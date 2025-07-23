2025년 7월 초 현재 IBM X-Force는 우크라이나에서 피해자를 대상으로 하는 Hive0156 Remcos 원격 액세스 트로이 목마(RAT) 캠페인을 모니터링하고 있습니다. Hive0156는 우크라이나 정부 또는 군대 내의 개인을 위협하려는 러시아와 연계된 위협 행위자입니다. 이 그룹의 도구, 전술 및 절차(TTP)는 CERT-UA의 UAC-0184 행위자와 크게 겹칩니다. Hive0156은 무기화된 Microsoft LNK 및 PowerShell 파일을 제공하여 Remcos RAT를 다운로드하고 실행합니다. X-Force는 우크라이나 군대에 초점을 맞추고 더 많은 잠재 고객을 대상으로 발전하고 있음을 시사하는 주제가 포함된 주요 유인 문서를 관찰했습니다.
Hive0156은 주로 상용 멀웨어와 유인 문서를 사용하여 우크라이나의 악의적인 사이버 캠페인을 조직하는 러시아와 연계된 위협 행위자입니다. 2024년 내내 보고된 Hive0156은 우크라이나 군 신호 채팅과 인력을 표적으로 삼아 악성 LNK 파일 또는 PowerShell 스크립트를 전달하여 Remcos 감염을 유도했습니다. 이 그룹은 우크라이나 군대의 작전 태세에 관심이 있는 인원에게 매우 관련성이 높은 미끼 문서 주제를 사용합니다.
2025년 중반까지 Hive0156이 미끼 문서에 관련 군사 테마를 광범위하게 사용하는 것은 우크라이나 군인을 표적으로 삼는 데 우선순위가 있음을 시사합니다. 캠페인 내 미끼 문서는 종종 손상되었거나 데이터 파일이 쓰레기이지만, 피해자 참여를 유도하기 위해 그룹이 선택한 주제를 드러낸다. 파일 이름은 러시아어 또는 우크라이나어의 음역된 형태로 표시되는 경우가 많습니다. 아래는 Hive0156이 2025년 중반 이전에 운영에 사용한 문서입니다.
제33 기계화 여단은 우크라이나 지상군 여단입니다. 2024년 말, 제33사단은 쿠라호베에서 전투 작전에 참여했고, 이후에는 헤오르히예프카와 불레다르 전선에서 전투 작전에 참여했습니다. 미끼는 일반적으로 다양한 리소스의 수준을 전달하는 다양한 지표가 있는 인증되지 않은 기능 Excel 문서입니다.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx는 준비 명령을 의미하며 제33 기계화 여단과 관련이 있을 수 있습니다. 파일 이름은 제33사단 내의 공식 대대인 첫 번째 기계화 대대의 준비 상태를 나타냅니다.
2024년 6월, CERT-UA는 우크라이나의 제3 분리 공격 여단이 등장하는 악성 파일을 전송하는 UAC-0184를 보고했으며, 이는 유사한 공격 체인으로 이어졌습니다.
기계로 번역된 Rozrahunok_rozpodyl_operatyvnogo_skladu.doc는 운영 인력의 분포를 나타냅니다. 일관된 전시 주제를 고려할 때, 이는 병력 수를 의미하는 것으로 보입니다.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx는 러시아어에서 번역된 기능적인 Excel 문서입니다. 이 파일은 이란의 잔잔 프로비던스에 대한 좌표 매핑으로 구성되어 있습니다. 좌표를 확인한 결과, 위치는 대부분 틱메 대쉬 강과 같은 관개 수원지 근처의 농지로 구성되어 있는 것으로 보입니다.
2015년 중반 현재 X-Force에서는 "청원", "공식 커버 레터" 또는 "공식 거부"와 관련된 주제를 담은 우크라이나어 미끼 문서를 음역한 것을 관찰하고 있습니다. 이는 군사적 주제에 중점을 두던 그룹에서 벗어나 보다 일반 대중을 겨냥한 것입니다. 2025년 중반 이후 관찰된 미끼 문서는 일반적으로 손상되었거나 정크 데이터로 채워져 있습니다.
2025년 7월 초 현재 이 그룹은 Remcos를 기본 최종 페이로드로 계속 제공하고 있으며 2024년부터 제공을 간소화했습니다. 최근 Hive0156 캠페인은 무기화된 1단계 LNK 또는 PowerShell 파일로 시작됩니다. 실행 시 첫 번째 단계에서는 공격자의 명령 및 제어(C2) 인프라에 접속하여 악성 파일의 미끼 문서와 zip 아카이브를 검색합니다. C2 서버에 대한 통신은 지리적 지역 및 예상 사용자 에이전트별로 필터링됩니다. 검색에 성공하면 미끼 문서가 사용자에게 표시되지만 손상된 경우가 많습니다. 백그라운드에서 Hijackloader(일명 IDAT 로더)의 인스턴스가 실행되어 Remcos RAT를 전달합니다.
