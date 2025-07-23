태그
Hive0156, 우크라이나에 대한 Remcos 캠페인 지속

2025년 7월 초 현재 IBM X-Force는 우크라이나에서 피해자를 대상으로 하는 Hive0156 Remcos 원격 액세스 트로이 목마(RAT) 캠페인을 모니터링하고 있습니다. Hive0156는 우크라이나 정부 또는 군대 내의 개인을 위협하려는 러시아와 연계된 위협 행위자입니다. 이 그룹의 도구, 전술 및 절차(TTP)는 CERT-UA의 UAC-0184 행위자와 크게 겹칩니다. Hive0156은 무기화된 Microsoft LNK 및 PowerShell 파일을 제공하여 Remcos RAT를 다운로드하고 실행합니다. X-Force는 우크라이나 군대에 초점을 맞추고 더 많은 잠재 고객을 대상으로 발전하고 있음을 시사하는 주제가 포함된 주요 유인 문서를 관찰했습니다.

주요 결과: 

  • 우크라이나 전역에 Remcos RAT를 계속 제공하는 Hive0156
  • 우크라이나 군인과 관련성이 높은 미끼 문서 테마
  • 우크라이나 인프라에 대한 접근성은 러시아와 연계된 행위자들에게 여전히 주요 우선순위입니다.

분석

Hive0156은 주로 상용 멀웨어와 유인 문서를 사용하여 우크라이나의 악의적인 사이버 캠페인을 조직하는 러시아와 연계된 위협 행위자입니다. 2024년 내내 보고된 Hive0156은 우크라이나 군 신호 채팅과 인력을 표적으로 삼아 악성 LNK 파일 또는 PowerShell 스크립트를 전달하여 Remcos 감염을 유도했습니다. 이 그룹은 우크라이나 군대의 작전 태세에 관심이 있는 인원에게 매우 관련성이 높은 미끼 문서 주제를 사용합니다.

2025년 중반 이전의 테마

2025년 중반까지 Hive0156이 미끼 문서에 관련 군사 테마를 광범위하게 사용하는 것은 우크라이나 군인을 표적으로 삼는 데 우선순위가 있음을 시사합니다. 캠페인 내 미끼 문서는 종종 손상되었거나 데이터 파일이 쓰레기이지만, 피해자 참여를 유도하기 위해 그룹이 선택한 주제를 드러낸다. 파일 이름은 러시아어 또는 우크라이나어의 음역된 형태로 표시되는 경우가 많습니다. 아래는 Hive0156이 2025년 중반 이전에 운영에 사용한 문서입니다.

전시 손실

uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx의 썸네일 스크린샷 uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

제33 기계화 여단은 우크라이나 지상군 여단입니다. 2024년 말, 제33사단은 쿠라호베에서 전투 작전에 참여했고, 이후에는 헤오르히예프카와 불레다르 전선에서 전투 작전에 참여했습니다. 미끼는 일반적으로 다양한 리소스의 수준을 전달하는 다양한 지표가 있는 인증되지 않은 기능 Excel 문서입니다.

Hive0156에서 사용하는 우크라이나어 문서 스크린샷
그림 1: Hive0156에서 사용하는 우크라이나어 문서

대대 준비 상태 점검

nakaz_shchodo_Perevyrky_Gotovnosty_1MEHBAT_14.07.2024.docx의 썸네일 스크린샷

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx는 준비 명령을 의미하며 제33 기계화 여단과 관련이 있을 수 있습니다. 파일 이름은 제33사단 내의 공식 대대인 첫 번째 기계화 대대의 준비 상태를 나타냅니다.

2024년 6월, CERT-UA는 우크라이나의 제3 분리 공격 여단이 등장하는 악성 파일을 전송하는 UAC-0184를 보고했으며, 이는 유사한 공격 체인으로 이어졌습니다.

