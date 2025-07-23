タグ
Hive0156は、ウクライナに対するRemcosキャンペーンを次に進める

サーバー・ルームでコンピューターを操作する2人の男性の画像

共同執筆者

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

2025年7月初旬の時点で、IBM® X-Forceはウクライナの被害者を標的にしたアクティブなHive0156 Remcosリモートアクセストロイの木馬（RAT）キャンペーンを監視しています。Hive0156はロシアに準拠した脅威アクターで、ウクライナの官公庁・自治体または軍事内部の個人を侵害しようとしています。グループのツール、施策、手順（TTP）は、CERT-UAのUAC-0184アクターと強く重なり合っています。Hive0156は、武器化されたMicrosoft LNKおよびPowerShellファイルを提供し、Remcos RATのダウンロードと実行につなげます。X-Forceは、ウクライナ軍に焦点を当て、幅広いオーディエンスに進化することを示唆するテーマを取り上げた主要なおとり文書を観察しました。

主な調査結果：

  • Hive0156はウクライナ全土でRemcos RATの提供を進める
  • デコイ文書のテーマはウクライナ軍関係者に関連性が高い
  • ロシアに連携した主体にとって、ウクライナのインフラストラクチャーへのアクセスは依然として重要な優先事項

分析

Hive0156はロシアに特化した脅威アクターで、主にコモディティ・マルウェアやデコイ文書を使用して、ウクライナでの悪意のあるサイバー・キャンペーンをオーケストレートします。2024年を通じて報告されたHive0156は、ウクライナ軍の信号チャットや関係者を標的に悪意のあるLNKファイルやPowerShellスクリプトを配信し、Remcos感染を引き起こしました。このグループは、ウクライナ軍の作戦態勢に関係する人物に関連性の高いおとり文書のテーマを使用しています。

2025年半ばまでのテーマ

2025年半ばまで、Hive0156をデコイ文書に関連する軍事テーマを広く使用していることから、ウクライナ軍のメンバーを標的にすることに優先的な関心があることが示唆されています。キャンペーンのデコイ文書は、多くの場合、破損したデータ・ファイルや迷惑メール・データ・ファイルですが、被害者の関与を促すためにグループが選択したテーマを明らかにします。ファイル名はロシア語やウクライナ語の音訳であることがよくあります。以下に強調表示されているのは、2025年半ば以前にHive0156がオペレーションに使用していた文書です。

戦時中の損失

uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsxサムネイルのスクリーンショット uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

第33機械化旅団はウクライナ陸軍の旅団です。2024年後半、第33師団はクラホヴェでの戦闘作戦に参加し、その後ヘオルヒフカとヴフレダルの前線に投入されました。デコイは、一般にさまざまな参考情報のレベルを伝えるさまざまなメトリクスを備えた未認証の機能するExcelドキュメントです。

Hive0156で使用されるウクライナ文書の製品の画面
図1：Hive0156で使用されるウクライナの文書

大部隊の準備チェック

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docサムネイルのスクリーンショット

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx 準備態勢の命令を指す可能性があり、おそらく第33機械化旅団に関連している可能性があります。ファイル名は、第33師団に所属する公式大隊である第1機械化大隊の戦備状態を指しています。

2024年6月、CERT-UAは、UAC-0184がウクライナの第3分離突撃旅団を主要な機能とする悪意のあるファイルを配信し、同様の攻撃チェーンにつながったことを報告しました。

人員配置の計算

Rozrahunok_rozpodyl_operatyvnogo_skladu.docサムネイルのスクリーンショット

機械翻訳のRozrahunok_rozpodyl_operativnogo_skladu.docは、運用スタッフの配布を指します。一貫した戦争のテーマを考えると、これは軍隊の数を指している可能性があります。

敵の可能性のある場所

Pozicii_protivnika_zapad_i_yugo_zapad.xlsxの製品の画面

Pozicii_protivnika_zapad_i_yugo_zapad.xlsxはロシア語から翻訳されており、機能的なExcelドキュメントです。このファイルは、イランのザンヤン・プロビデンスにマッピングされた座標で構成されています。座標を検査すると、この場所はティクメフ・ダシュ川などの灌漑源近くの農地の大部分で構成されていることがわかります。