최근 캠페인에서 Hive0156은 악성 LNK 또는 PowerShell 파일 사이에서 1단계 감염을 교대로 수행합니다. 두 유형의 기능은 동일합니다. 그룹이 로더 멀웨어를 전달하기 위해서는 1단계 실행이 매우 중요한데, 이 멀웨어는 zip 아카이브로 다운로드됩니다. 두 가지 1단계 유형 모두 백그라운드에서 HijackLoader 감염 체인을 실행하는 동시에 사용자에게 미끼 문서를 제공합니다.
LNK와 PowerShell 스타일 캠페인의 주요 차이점 중 하나는 미끼 문서를 전달한다는 점입니다. LNK 기반 캠페인에서는 유인 문서와 HijackLoader ZIP 아카이브를 다운로드하기 위한 두 개의 개별 C2 요청이 시작됩니다. PowerShell 기반 캠페인에서는 HijackLoader ZIP 파일을 다운로드하라는 한 번의 호출이 시작되며 여기에는 유인 문서가 포함됩니다. 이러한 구분은 네트워크 방어자가 발생한 1단계 감염 유형을 식별하는 데 도움이 될 수 있습니다.
HijackLoader의 실행은 Remcos에 대한 그룹의 전달 메커니즘 역할을 합니다. IDAT 로더라고도 하는 HijackLoader는 1단계 zip 내에 함께 있는 데이터 파일을 참조하여 최종 페이로드인 Remcos를 해독합니다.
위협 행위자는 HijackLoader를 ZIP 파일에 패키징합니다. HijackLoader ZIP 파일에는 여러 구성 요소가 포함되어 있으며, 감염 체인을 계속하려면 모두 존재해야 합니다.
HijackLoader ZIP 파일에는 일반적으로 다음 구성 요소가 있습니다.
이 예에서 HijackLoader와 관련된 파일은 premo.zip이라는 ZIP 파일로 패키징되었습니다. 합법적인 실행 파일인 PortRemo.exe는 초기 LNK 파일에 의해 실행되며, 이 파일은 악성 패치가 적용된 DLL sqlite3.exe를 로드합니다.
다음 이미지는 PortRemo.exe의 가져오기 테이블을 보여줍니다. 실행 중 어느 시점에서 이러한 함수 중 하나가 호출되어 결국 sqlite3.exe 내의 악성 코드로 이어집니다.
이 예제에서 sqlite3_result_text16()은 악성 함수입니다. HijackLoader는 IDA가 파일을 제대로 분석하지 못하도록 내보내기 테이블을 활용합니다.
패치된 DLL은 HijackLoader의 1단계 셸코드를 읽고 해독합니다. 해독된 셸코드는 HijackLoader 구성 요소가 포함된 PNG 파일을 해독합니다. HijackLoader는 향상된 기능을 위해 다양한 모듈을 활용합니다.
다음 표에는 알려진 모듈과 해당 기능이 나열되어 있습니다.
이름
기능성
AVDATA
보안 소프트웨어와 관련된 것으로 알려진 프로세스 이름을 확인하는 차단 목록 모듈입니다.
ESAL
최종 페이로드를 실행합니다.
ESLDR
HijackLoader와 관련된 셸코드를 주입하고 실행하는 데 사용됩니다.
ESWR
메모리에서 셸코드를 제거하고 "rShell" 모듈을 실행합니다.
FIXED
프로세스 주입에 사용되는 합법적인 실행 파일입니다.
LaunchLdr
모든 모듈을 추출하기 위해 HijackLoader PNG 파일의 암호를 해독합니다.
rshell
메모리에 최종 페이로드를 설정하고 실행합니다.
ti
1단계 이후 코드 삽입을 수행합니다.
tinystub
패치 및 주입에 사용되는 빈 PE 파일입니다.
tinyutilitymodule
지정된 파일의 PE 헤더를 null 바이트로 덮어씁니다.
모든 모듈이 완료되면 HijackLoader는 최종 페이로드를 원격 프로세스에 주입합니다.
Hive0156의 Remcos 구성에 대한 X-Force의 분석은 활성화된 기능이 거의 없는 것으로 보입니다. 그러나 이것이 위협이 감소했다는 의미는 아닙니다. Hive0156의 Remcos 버전은 주로 그룹의 C2 인프라와 통신을 설정하고 주기적으로 새 명령을 기다리도록 구성됩니다. 이 그룹은 여러 캠페인을 동시에 운영하는 것으로 보이며 Remcos의 캠페인 ID 기능을 부지런히 사용하고 있습니다. 2025년 내내 X-Force는 hmu2005, gu2005, ra2005 및 ra2005new 그룹과 관련된 캠페인 ID를 관찰했습니다.
