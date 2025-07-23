2025年7月初旬の時点で、IBM® X-Forceはウクライナの被害者を標的にしたアクティブなHive0156 Remcosリモートアクセストロイの木馬（RAT）キャンペーンを監視しています。Hive0156はロシアに準拠した脅威アクターで、ウクライナの官公庁・自治体または軍事内部の個人を侵害しようとしています。グループのツール、施策、手順（TTP）は、CERT-UAのUAC-0184アクターと強く重なり合っています。Hive0156は、武器化されたMicrosoft LNKおよびPowerShellファイルを提供し、Remcos RATのダウンロードと実行につなげます。X-Forceは、ウクライナ軍に焦点を当て、幅広いオーディエンスに進化することを示唆するテーマを取り上げた主要なおとり文書を観察しました。
Hive0156はロシアに特化した脅威アクターで、主にコモディティ・マルウェアやデコイ文書を使用して、ウクライナでの悪意のあるサイバー・キャンペーンをオーケストレートします。2024年を通じて報告されたHive0156は、ウクライナ軍の信号チャットや関係者を標的に悪意のあるLNKファイルやPowerShellスクリプトを配信し、Remcos感染を引き起こしました。このグループは、ウクライナ軍の作戦態勢に関係する人物に関連性の高いおとり文書のテーマを使用しています。
2025年半ばまで、Hive0156をデコイ文書に関連する軍事テーマを広く使用していることから、ウクライナ軍のメンバーを標的にすることに優先的な関心があることが示唆されています。キャンペーンのデコイ文書は、多くの場合、破損したデータ・ファイルや迷惑メール・データ・ファイルですが、被害者の関与を促すためにグループが選択したテーマを明らかにします。ファイル名はロシア語やウクライナ語の音訳であることがよくあります。以下に強調表示されているのは、2025年半ば以前にHive0156がオペレーションに使用していた文書です。
第33機械化旅団はウクライナ陸軍の旅団です。2024年後半、第33師団はクラホヴェでの戦闘作戦に参加し、その後ヘオルヒフカとヴフレダルの前線に投入されました。デコイは、一般にさまざまな参考情報のレベルを伝えるさまざまなメトリクスを備えた未認証の機能するExcelドキュメントです。
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx 準備態勢の命令を指す可能性があり、おそらく第33機械化旅団に関連している可能性があります。ファイル名は、第33師団に所属する公式大隊である第1機械化大隊の戦備状態を指しています。
2024年6月、CERT-UAは、UAC-0184がウクライナの第3分離突撃旅団を主要な機能とする悪意のあるファイルを配信し、同様の攻撃チェーンにつながったことを報告しました。
機械翻訳のRozrahunok_rozpodyl_operativnogo_skladu.docは、運用スタッフの配布を指します。一貫した戦争のテーマを考えると、これは軍隊の数を指している可能性があります。
Pozicii_protivnika_zapad_i_yugo_zapad.xlsxはロシア語から翻訳されており、機能的なExcelドキュメントです。このファイルは、イランのザンヤン・プロビデンスにマッピングされた座標で構成されています。座標を検査すると、この場所はティクメフ・ダシュ川などの灌漑源近くの農地の大部分で構成されていることがわかります。
2025年半ばの時点で、X-Forceは「声明」、「公式カバーレター」、または「正式な拒否」に関連するテーマを含んだウクライナ語のデコイ文書を翻訳しています。これは、同グループの軍事テーマに重点を置くことから、より一般的なオーディエンスへの転換です。2025年半ば以降に観察されたデコイ文書は、一般的に破損しているか、迷惑メール、迷惑メールでいっぱいです。
2025年7月初旬の時点で、同グループはRemcosを主要な最終ペイロードとして配信し、2024年以降は配信を簡素化しました。最近のHive0156キャンペーンは、武器化された第1段階LNKまたはPowerShellファイルから始まります。実行時に、最初の段階ではアクターのコマンド・アンド・コントロール（C2）インフラストラクチャーに連絡して、デコイ文書と悪意のあるファイルのzipアーカイブを取得しようとします。C2サーバーへの通信は、地理的領域と予想されるユーザーエージェントによってフィルタリングされます。取得が成功すると、デコイ文書がユーザーに表示されますが、多くの場合破損しています。バックグラウンドでは、Hijackloader（別名：IDAT Loader)が実行され、Remcos RATを提供します。