北イランへの座標マッピングを含むExcelファイル
図2：イラン北への座標マッピングを含むExcelファイル
デコイ文書内の座標の一般的な位置
図3：デコイ文書における座標の一般的な位置

2025年中頃のテーマ

2025年半ばの時点で、X-Forceは「声明」、「公式カバーレター」、または「正式な拒否」に関連するテーマを含んだウクライナ語のデコイ文書を翻訳しています。これは、同グループの軍事テーマに重点を置くことから、より一般的なオーディエンスへの転換です。2025年半ば以降に観察されたデコイ文書は、一般的に破損しているか、迷惑メール、迷惑メールでいっぱいです。

アタックチェーン

2025年7月初旬の時点で、同グループはRemcosを主要な最終ペイロードとして配信し、2024年以降は配信を簡素化しました。最近のHive0156キャンペーンは、武器化された第1段階LNKまたはPowerShellファイルから始まります。実行時に、最初の段階ではアクターのコマンド・アンド・コントロール（C2）インフラストラクチャーに連絡して、デコイ文書と悪意のあるファイルのzipアーカイブを取得しようとします。C2サーバーへの通信は、地理的領域と予想されるユーザーエージェントによってフィルタリングされます。取得が成功すると、デコイ文書がユーザーに表示されますが、多くの場合破損しています。バックグラウンドでは、Hijackloader（別名：IDAT Loader)が実行され、Remcos RATを提供します。

Hive0156攻撃チェーンの例
図4：Hive0156攻撃チェーン

第1ステージ詳細

最近のキャンペーンでは、Hive0156は、悪意のあるLNKまたはPowerShellファイル間の第1段階感染を代替しています。どちらのタイプの機能も同等です。Zipアーカイブにダウンロードされたローダー・マルウェアのグループによる配布には、第1段階の実行が欠かせません。どちらの第1段階のタイプも、ユーザーにデコイ文書を提示しながら、バックグラウンドでHijackLoader感染チェーンを実行します。

LNKスタイルのキャンペーンとPowerShellスタイルのキャンペーンの主な違いの1つは、デコイ文書の配信です。LNKベースのキャンペーンでは、デコイ文書とHijackLoader ZIPアーカイブをダウンロードするために、2つの個別のC2リクエストが開始されます。PowerShellベースのキャンペーンでは、HijackLoader ZIPファイルをダウンロードするための1つの呼び出しが開始され、デコイ文書が含まれます。この区別は、ネットワーク防御側が遭遇した第一段階の感染の種類を特定するのに役立つ場合があります。

HijackLoader（別名IDAT Loader）の詳細

HijackLoaderの実行は、Remcosのグループの配信メカニズムとして機能します。IDATローダーとしても知られるHijackLoaderは、最終的なペイロードであるRemcosを解き明かすために、第一段階のzip内にあるデータ・ファイルを参照します。

脅威アクターは、HijackLoaderをZIPファイル内にパッケージ化します。HijackLoader ZIPファイルには複数のコンポーネントが含まれており、感染の連鎖を継続するためには、これら全てが存在している必要があります。

HijackLoader Zipファイルの例には複数のコンポーネントが含まれており、感染の連鎖を継続するためには、これら全てが存在している必要があります。

通常、HijackLoader ZIPファイルには以下のコンポーネントが含まれています：

  • 通常は有効な証明書で署名されている正規の実行可能ファイル。（この場合は、PortRemo.exe
  • 正規の実行可能ファイルを実行するには、正規のDLLファイルが必要です。（この場合は、Tools.dll
  • HijackLoaderのさらなるステージをロードするコードを含む、パッチが適用されたDLLファイル。（この場合は、sqlite3.dll
  • HijackLoaderの暗号化されたモジュールと最終ペイロードを含むPNGファイル。通常、PNGファイルにはランダムに名前が付けられます。（この場合、Churtsecang.vky
  • 暗号化されたシェルコードを含むファイルで、これもランダムに名前が付けられます。（この場合は、Weertijeegdoob.jm