인력 분포 계산

Rozrahunok_rozpodyl_operatyvnogo_skladu.doc의 썸네일 스크린샷

기계로 번역된 Rozrahunok_rozpodyl_operatyvnogo_skladu.doc는 운영 인력의 분포를 나타냅니다. 일관된 전시 주제를 고려할 때, 이는 병력 수를 의미하는 것으로 보입니다.

적의 위치

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx의 썸네일 스크린샷

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx는 러시아어에서 번역된 기능적인 Excel 문서입니다. 이 파일은 이란의 잔잔 프로비던스에 대한 좌표 매핑으로 구성되어 있습니다. 좌표를 확인한 결과, 위치는 대부분 틱메 대쉬 강과 같은 관개 수원지 근처의 농지로 구성되어 있는 것으로 보입니다.

이란 북부에 대한 좌표 매핑이 포함된 Excel 파일
그림 2: 이란 북부에 대한 좌표 매핑이 포함된 Excel 파일
미끼 문서 내 좌표의 일반 위치
그림 3: 미끼 문서 내 좌표의 일반 위치

2025년 중반 주제

2015년 중반 현재 X-Force에서는 "청원", "공식 커버 레터" 또는 "공식 거부"와 관련된 주제를 담은 우크라이나어 미끼 문서를 음역한 것을 관찰하고 있습니다. 이는 군사적 주제에 중점을 두던 그룹에서 벗어나 보다 일반 대중을 겨냥한 것입니다. 2025년 중반 이후 관찰된 미끼 문서는 일반적으로 손상되었거나 정크 데이터로 채워져 있습니다.

공격 체인

2025년 7월 초 현재 이 그룹은 Remcos를 기본 최종 페이로드로 계속 제공하고 있으며 2024년부터 제공을 간소화했습니다. 최근 Hive0156 캠페인은 무기화된 1단계 LNK 또는 PowerShell 파일로 시작됩니다. 실행 시 첫 번째 단계에서는 공격자의 명령 및 제어(C2) 인프라에 접속하여 악성 파일의 미끼 문서와 zip 아카이브를 검색합니다. C2 서버에 대한 통신은 지리적 지역 및 예상 사용자 에이전트별로 필터링됩니다. 검색에 성공하면 미끼 문서가 사용자에게 표시되지만 손상된 경우가 많습니다. 백그라운드에서 Hijackloader(일명 IDAT 로더)의 인스턴스가 실행되어 Remcos RAT를 전달합니다.

Hive0156 공격 체인의 예
그림 4: Hive0156 공격 체인

1단계 세부 정보

최근 캠페인에서 Hive0156은 악성 LNK 또는 PowerShell 파일 사이에서 1단계 감염을 교대로 수행합니다. 두 유형의 기능은 동일합니다. 그룹이 로더 멀웨어를 전달하기 위해서는 1단계 실행이 매우 중요한데, 이 멀웨어는 zip 아카이브로 다운로드됩니다.  두 가지 1단계 유형 모두 백그라운드에서 HijackLoader 감염 체인을 실행하는 동시에 사용자에게 미끼 문서를 제공합니다.

LNK와 PowerShell 스타일 캠페인의 주요 차이점 중 하나는 미끼 문서를 전달한다는 점입니다. LNK 기반 캠페인에서는 유인 문서와 HijackLoader ZIP 아카이브를 다운로드하기 위한 두 개의 개별 C2 요청이 시작됩니다. PowerShell 기반 캠페인에서는 HijackLoader ZIP 파일을 다운로드하라는 한 번의 호출이 시작되며 여기에는 유인 문서가 포함됩니다. 이러한 구분은 네트워크 방어자가 발생한 1단계 감염 유형을 식별하는 데 도움이 될 수 있습니다.

HijackLoader(IDAT Loader라고도 함) 세부 정보

HijackLoader의 실행은 Remcos에 대한 그룹의 전달 메커니즘 역할을 합니다. IDAT 로더라고도 하는 HijackLoader는 1단계 zip 내에 함께 있는 데이터 파일을 참조하여 최종 페이로드인 Remcos를 해독합니다.