最近のキャンペーンでは、Hive0156は、悪意のあるLNKまたはPowerShellファイル間の第1段階感染を代替しています。どちらのタイプの機能も同等です。Zipアーカイブにダウンロードされたローダー・マルウェアのグループによる配布には、第1段階の実行が欠かせません。どちらの第1段階のタイプも、ユーザーにデコイ文書を提示しながら、バックグラウンドでHijackLoader感染チェーンを実行します。
LNKスタイルのキャンペーンとPowerShellスタイルのキャンペーンの主な違いの1つは、デコイ文書の配信です。LNKベースのキャンペーンでは、デコイ文書とHijackLoader ZIPアーカイブをダウンロードするために、2つの個別のC2リクエストが開始されます。PowerShellベースのキャンペーンでは、HijackLoader ZIPファイルをダウンロードするための1つの呼び出しが開始され、デコイ文書が含まれます。この区別は、ネットワーク防御側が遭遇した第一段階の感染の種類を特定するのに役立つ場合があります。
HijackLoaderの実行は、Remcosのグループの配信メカニズムとして機能します。IDATローダーとしても知られるHijackLoaderは、最終的なペイロードであるRemcosを解き明かすために、第一段階のzip内にあるデータ・ファイルを参照します。
脅威アクターは、HijackLoaderをZIPファイル内にパッケージ化します。HijackLoader ZIPファイルには複数のコンポーネントが含まれており、感染の連鎖を継続するためには、これら全てが存在している必要があります。
通常、HijackLoader ZIPファイルには以下のコンポーネントが含まれています：
この例では、HijackLoaderに関連するファイルはpremo.zipという名前のZIPファイルにパッケージ化されています。正規の実行可能ファイルPortRemo.exeは、悪意のあるパッチが適用されたDLL sqlite3.dllをロードする最初のLNKファイルによって実行されます。
次の画像は、PortRemo.exeのインポート・テーブルを示しています。実行中のある時点で、これらの関数のいずれかが呼び出され、最終的にはsqlite3.dll内の悪意のあるコードにつながります。
この例では、sqlite3_result_text16（）が悪意のある関数です。HijackLoaderはIDAがファイルを適切に分析できないようにエクスポートテーブルを利用します。
パッチが適用されたDLLは、HijackLoaderの第1段階のシェルコードを読み取って復号化します。復号化されたシェルコードは、HijackLoaderコンポーネントを含むPNGファイルを復号化します。HijackLoaderは機能向上のために様々なモジュールを利用しています。
次の表に、既知のモジュールとその機能のリストを示します。
名前
機能性
AVDATA
ブロックリスト・モジュール：セキュリティー・ソフトウェアに関連することがわかっているプロセス名をチェックします。
ESAL
最終ペイロードを実行します。
ESLDR
HijackLoaderに関連するシェルコードを挿入して実行するために使用されます。
ESWR
メモリーからシェルコードを削除し、「rshell」モジュールを実行します。
FIXED
プロセス・インジェクションに使用される正規の実行可能ファイル。
LaunchLdr
すべてのモジュールを抽出するために、HijackLoader PNGファイルを復号化します。
rshell
最終ペイロードをメモリーで設定し、それを実行します。
ti
第1段階後のコード・インジェクションを実行します。
tinystub
パッチ適用とインジェクションに使用される空のPEファイル。
tinyutilitymodule
指定されたファイルのPEヘッダーをnullバイトで上書きします。
すべてのモジュールが完了すると、HijackLoaderは最後のペイロードをリモートプロセスに注入します。