この例では、HijackLoaderに関連するファイルはpremo.zipという名前のZIPファイルにパッケージ化されています。正規の実行可能ファイルPortRemo.exeは、悪意のあるパッチが適用されたDLL sqlite3.dllをロードする最初のLNKファイルによって実行されます。

次の画像は、PortRemo.exeのインポート・テーブルを示しています。実行中のある時点で、これらの関数のいずれかが呼び出され、最終的にはsqlite3.dll内の悪意のあるコードにつながります。

PortRemo.exeのインポート・テーブル製品の画面

この例では、sqlite3_result_text16（）が悪意のある関数です。HijackLoaderはIDAがファイルを適切に分析できないようにエクスポートテーブルを利用します。

sqlite3_result_text16（）を悪意のある関数として示す例

パッチが適用されたDLLは、HijackLoaderの第1段階のシェルコードを読み取って復号化します。復号化されたシェルコードは、HijackLoaderコンポーネントを含むPNGファイルを復号化します。HijackLoaderは機能向上のために様々なモジュールを利用しています。

次の表に、既知のモジュールとその機能のリストを示します。

名前

機能性

AVDATA

ブロックリスト・モジュール：セキュリティー・ソフトウェアに関連することがわかっているプロセス名をチェックします。

ESAL

最終ペイロードを実行します。

ESLDR

HijackLoaderに関連するシェルコードを挿入して実行するために使用されます。

ESWR

メモリーからシェルコードを削除し、「rshell」モジュールを実行します。

FIXED

プロセス・インジェクションに使用される正規の実行可能ファイル。

LaunchLdr

すべてのモジュールを抽出するために、HijackLoader PNGファイルを復号化します。

rshell

最終ペイロードをメモリーで設定し、それを実行します。

ti

第1段階後のコード・インジェクションを実行します。

tinystub

パッチ適用とインジェクションに使用される空のPEファイル。

tinyutilitymodule

指定されたファイルのPEヘッダーをnullバイトで上書きします。

すべてのモジュールが完了すると、HijackLoaderは最後のペイロードをリモートプロセスに注入します。

Remcosの詳細

X-ForceによるHive0156のRemcos構成の分析によると、有効な機能がまばらであることが判明しました。ただし、これは脅威が減少していることを示しているわけではありません。Hive0156のRemcosのバージョンは、主にグループのC2インフラストラクチャーとの通信を確立し、新しいコマンドを定期的に待つように構成されています。このグループは複数のキャンペーンを並行して実行しており、RemcosのキャンペーンIDの主要な機能を熱心に使用し続けているようです。2025年を通じて、X-Forceはこのグループに関連付けられたhmu2005gu2005ra2005、およびra2005newキャンペーンIDを発見しました。

Remcosは、Breaking-Securityによって開発されたリモート管理ツールです。機能の詳細については、こちらをご覧ください。

実行時に、Remcosは参考情報内のblobから設定をロードします。完了すると、Remcosはその構成を解析し、実行中にどのようなアクションを実行するかを決定します。

Remcosでは、以下の設定パラメーターを受け入れます。

Config ID

ファンクション

0x0

C2アドレスを含みます。

0x1

キャンペーンの識別子が含まれます。

0x2

RemcosがC2に接続する頻度を決定します。

0x3

実行したら、Remcosをインストールします。インストールには、特別な場所への移動が含まれます。

0x4

0x5

HKLMおよびHKCU Software\Microsoft\Windows\CurrentVersion\Runを使用して永続化を実現

0x7

ローテーションを行う前のキーロガー・データの最大ファイル・サイズ。

0x8

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Runレジストリー・キーを使用して永続化を有効にします。