위협 행위자는 HijackLoader를 ZIP 파일에 패키징합니다. HijackLoader ZIP 파일에는 여러 구성 요소가 포함되어 있으며, 감염 체인을 계속하려면 모두 존재해야 합니다.

HijackLoader의 예 ZIP 파일에는 여러 구성 요소가 포함되어 있으며 감염 체인을 계속하려면 모두 존재해야 합니다.

HijackLoader ZIP 파일에는 일반적으로 다음 구성 요소가 있습니다.

  • 일반적으로 유효한 인증서로 서명된 합법적인 실행 파일입니다. (이 경우에는 PortRemo.exe)
  • 합법적인 실행 파일을 실행하려면 합법적인 DLL 파일이 필요합니다. (이 경우에는 Tools.dll)
  • HijackLoader의 추가 단계를 로드하는 코드가 포함된 패치된 DLL 파일입니다. (이 경우에는 sqlite3.dll)
  • HijackLoader의 암호화된 모듈과 최종 페이로드가 포함된 PNG 파일입니다. PNG 파일의 이름은 일반적으로 무작위로 지정됩니다. (이 경우, Churtseechang.vky)
  • 암호화된 셸코드가 포함된 파일로, 이름도 무작위로 지정됩니다. (이 경우, Weertijeegdoob.jm)

이 예에서 HijackLoader와 관련된 파일은 premo.zip이라는 ZIP 파일로 패키징되었습니다.  합법적인 실행 파일인 PortRemo.exe는 초기 LNK 파일에 의해 실행되며, 이 파일은 악성 패치가 적용된 DLL sqlite3.exe를 로드합니다.

다음 이미지는 PortRemo.exe의 가져오기 테이블을 보여줍니다.  실행 중 어느 시점에서 이러한 함수 중 하나가 호출되어 결국 sqlite3.exe 내의 악성 코드로 이어집니다.

PortRemo.exe 가져오기 테이블의 스크린샷

이 예제에서 sqlite3_result_text16()은 악성 함수입니다. HijackLoader는 IDA가 파일을 제대로 분석하지 못하도록 내보내기 테이블을 활용합니다.

악성 함수로 sqlite3_result_text16()을 보여주는 예

패치된 DLL은 HijackLoader의 1단계 셸코드를 읽고 해독합니다. 해독된 셸코드는 HijackLoader 구성 요소가 포함된 PNG 파일을 해독합니다. HijackLoader는 향상된 기능을 위해 다양한 모듈을 활용합니다.

다음 표에는 알려진 모듈과 해당 기능이 나열되어 있습니다.

이름

기능성

AVDATA

보안 소프트웨어와 관련된 것으로 알려진 프로세스 이름을 확인하는 차단 목록 모듈입니다.

ESAL

최종 페이로드를 실행합니다.

ESLDR

HijackLoader와 관련된 셸코드를 주입하고 실행하는 데 사용됩니다.

ESWR

메모리에서 셸코드를 제거하고 "rShell" 모듈을 실행합니다.

FIXED

프로세스 주입에 사용되는 합법적인 실행 파일입니다.

LaunchLdr

모든 모듈을 추출하기 위해 HijackLoader PNG 파일의 암호를 해독합니다.

rshell

메모리에 최종 페이로드를 설정하고 실행합니다.

ti

1단계 이후 코드 삽입을 수행합니다.

tinystub

패치 및 주입에 사용되는 빈 PE 파일입니다.

tinyutilitymodule

지정된 파일의 PE 헤더를 null 바이트로 덮어씁니다.

모든 모듈이 완료되면 HijackLoader는 최종 페이로드를 원격 프로세스에 주입합니다.