X-ForceによるHive0156のRemcos構成の分析によると、有効な機能がまばらであることが判明しました。ただし、これは脅威が減少していることを示しているわけではありません。Hive0156のRemcosのバージョンは、主にグループのC2インフラストラクチャーとの通信を確立し、新しいコマンドを定期的に待つように構成されています。このグループは複数のキャンペーンを並行して実行しており、RemcosのキャンペーンIDの主要な機能を熱心に使用し続けているようです。2025年を通じて、X-Forceはこのグループに関連付けられたhmu2005、gu2005、ra2005、およびra2005newキャンペーンIDを発見しました。
Remcosは、Breaking-Securityによって開発されたリモート管理ツールです。機能の詳細については、こちらをご覧ください。
実行時に、Remcosは参考情報内のblobから設定をロードします。完了すると、Remcosはその構成を解析し、実行中にどのようなアクションを実行するかを決定します。
Remcosでは、以下の設定パラメーターを受け入れます。
Config ID
ファンクション
0x0
C2アドレスを含みます。
0x1
キャンペーンの識別子が含まれます。
0x2
RemcosがC2に接続する頻度を決定します。
0x3
実行したら、Remcosをインストールします。インストールには、特別な場所への移動が含まれます。
0x4
0x5
HKLMおよびHKCU Software\Microsoft\Windows\CurrentVersion\Runを使用して永続化を実現
0x7
ローテーションを行う前のキーロガー・データの最大ファイル・サイズ。
0x8
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Runレジストリー・キーを使用して永続化を有効にします。
0x9
インストール中にRemcoを配置するディレクトリー。
0xA
インストール中にRemcosを動きするファイル名。
0xC
隠しファイル属性を有効にし、関連するファイルを読み取り専用に設定します。
0xE
ミューテックス名。
0xF
キーロガーが無効になっているか、完全に有効になっているか、または特定のウィンドウのみが有効になっているかを判断します。
0x10
キーログの保管場所を決定するために使用されます。
0x11
キーログのファイル名を決定するために使用されます。
0x12
キーログのRC4暗号化を制御します。
0x13
キーロガー・ファイルの非表示を制御します。
0x14
画面録画機能を有効または無効にします。
0x15
製品の画面をキャプチャーするための間隔を分単位で設定します。
0x16
有効になっている場合は、特定のウィンドウ名の製品の画面のみを記録します。
0x17
上記オプションのウィンドウ名。
0x18
特定のウィンドウの製品の画面作成に関連付けられた時間間隔。
0x19
スクリーンショットを保存するための親ディレクトリー。
0x23
音声録音を有効または無効にします。
0x24
各音声録音の所要時間（秒単位）。
0x25
オーディオ録音を保管する親ディレクトリー。
0x26
オーディオ録音を保管するフォルダーの名前。
0x27
有効な場合は、レジストリ内のUACを無効にします。
0x28
ロギングモード。コンソール・ウィンドウを有効または無効にするために使用されます。
0x29
最初のC2接続の試行では数秒で遅延します。
0x2A
キーロギング機能の特定のウィンドウ名。
0x2B
起動時にWebブラウザー・クリアを有効にします。Remcosは、構成の指示に従って、Explorer、Chrome、Firefoxからすべてのクッキーとログインを削除できます。この主要な機能の目的は情報窃盗者を阻止することであり、悪意のある攻撃者にはほとんど用途がありません。
0x2C
初回実行時にのみ、Webブラウザーのクリーニングを可能にします。
0x2D
Webブラウザーをクリアするまでのスリープ時間は数分です。
0x2E
UACバイパス機能を有効または無効にします。
0x30
Remcosをインストールするディレクトリー。
0x31
キーログを保管するディレクトリー。
0x32
ウォッチドッグ機能を有効にします。Remcosは、自身を2番目のプロセスに注入し、独自の元のプロセスを監視します。主な機能は、終了した場合に主要な実行可能ファイルを再起動することです。
0x34
Remcosライセンス番号。
0x35
撮影した各製品の画面にマウス・ポインターを表示できるようにします。
0x36
C2通信に使用されるTLS証明書。
0x37
C2通信に使用されるTLSキー。
0x38
C2のTLSパブリック証明書。