0x9

インストール中にRemcoを配置するディレクトリー。

0xA

インストール中にRemcosを動きするファイル名。

0xC

隠しファイル属性を有効にし、関連するファイルを読み取り専用に設定します。

0xE

ミューテックス名。

0xF

キーロガーが無効になっているか、完全に有効になっているか、または特定のウィンドウのみが有効になっているかを判断します。

0x10

キーログの保管場所を決定するために使用されます。

0x11

キーログのファイル名を決定するために使用されます。

0x12

キーログのRC4暗号化を制御します。

0x13

キーロガー・ファイルの非表示を制御します。

0x14

画面録画機能を有効または無効にします。

0x15

製品の画面をキャプチャーするための間隔を分単位で設定します。

0x16

有効になっている場合は、特定のウィンドウ名の製品の画面のみを記録します。

0x17

上記オプションのウィンドウ名。

0x18

特定のウィンドウの製品の画面作成に関連付けられた時間間隔。

0x19

スクリーンショットを保存するための親ディレクトリー。

0x23

音声録音を有効または無効にします。

0x24

各音声録音の所要時間（秒単位）。

0x25

オーディオ録音を保管する親ディレクトリー。

0x26

オーディオ録音を保管するフォルダーの名前。

0x27

有効な場合は、レジストリ内のUACを無効にします。

0x28

ロギングモード。コンソール・ウィンドウを有効または無効にするために使用されます。

0x29

最初のC2接続の試行では数秒で遅延します。

0x2A

キーロギング機能の特定のウィンドウ名。

0x2B

起動時にWebブラウザー・クリアを有効にします。Remcosは、構成の指示に従って、Explorer、Chrome、Firefoxからすべてのクッキーとログインを削除できます。この主要な機能の目的は情報窃盗者を阻止することであり、悪意のある攻撃者にはほとんど用途がありません。

0x2C

初回実行時にのみ、Webブラウザーのクリーニングを可能にします。

0x2D

Webブラウザーをクリアするまでのスリープ時間は数分です。

0x2E

UACバイパス機能を有効または無効にします。

0x30

Remcosをインストールするディレクトリー。

0x31

キーログを保管するディレクトリー。

0x32

ウォッチドッグ機能を有効にします。Remcosは、自身を2番目のプロセスに注入し、独自の元のプロセスを監視します。主な機能は、終了した場合に主要な実行可能ファイルを再起動することです。

0x34

Remcosライセンス番号。

0x35

撮影した各製品の画面にマウス・ポインターを表示できるようにします。

0x36

C2通信に使用されるTLS証明書。

0x37

C2通信に使用されるTLSキー。

0x38

C2のTLSパブリック証明書。

設定フラグは、Remcosが特定の主要な機能を有効にする必要があるかどうかを決定するために使用されます。Remcosが構成を解析すると、C2サーバーへの連絡を開始します。Remcosは、C2サーバーから以下のような追加コマンドを受け入れることができます。

コマンドID

機能性

0x1

pingコマンド。

0x2

維持したパケットの送信を無効にします。

0x3

インストールされているアプリケーションを一覧表示します。

0x6

実行中のプロセスが一覧化します。

0x7

プロセスを終了します。

0x9

ウィンドウを閉じます。

0xA

最大化されたウィンドウが表示されます。

0xB

ウィンドウを表示します。

0xC

ウィンドウハンドルによってプロセスを終了します。

0xD

シェルコマンドを実行します。

0xE

パイプ状のシェルを起動します。

0xF

プログラムを実行します。

0x10

製品の画面をC2サーバーにアップロードします。

0x11

ホストのグローバルIPロケーションを取得します。

0x12

オフライン・キーロガー機能から情報を取得します。

0x13

キーロガーをオンライン・モードで起動します。

0x14

オンラインモードで起動したときにキーロガーを停止します。

0x15

キーロガー・データをC2にアップロードします。

0x16

キーロガー・データをC2にアップロードします。

0x17

キーロガーのデータを削除します。

0x18

ブラウザーのクッキーとログインをクリアします。

0x1B

Webカメラ録画モジュールを開始します。

0x1C

Webカメラ録画モジュールを停止します。

0x1D

マイク録音モジュールを有効にします。

0x1E

マイク録音モジュールを無効にします。

0x1F

さまざまなプログラムから資格情報を盗もうとします。Nirsoftパスワード回復ユーティリティーを利用します：https://www.nirsoft.net/（ibm.com外部へのリンク）。