Remcos 세부 정보

Hive0156의 Remcos 구성에 대한 X-Force의 분석은 활성화된 기능이 거의 없는 것으로 보입니다. 그러나 이것이 위협이 감소했다는 의미는 아닙니다. Hive0156의 Remcos 버전은 주로 그룹의 C2 인프라와 통신을 설정하고 주기적으로 새 명령을 기다리도록 구성됩니다. 이 그룹은 여러 캠페인을 동시에 운영하는 것으로 보이며 Remcos의 캠페인 ID 기능을 부지런히 사용하고 있습니다. 2025년 내내 X-Force는 hmu2005, gu2005, ra2005 및 ra2005new 그룹과 관련된 캠페인 ID를 관찰했습니다.

Remcos는 Breaking-Security에서 개발한 원격 관리 도구입니다.  기능에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

실행 시 Remcos는 리소스 내의 Blob에서 구성을 로드합니다. 완료되면 Remcos는 구성을 구문 분석하여 실행 중에 수행할 작업을 결정합니다.

Remcos는 다음 구성 매개변수를 허용합니다.

구성 ID

기능

0x0

C2 주소를 포함합니다.

0x1

캠페인에 대한 식별자를 포함합니다.

0x2

Remcos가 C2에 연결해야 하는 빈도를 결정합니다.

0x3

실행 후 Remcos를 설치합니다.  설치에는 특정 위치로 이동하는 작업이 포함됩니다.

0x4

0x5

HKLM 및 HKCU Software\Microsoft\Windows\CurrentVersion\Run을 사용하여 지속성을 활성화합니다.

0x7

키로거 데이터를 회전하기 전의 최대 파일 크기.

0x8

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 레지스트리 키를 사용하여 지속성을 활성화합니다.

0x9

설치 중에 Remcos를 배치할 디렉토리입니다.

0xA

설치 중에 Remcos를 이동할 파일 이름입니다.

0xC

숨겨진 파일 속성을 활성화하고 관련 파일을 읽기 전용으로 설정합니다.

0xE

뮤텍스 이름입니다.

0xF

키로거를 비활성화할지, 완전히 활성화할지, 특정 Windows에서만 활성화할지를 결정합니다.

0x10

키로그가 저장되는 위치를 결정하는 데 사용됩니다.

0x11

키로그의 파일 이름을 결정하는 데 사용됩니다.

0x12

키로깅에 대한 RC4 암호화를 제어합니다.

0x13

키로거 파일에 대한 숨김을 제어합니다.

0x14

화면 녹화 기능을 사용하거나 사용하지 않도록 설정합니다.

0x15

스크린샷을 캡처하는 간격(분)입니다.

0x16

활성화된 경우 특정 창 이름에 대한 스크린샷만 기록합니다.

0x17

위 옵션의 창 이름입니다.

0x18

특정 창의 스크린샷 촬영과 관련된 시간 간격입니다.

0x19

스크린샷을 저장할 부모 디렉토리입니다.

0x23

오디오 녹음을 활성화하거나 비활성화합니다.

0x24

각 오디오 녹음에 대한 지속 시간(초)입니다.

0x25

오디오 녹음을 저장하는 부모 디렉토리입니다.

0x26

오디오 녹음을 저장할 폴더의 이름입니다.

0x27

활성화된 경우 레지스트리에서 UAC를 비활성화합니다.

0x28

로깅 모드.  콘솔 창을 활성화 또는 비활성화하는 데 사용됩니다.

0x29

첫 번째 C2 연결 시도의 지연 시간(초)입니다.

0x2A

키 로깅 기능을 위한 특정 창 이름입니다.

0x2B

시작 시 웹 브라우저 지우기를 활성화합니다. Remcos는 구성의 지침에 따라 Explorer, Chrome 및 Firefox에서 모든 쿠키 및 로그인을 삭제할 수 있습니다. 이 기능의 목적은 정보 도용자를 차단하는 것이며 악의적인 공격자는 거의 사용할 수 없습니다.

0x2C

처음 실행할 때만 웹 브라우저 청소를 활성화합니다.

0x2D

웹 브라우저를 지우기 전 수면 시간(분)입니다.

0x2E

UAC 바이패스 기능을 사용하거나 사용하지 않도록 설정합니다.