設定フラグは、Remcosが特定の主要な機能を有効にする必要があるかどうかを決定するために使用されます。Remcosが構成を解析すると、C2サーバーへの連絡を開始します。Remcosは、C2サーバーから以下のような追加コマンドを受け入れることができます。
コマンドID
機能性
0x1
pingコマンド。
0x2
維持したパケットの送信を無効にします。
0x3
インストールされているアプリケーションを一覧表示します。
0x6
実行中のプロセスが一覧化します。
0x7
プロセスを終了します。
0x9
ウィンドウを閉じます。
0xA
最大化されたウィンドウが表示されます。
0xB
ウィンドウを表示します。
0xC
ウィンドウハンドルによってプロセスを終了します。
0xD
シェルコマンドを実行します。
0xE
パイプ状のシェルを起動します。
0xF
プログラムを実行します。
0x10
製品の画面をC2サーバーにアップロードします。
0x11
ホストのグローバルIPロケーションを取得します。
0x12
オフライン・キーロガー機能から情報を取得します。
0x13
キーロガーをオンライン・モードで起動します。
0x14
オンラインモードで起動したときにキーロガーを停止します。
0x15
キーロガー・データをC2にアップロードします。
0x16
キーロガー・データをC2にアップロードします。
0x17
キーロガーのデータを削除します。
0x18
ブラウザーのクッキーとログインをクリアします。
0x1B
Webカメラ録画モジュールを開始します。
0x1C
Webカメラ録画モジュールを停止します。
0x1D
マイク録音モジュールを有効にします。
0x1E
マイク録音モジュールを無効にします。
0x1F
さまざまなプログラムから資格情報を盗もうとします。Nirsoftパスワード回復ユーティリティーを利用します：https://www.nirsoft.net/（ibm.com外部へのリンク）。
0x20
ファイルまたはフォルダーを削除します。
0x21
自身のプロセスとウォッチドットのプロセスを終了します。
0x22
Remcosをシステムからアンインストールします。
0x23
コンピューターを再起動します。
0x24
指定されたURLからRemcosを更新します。
0x25
C2サーバーを使用してRemcosを更新します。
0x26
メッセージボックスが表示されます。
0x27
システムのシャットダウンまたは休止状態を引き起こします。
0x28
クリップボード・データをC2サーバーにアップロードします。
0x29
クリップボードをC2定義データに設定します。
0x2A
クリップボードを片付けます。
0x2B
C2からDLLを読み込み、実行します。
0x2C
指定されたURLからDLLを読み込み、実行します。
0x2F
C2によって提供された値に基づいてレジストリを編集します。
0x30
攻撃者が被害者とチャットできるように見えます。
0x31
Remcosの名前識別子を設定します。
0x32
プロキシの使用と管理を可能にします。
0x34
Remcosがシステム・サービスを管理できるようにします。
0x8F
システム上のファイルを検索します。
0x92
システムの壁紙を設定します。
0x94
EnumWindows()を使用してウィンドウのテキストを設定し、ウィンドウでアクティブなプロセスをリストします。
0x97
「dxdiag」コマンドの成果をC2サーバーにアップロードします。
0x98
Remcosは、コピー、移動、削除などのアクションを通じてファイルを管理できるようになります。
0x99
製品の画面データをC2にアップロードします。
0x9A
Nirsoftの実行可能ファイルを使用してWebブラウザーの履歴をダンプします。
0x9E
音声ファイル「alarm.wav」を再生します。このファイルはC2サーバーから取得されます。
0x9F
「alarm.wav」の再生をC2接続解除時に可能にします。
0xA0
「alarm.wav」の再生をC2接続解除時に無効にします。
0xA2
「alarm.wav」をC2サーバーからダウンロードします。
0xA3
音声ファイルを再生します。
0xAB
プロセスのレベルアップします。
0xAC
ロギング・コンソール・ウィンドウを有効にします。
0xAD
ロギング・コンソール・ウィンドウを表示します。
0xAE
ロギング・コンソール・ウィンドウを非表示にします。
0xB2
実行可能ファイルを新しいプロセスに挿入して実行します。
0xC5
レジストリ値を設定します。
0xC6
ブラウザー・クッキーとパスワードをC2にアップロードします。
0xC8