0x20

ファイルまたはフォルダーを削除します。

0x21

自身のプロセスとウォッチドットのプロセスを終了します。

0x22

Remcosをシステムからアンインストールします。

0x23

コンピューターを再起動します。

0x24

指定されたURLからRemcosを更新します。

0x25

C2サーバーを使用してRemcosを更新します。

0x26

メッセージボックスが表示されます。

0x27

システムのシャットダウンまたは休止状態を引き起こします。

0x28

クリップボード・データをC2サーバーにアップロードします。

0x29

クリップボードをC2定義データに設定します。

0x2A

クリップボードを片付けます。

0x2B

C2からDLLを読み込み、実行します。

0x2C

指定されたURLからDLLを読み込み、実行します。

0x2F

C2によって提供された値に基づいてレジストリを編集します。

0x30

攻撃者が被害者とチャットできるように見えます。

0x31

Remcosの名前識別子を設定します。

0x32

プロキシの使用と管理を可能にします。

0x34

Remcosがシステム・サービスを管理できるようにします。

0x8F

システム上のファイルを検索します。

0x92

システムの壁紙を設定します。

0x94

EnumWindows()を使用してウィンドウのテキストを設定し、ウィンドウでアクティブなプロセスをリストします。

0x97

「dxdiag」コマンドの成果をC2サーバーにアップロードします。

0x98

Remcosは、コピー、移動、削除などのアクションを通じてファイルを管理できるようになります。

0x99

製品の画面データをC2にアップロードします。

0x9A

Nirsoftの実行可能ファイルを使用してWebブラウザーの履歴をダンプします。

0x9E

音声ファイル「alarm.wav」を再生します。このファイルはC2サーバーから取得されます。

0x9F

「alarm.wav」の再生をC2接続解除時に可能にします。

0xA0

「alarm.wav」の再生をC2接続解除時に無効にします。

0xA2

「alarm.wav」をC2サーバーからダウンロードします。

0xA3

音声ファイルを再生します。

0xAB

プロセスのレベルアップします。

0xAC

ロギング・コンソール・ウィンドウを有効にします。

0xAD

ロギング・コンソール・ウィンドウを表示します。

0xAE

ロギング・コンソール・ウィンドウを非表示にします。

0xB2

実行可能ファイルを新しいプロセスに挿入して実行します。

0xC5

レジストリ値を設定します。

0xC6

ブラウザー・クッキーとパスワードをC2にアップロードします。

0xC8

プロセスを一時停止します。

0xC9

プロセスを再開します。

0xCA

ファイルを読み取り、コンテンツをC2サーバーに送信します。

0xCB

C2が提供するコンテンツをファイルに書き込みます。

0xCC

キーロガーをオフライン・モードで起動します。

0xCD

オフライン・モードで起動したときにキーロガーを停止します。

0xCE

プロセスのTCPおよびUDPテーブルをリストします。

上で示したように、Remcosは、リモート管理、ペイロード実行、監視、永続性、インフォスティーリングなど、さまざまな機能を備えています。Remcosは正規のシステム管理者によって使用される可能性があります。さまざまな悪意のある脅威アクターによっても頻繁に使用されます。Remcosがシステム上で実行するアクションは、主にC2サーバーとの通信によって実行されます。Remcosには、攻撃者が単一のインターフェース内で複数の被害者を簡単に管理できるようにするGUIパネルが含まれています。GUIインターフェースにより、自動化されたタスクを作成することや、被害者システム上のRemcosインプラントと手動で対話することも可能です。