0x30

Remcos를 설치할 디렉토리입니다.

0x31

키로그를 저장할 디렉토리입니다.

0x32

워치독 기능을 활성화합니다. Remcos는 두 번째 프로세스에 자체적으로 주입하고 자체 원래 프로세스를 모니터링합니다. 기본 기능은 기본 실행 파일이 종료된 경우 다시 시작하는 것입니다.

0x34

Remcos 라이선스 번호입니다.

0x35

촬영한 각 스크린샷에 마우스 포인터를 표시하도록 설정합니다.

0x36

C2 통신에 사용되는 TLS 인증서입니다.

0x37

C2 통신에 사용되는 TLS 키입니다.

0x38

C2.2에 대한 TLS 공용 인증서입니다.

구성 플래그는 Remcos가 특정 기능을 활성화해야 하는지 여부를 결정하는 데 사용됩니다. Remcos가 구성을 구문 분석한 후 C2 서버에 연결하기 시작합니다. Remcos는 C2 서버에서 다음을 포함하여 추가 명령을 수락할 수 있습니다.

명령 ID

기능성

0x1

ping 명령.

0x2

연결 유지 패킷 전송을 비활성화합니다.

0x3

설치된 애플리케이션을 나열합니다.

0x6

실행 중인 프로세스를 나열합니다.

0x7

프로세스를 종료합니다.

0x9

창을 닫습니다.

0xA

최대화된 창을 보여줍니다.

0xB

창을 표시합니다.

0xC

창 핸들로 프로세스를 종료합니다.

0xD

셸 명령을 실행합니다.

0xE

파이프 쉘을 시작합니다.

0xF

프로그램을 실행합니다.

0x10

스크린샷을 C2 서버에 업로드합니다.

0x11

호스트의 글로벌 IP 위치를 가져옵니다.

0x12

오프라인 키로거 기능에서 정보를 가져옵니다.

0x13

온라인 모드에서 키로거를 시작합니다.

0x14

온라인 모드에서 키로거를 시작하면 키로거를 중지합니다.

0x15

키로거 데이터를 C2에 업로드합니다.

0x16

키로거 데이터를 C2에 업로드합니다.

0x17

키로거 데이터를 삭제합니다.

0x18

브라우저 쿠키 및 로그인을 지웁니다.

0x1B

웹캠 녹화 모듈을 시작합니다.

0x1C

웹캠 녹화 모듈을 중지합니다.

0x1D

마이크 녹음 모듈을 활성화합니다.

0x1E

마이크 녹음 모듈을 비활성화합니다.

0x1F

다양한 프로그램에서 자격 증명을 도용하려고 시도합니다. Nirsoft 비밀번호 복구 유틸리티를 활용합니다(https://www.nirsoft.net/)(ibm.com 외부 링크).  

0x20

파일 또는 폴더를 삭제합니다.

0x21

자체 프로세스와 감시자 프로세스를 종료합니다.

0x22

시스템에서 Remcos를 제거합니다.

0x23

컴퓨터를 다시 시작합니다.

0x24

제공된 URL에서 Remcos를 업데이트합니다.

0x25

C2 서버를 사용하여 Remcos를 업데이트합니다.

0x26

메시지 상자를 표시합니다.

0x27

시스템 종료나 최대 절전 상태를 유발합니다.

0x28

클립보드 데이터를 C2 서버에 업로드합니다.

0x29

클립보드를 C2 정의 데이터로 설정합니다.

0x2A

클립보드를 지웁니다.

0x2B

C2에서 DLL을 로드하고 실행합니다.

0x2C

제공된 URL에서 DLL을 로드하고 실행합니다.

0x2F

C2에서 제공한 값을 기반으로 레지스트리를 편집합니다.

0x30

공격자가 피해자와 채팅할 수 있도록 허용하는 것으로 나타납니다.

0x31

Remcos 이름 식별자를 설정합니다.

0x32

프록시 사용 및 관리를 허용합니다.

