.

Come mostrato sopra, Remcos ha un'ampia varietà di funzionalità, tra cui l'amministrazione remota, l'esecuzione di payload, la sorveglianza, la persistenza e il furto di informazioni. Remcos può essere utilizzato da amministratori di sistema legittimi; tuttavia, è ampiamente utilizzato anche da vari attori delle minacce. Le azioni intraprese da Remcos su un sistema sono guidate principalmente dalla comunicazione con il suo server C2. Remcos include un pannello GUI che consente agli attaccanti di gestire facilmente più vittime all'interno di un'unica interfaccia. L'interfaccia GUI consente di creare attività automatizzate e di interagire manualmente con l'impianto Remcos su un sistema vittima.

Infrastruttura e operazioni

Hive0156 opera una rete di server C2 in tutto il mondo e molto probabilmente trae beneficio dall'indifferenza dei provider di hosting russi verso le operazioni del gruppo. X-Force ha scoperto che il gruppo utilizza il geofencing almeno per l'Ucraina e richiede il filtraggio degli header come parte delle proprie operazioni di staging. Hive0156 implementa Remcos con caratteristiche limitate abilitate, ma aggiorna continuamente la sua configurazione dal suo C2. Questo potrebbe indicare una priorità per gli accessi inattivi e l'abilitazione selettiva della raccolta su nuove iniziative. La manutenzione di una connettività senza ostacoli tra le infezioni Remcos e l'infrastruttura C2 del gruppo è fondamentale per l'accesso continuo alle vittime.

Conclusione:

Hive0156 continua a condurre operazioni informatiche dannose contro l'Ucraina. X-Force valuta che il gruppo continua a prendere di mira il personale militare ucraino, ma sta evolvendo i suoi documenti esca verso temi più generali, suggerendo un bacino di vittime più ampio. Le organizzazioni e il personale appartenenti o associati all'esercito ucraino sono a rischio elevato di essere presi di mira da Hive0156.

Raccomandazioni:

X-Force raccomanda le seguenti azioni per mitigare l'attività di Hive0156:

  1. Formazione e consapevolezza degli utenti: incoraggia gli utenti a essere cauti quando aprono e-mail o chat di messaggistica, in particolare quelle contenenti allegati, o quando cliccano sui link. Istruiscili a verificare l'identità del mittente e a controllare le estensioni dei file prima di aprire qualsiasi file.
  2. Protezione degli endpoint: distribuisci un software di protezione degli endpoint aggiornato che può rilevare e bloccare ceppi di malware noti, come Remcos, insieme a comportamenti sospetti. Aggiorna regolarmente le firme malware e i modelli comportamentali.
  3. Segmentazione della rete: segmenta la tua rete per limitare i movimenti laterali in caso di violazione. Questo limita i potenziali danni di un'infezione riuscita.
  4. Blocco geografico: implementa regole di blocco geografico per impedire le connessioni a server C2 dannosi noti, in particolare quelli collegati a Hive0156.
  5. Monitoraggio e analisi: monitora e analizza regolarmente il traffico di rete per eventuali attività insolite o connessioni con IP dannosi noti. Utilizza soluzioni che offrano analisi comportamentali e rilevamento delle anomalie.
  6. Gestione delle patch: assicurati che tutti i sistemi e le applicazioni siano aggiornati con le patch più recenti. Molti exploit utilizzati dagli attori delle minacce utilizzano vulnerabilità conosciute che sono state patchate.
  7. Piano di risposta agli incidenti: sviluppa e aggiorna regolarmente un piano di risposta agli incidenti. Ciò garantisce che, in caso di violazione, sia possibile reagire in modo rapido ed efficace.
  8. Uso di strumenti di sicurezza: utilizza strumenti di sicurezza in grado di rilevare e bloccare script PowerShell e file LNK dannosi, poiché si tratta di meccanismi di distribuzione iniziale comuni per Hive0156.

Indicatori di compromissione

Indicatore

Tipo di indicatore

Contesto

5.101.83[.]18

Indirizzo IP

C2

5.101.83[.]19

Indirizzo IP

C2

5.101.82[.]52

Indirizzo IP

C2

146.185.239[.]11

Indirizzo IP

C2

146.185.239[.]12

Indirizzo IP

C2

5.101.80[.]15

Indirizzo IP

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

LNK dannoso

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

LNK dannoso

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

LNK dannoso

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

LNK dannoso

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

LNK dannoso

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

LNK dannoso

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

LNK dannoso

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

LNK dannoso

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

LNK dannoso

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

LNK dannoso

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

LNK dannoso

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

LNK dannoso

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

LNK dannoso

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

LNK dannoso

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

LNK dannoso

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

LNK dannoso

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

LNK dannoso

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

LNK dannoso

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

PowerShell dannoso

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

RAT Remcos

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

RAT Remcos

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

RAT Remcos

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

RAT Remcos

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

RAT Remcos

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

RAT Remcos

IBM X-Force Premier Threat Intelligence è ora integrato con OpenCTI di Filigran, offrendo threat intelligence attuabile su questa attività di minaccia e altro ancora. Accedi a insight su attori delle minacce, malware e rischi dei settori. Installa il connettore X-Force OpenCTI per migliorare il rilevamento e la risposta, rafforzando la tua cybersecurity con l'esperienza di IBM X-Force. Ottieni oggi stesso un prova di 30 giorni di X-Force Premier Threat Intelligence!