インフラストラクチャーとオペレーション

Hive0156は世界中でC2サーバーのネットワークを運営しており、おそらくロシアのホスティング・プロバイダーがグループの運営に対して無関心である可能性があります。X-Forceは、このグループが少なくともウクライナでジオフェンシングを採用しており、ステージング業務の一環としてヘッダー・フィルタリングを要求していることを発見しました。Hive0156は、主要な機能を有効にしたRemcosをデプロイしますが、C2からの構成を継続的に更新します。これは、休眠アクセスを優先し、新しいイニシアチブで選択的に収集できるようにすることを示している場合があります。Remcos感染とグループのC2インフラストラクチャー間の障害のない接続を保守することは、被害者のアクセスを次に進むために最も重要です。

まとめ：

Hive0156は、ウクライナに対する悪意のあるサイバー作戦を継続しています。X-Force®は、このグループがウクライナ人軍関係者を標的にし続けているものの、デコイ文書をより一般的なテーマに進化させていると評価し、被害者がさらに拡大していることを示唆しています。ウクライナ軍に関係している組織や関係者は、Hive0156の被害者を標的にするリスクが高まっています。

推奨事項：

X-Forceは、Hive0156アクティビティーを軽減するために次のアクションを推奨しています。

  1. ユーザー・トレーニングとアウェアネス：Eメールやメッセンジャー・チャット（特に添付ファイルを含むチャット）を開いたり、リンクをクリックしたりする際に注意するよう、ユーザーを奨励します。送信者の身元を検証し、ファイルの拡張子を確認するように指示します。
  2. エンドポイント保護：Remcosなどの既知のマルウェア株を不審な動作とともに検出およびブロックできる最新のエンドポイント保護ソフトウェアを導入します。マルウェアのシグネチャと動作パターンを定期的に更新します。
  3. ネットワークのセグメンテーション：ネットワークをセグメント化し、セキュリティー侵害が生じた場合の横移動を制限します。感染による被害の可能性を最小限に抑えられます。
  4. ジオブロック：ジオブロック・ルールを実施し、既知の悪意あるC2サーバー、特にHive0156にリンクされたサーバーへの接続を防止します。
  5. 監視と分析：トワーネック・トラフィックを定期的に監視し、異常なアクティビティーや既知の悪意あるIPへの接続がないかを確認します。行動分析と異常検知を提供するソリューションを使用します。
  6. パッチ管理：すべてのシステムとアプリケーションを最新のパッチで最新の状態に保ちます。脅威アクターが活用するエクスプロイトの多くは、パッチが適用された既知の脆弱性を利用します。
  7. インシデント対応計画：インシデント対応計画を策定し、定期的に更新します。これにより、侵害が発生した場合でも、迅速かつ効果的に対応できます。
  8. セキュリティー・ツールの使用：Hive0156では一般的な初期配信メカニズムである悪意のあるPowerShellスクリプトやLNKファイルを検知・ブロックできるセキュリティー・ツールを採用します。

侵害の兆候

分類

インジケーター・タイプ

コンテキスト

5.101.83[.]18

IPアドレス

C2

5.101.83[.]19

IPアドレス

C2

5.101.82[.]52

IPアドレス

C2

146.185.239[.]11

IPアドレス

C2

146.185.239[.]12

IPアドレス

C2

5.101.80[.]15

IPアドレス

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

悪意のあるLNK

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

悪意のあるLNK

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

悪意のあるLNK

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

悪意のあるLNK

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

悪意のあるLNK

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

悪意のあるLNK

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

悪意のあるLNK

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

悪意のあるLNK

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

悪意のあるLNK

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

悪意のあるLNK

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

悪意のあるLNK

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

悪意のあるLNK

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

悪意のあるLNK

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

悪意のあるLNK

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

悪意のあるLNK

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

悪意のあるLNK

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

悪意のあるLNK

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

悪意のあるLNK

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

悪意のあるPowerShell

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

IBM® X-Force Premier Threat Intelligenceが、FiligranのOpenCTIと統合され、この脅威アクティビティーなどに関する実行可能な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスします。X-Force OpenCTIコネクターを導入して、検知と対応を強化し、IBM® X-Forceの専門知識でサイバーセキュリティーを強化しましょう。X-Force Premier Threat Intelligenceの30日間トライアルを今すぐご利用ください。