0x34

Remcos가 시스템 서비스를 관리할 수 있도록 합니다.

0x8F

시스템에서 파일을 검색합니다.

0x92

시스템 배경 화면을 설정합니다.

0x94

창의 텍스트를 설정하고 EnumWindows()를 사용하여 창이 있는 활성 프로세스를 나열합니다.

0x97

"dxdiag" 명령의 결과를 C2 서버에 업로드합니다.

0x98

Remcos가 복사, 이동 및 삭제와 같은 작업을 통해 파일을 관리할 수 있도록 합니다.

0x99

스크린샷 데이터를 C2에 업로드합니다.

0x9A

Nirsoft 실행 파일을 사용하여 웹 브라우저 기록을 덤프합니다.

0x9E

오디오 파일 "alarm.wav"를 재생합니다.  이 파일은 C2 서버에서 가져옵니다.

0x9F

C2 연결 해제 시 "alarm.wav" 재생을 활성화합니다.

0xA0

C2 연결 해제 시 "alarm.wav" 재생을 비활성화합니다.

0xA2

C2 서버에서 "alarm.wav"를 다운로드합니다.

0xA3

오디오 파일을 재생합니다.

0xAB

프로세스를 향상시킵니다.

0xAC

로깅 콘솔 창을 활성화합니다.

0xAD

로깅 콘솔 창을 표시합니다.

0xAE

로깅 콘솔 창을 숨깁니다.

0xB2

실행 파일을 새 프로세스에 삽입하고 실행합니다.

0xC5

레지스트리 값을 설정합니다.

0xC6

브라우저 쿠키와 비밀번호를 C2에 업로드합니다.

0xC8

프로세스를 일시 중단합니다.

0xC9

프로세스를 다시 시작합니다.

0xCA

파일을 읽고 콘텐츠를 C2 서버로 보냅니다.

0xCB

C2에서 제공한 콘텐츠를 파일에 씁니다.

0xCC

오프라인 모드에서 키로거를 시작합니다.

0xCD

오프라인 모드에서 키로거를 시작하면 키로거를 중지합니다.

0xCE

프로세스의 TCP 및 UDP 테이블을 나열합니다.

위에서 볼 수 있듯이 Remcos는 원격 관리, 페이로드 실행, 감시, 지속성 및 정보 도용을 비롯한 능력을 제공합니다. Remcos는 합법적인 시스템 관리자가 사용할 수 있지만 다양한 악의적인 위협 행위자들도 많이 사용합니다. Remcos가 시스템에서 수행하는 작업은 주로 C2 서버와의 통신을 통해 이루어집니다. Remcos에는 공격자가 단일 인터페이스 내에서 여러 피해자를 쉽게 관리할 수 있는 GUI 패널이 포함되어 있습니다. GUI 인터페이스를 사용하면 자동화된 작업을 생성할 수 있을 뿐만 아니라 피해자 시스템에서 Remcos 임플란트와 수동으로 상호 작용할 수 있습니다.

인프라 및 운영

Hive0156은 전 세계적으로 C2 서버 네트워크를 운영하고 있으며 러시아 호스팅 제공업체의 그룹 운영에 대한 무관심에서 비롯된 것으로 보입니다. X-Force는 이 그룹이 적어도 우크라이나에 지오펜싱을 사용하고 스테이징 작업의 일부로 헤더 필터링을 요청한다는 사실을 발견했습니다. Hive0156은 제한된 기능을 사용하여 Remcos를 배포하지만 C2에서 구성을 지속적으로 업데이트합니다. 이는 휴면 액세스에 우선순위를 지정하고 새로운 이니셔티브에 따라 선택적으로 수집을 활성화하는 것을 의미할 수 있습니다. 피해자의 지속적인 액세스를 위해서는 Remcos 감염과 그룹의 C2 인프라 간에 방해받지 않는 연결을 유지하는 것이 가장 중요합니다.