プロセスを一時停止します。
0xC9
プロセスを再開します。
0xCA
ファイルを読み取り、コンテンツをC2サーバーに送信します。
0xCB
C2が提供するコンテンツをファイルに書き込みます。
0xCC
キーロガーをオフライン・モードで起動します。
0xCD
オフライン・モードで起動したときにキーロガーを停止します。
0xCE
プロセスのTCPおよびUDPテーブルをリストします。
上で示したように、Remcosは、リモート管理、ペイロード実行、監視、永続性、インフォスティーリングなど、さまざまな機能を備えています。Remcosは正規のシステム管理者によって使用される可能性があります。さまざまな悪意のある脅威アクターによっても頻繁に使用されます。Remcosがシステム上で実行するアクションは、主にC2サーバーとの通信によって実行されます。Remcosには、攻撃者が単一のインターフェース内で複数の被害者を簡単に管理できるようにするGUIパネルが含まれています。GUIインターフェースにより、自動化されたタスクを作成することや、被害者システム上のRemcosインプラントと手動で対話することも可能です。
Hive0156は世界中でC2サーバーのネットワークを運営しており、おそらくロシアのホスティング・プロバイダーがグループの運営に対して無関心である可能性があります。X-Forceは、このグループが少なくともウクライナでジオフェンシングを採用しており、ステージング業務の一環としてヘッダー・フィルタリングを要求していることを発見しました。Hive0156は、主要な機能を有効にしたRemcosをデプロイしますが、C2からの構成を継続的に更新します。これは、休眠アクセスを優先し、新しいイニシアチブで選択的に収集できるようにすることを示している場合があります。Remcos感染とグループのC2インフラストラクチャー間の障害のない接続を保守することは、被害者のアクセスを次に進むために最も重要です。
Hive0156は、ウクライナに対する悪意のあるサイバー作戦を継続しています。X-Force®は、このグループがウクライナ人軍関係者を標的にし続けているものの、デコイ文書をより一般的なテーマに進化させていると評価し、被害者がさらに拡大していることを示唆しています。ウクライナ軍に関係している組織や関係者は、Hive0156の被害者を標的にするリスクが高まっています。
X-Forceは、Hive0156アクティビティーを軽減するために次のアクションを推奨しています。
分類
インジケーター・タイプ
コンテキスト
5.101.83[.]18
IPアドレス
C2
5.101.83[.]19
IPアドレス
C2
5.101.82[.]52
IPアドレス
C2
146.185.239[.]11
IPアドレス
C2
146.185.239[.]12
IPアドレス
C2
5.101.80[.]15
IPアドレス
C2
6637405265adc8b
SHA256
悪意のあるLNK
46d633c2937eeca2
SHA256
悪意のあるLNK
14515e5498d3d3219e
SHA256
悪意のあるLNK
37d2f3d3af2d564d6f9
SHA256
悪意のあるLNK
842d1e27d919a0ef568
SHA256
悪意のあるLNK
ccf6d3eaea549b8f1f02
SHA256
悪意のあるLNK
63e9fa71789996cf52b
SHA256
悪意のあるLNK
1f157d473ccfe51a22a0
SHA256
悪意のあるLNK
002e2e591f324ebdfa2
SHA256
悪意のあるLNK
c38beb137b130c00b6
SHA256
悪意のあるLNK
6cd56f7f1f8c7c422c672
SHA256
悪意のあるLNK
44448993bbe5931c62
SHA256
悪意のあるLNK
d9d26d19da539b0adc
SHA256
悪意のあるLNK
7efbfd633d469405c66
SHA256
悪意のあるLNK
9b662720f48749f5b29d
SHA256
悪意のあるLNK
8556f07ceb37e726a66c
SHA256
悪意のあるLNK
9d95228173bf5f29bc3d2
SHA256
悪意のあるLNK
6c5a89c3dd7b596fd1be
SHA256
悪意のあるLNK
2387e5e7f1eebfa1c27f95
SHA256
悪意のあるPowerShell
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