결론

Hive0156은 우크라이나에 대한 악의적인 사이버 작전을 계속 수행하고 있습니다. X-Force는 이 그룹이 계속해서 우크라이나 군인을 표적으로 삼고 있지만, 미끼 문서를 보다 일반적인 주제로 발전시키고 있어 피해자 풀이 더 넓다고 평가합니다. 우크라이나 군대에 속하거나 그와 관련된 조직 및 인원은 Hive0156 피해자를 표적으로 삼을 위험이 높습니다.

권장 사항:

X-Force는 Hive0156 활동을 완화하기 위해 다음과 같은 조치를 권장합니다.

  1. 사용자 교육 및 인식: 사용자가 이메일이나 메신저 채팅, 특히 첨부 파일이 포함된 채팅을 열거나 링크를 클릭할 때 주의하도록 장려합니다. 파일을 열기 전에 발신자의 신원을 확인하고 파일 확장자를 확인하도록 지시하세요.
  2. 엔드포인트 보호: Remcos와 같이 알려진 멀웨어 변종과 의심스러운 동작을 탐지하고 차단할 수 있는 업데이트된 엔드포인트 보호 소프트웨어를 배포합니다. 멀웨어 시그니처와 행동 패턴을 정기적으로 업데이트하세요.
  3. 네트워크 세분화: 보안 침해 발생 시 네트워크를 분할하여 수평 이동을 제한합니다. 이는 성공적인 감염으로 인한 잠재적 피해를 제한합니다.
  4. 지리적 차단: 지리적 차단 규칙을 구현하여 알려진 악성 C2 서버, 특히 Hive0156에 연결된 서버에 대한 연결을 방지합니다.
  5. 모니터링 및 분석: 네트워크 트래픽을 정기적으로 모니터링하고 분석하여 비정상적인 활동이나 알려진 악성 IP에 대한 연결이 있는지 확인합니다. 행동 분석 및 이상 징후 탐지 기능을 제공하는 솔루션을 사용하세요.
  6. 패치 관리: 최신 패치를 사용하여 모든 시스템과 애플리케이션을 최신 상태로 유지합니다. 위협 행위자가 사용하는 많은 악용은 패치된 알려진 취약점을 활용합니다.
  7. 사고 대응 계획: 사고 대응 계획을 개발하고 정기적으로 업데이트합니다. 이를 통해 침해가 발생할 경우 신속하고 효과적으로 대응할 수 있습니다.
  8. 보안 도구 사용: Hive0156의 일반적인 초기 전달 메커니즘인 악성 PowerShell 스크립트 및 LNK 파일을 탐지하고 차단할 수 있는 보안 도구를 사용합니다.

침해 지표

지표

지표 유형

컨텍스트

5.101.83[.]18

IP 주소

C2

5.101.83[.]19

IP 주소

C2

5.101.82[.]52

IP 주소

C2

146.185.239[.]11

IP 주소

C2

146.185.239[.]12

IP 주소

C2

5.101.80[.]15

IP 주소

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

악성 LNK

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

악성 LNK

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

악성 LNK

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

악성 LNK

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

악성 LNK

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

악성 LNK

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

악성 LNK

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

악성 LNK

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

악성 LNK

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

악성 LNK

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

악성 LNK

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

악성 LNK

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

악성 LNK

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

악성 LNK

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

악성 LNK

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

악성 LNK

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

악성 LNK

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

악성 LNK

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

악성 PowerShell

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

IBM X-Force Premier 위협 인텔리전스가 OpenCTI by Filigran과 통합되어 이러한 위협 활동 등에 대한 실행 가능 위협 인텔리전스를 제공합니다. 위협 행위자, 멀웨어 및 산업 위험에 대한 인사이트에 액세스하세요. X-Force OpenCTI 커넥터를 설치하여 탐지 및 대응을 개선하고 IBM X-Force의 전문성을 통해 사이버 보안을 강화하세요. 지금 X-Force Premier Threat Intelligence 30일 평가판을 이용해 보세요!