Remcos는 Breaking-Security에서 개발한 원격 관리 도구입니다. 기능에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
실행 시 Remcos는 리소스 내의 Blob에서 구성을 로드합니다. 완료되면 Remcos는 구성을 구문 분석하여 실행 중에 수행할 작업을 결정합니다.
Remcos는 다음 구성 매개변수를 허용합니다.
구성 ID
기능
0x0
C2 주소를 포함합니다.
0x1
캠페인에 대한 식별자를 포함합니다.
0x2
Remcos가 C2에 연결해야 하는 빈도를 결정합니다.
0x3
실행 후 Remcos를 설치합니다. 설치에는 특정 위치로 이동하는 작업이 포함됩니다.
0x4
0x5
HKLM 및 HKCU Software\Microsoft\Windows\CurrentVersion\Run을 사용하여 지속성을 활성화합니다.
0x7
키로거 데이터를 회전하기 전의 최대 파일 크기.
0x8
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 레지스트리 키를 사용하여 지속성을 활성화합니다.
0x9
설치 중에 Remcos를 배치할 디렉토리입니다.
0xA
설치 중에 Remcos를 이동할 파일 이름입니다.
0xC
숨겨진 파일 속성을 활성화하고 관련 파일을 읽기 전용으로 설정합니다.
0xE
뮤텍스 이름입니다.
0xF
키로거를 비활성화할지, 완전히 활성화할지, 특정 Windows에서만 활성화할지를 결정합니다.
0x10
키로그가 저장되는 위치를 결정하는 데 사용됩니다.
0x11
키로그의 파일 이름을 결정하는 데 사용됩니다.
0x12
키로깅에 대한 RC4 암호화를 제어합니다.
0x13
키로거 파일에 대한 숨김을 제어합니다.
0x14
화면 녹화 기능을 사용하거나 사용하지 않도록 설정합니다.
0x15
스크린샷을 캡처하는 간격(분)입니다.
0x16
활성화된 경우 특정 창 이름에 대한 스크린샷만 기록합니다.
0x17
위 옵션의 창 이름입니다.
0x18
특정 창의 스크린샷 촬영과 관련된 시간 간격입니다.
0x19
스크린샷을 저장할 부모 디렉토리입니다.
0x23
오디오 녹음을 활성화하거나 비활성화합니다.
0x24
각 오디오 녹음에 대한 지속 시간(초)입니다.
0x25
오디오 녹음을 저장하는 부모 디렉토리입니다.
0x26
오디오 녹음을 저장할 폴더의 이름입니다.
0x27
활성화된 경우 레지스트리에서 UAC를 비활성화합니다.
0x28
로깅 모드. 콘솔 창을 활성화 또는 비활성화하는 데 사용됩니다.
0x29
첫 번째 C2 연결 시도의 지연 시간(초)입니다.
0x2A
키 로깅 기능을 위한 특정 창 이름입니다.
0x2B
시작 시 웹 브라우저 지우기를 활성화합니다. Remcos는 구성의 지침에 따라 Explorer, Chrome 및 Firefox에서 모든 쿠키 및 로그인을 삭제할 수 있습니다. 이 기능의 목적은 정보 도용자를 차단하는 것이며 악의적인 공격자는 거의 사용할 수 없습니다.
0x2C
처음 실행할 때만 웹 브라우저 청소를 활성화합니다.
0x2D
웹 브라우저를 지우기 전 수면 시간(분)입니다.
0x2E
UAC 바이패스 기능을 사용하거나 사용하지 않도록 설정합니다.
0x30
Remcos를 설치할 디렉토리입니다.
0x31
키로그를 저장할 디렉토리입니다.
0x32
워치독 기능을 활성화합니다. Remcos는 두 번째 프로세스에 자체적으로 주입하고 자체 원래 프로세스를 모니터링합니다. 기본 기능은 기본 실행 파일이 종료된 경우 다시 시작하는 것입니다.
0x34
Remcos 라이선스 번호입니다.
0x35
촬영한 각 스크린샷에 마우스 포인터를 표시하도록 설정합니다.
0x36
C2 통신에 사용되는 TLS 인증서입니다.
0x37
C2 통신에 사용되는 TLS 키입니다.
0x38
C2.2에 대한 TLS 공용 인증서입니다.
구성 플래그는 Remcos가 특정 기능을 활성화해야 하는지 여부를 결정하는 데 사용됩니다. Remcos가 구성을 구문 분석한 후 C2 서버에 연결하기 시작합니다. Remcos는 C2 서버에서 다음을 포함하여 추가 명령을 수락할 수 있습니다.
명령 ID
기능성
0x1
ping 명령.
0x2
연결 유지 패킷 전송을 비활성화합니다.
0x3
설치된 애플리케이션을 나열합니다.
0x6
실행 중인 프로세스를 나열합니다.
0x7
프로세스를 종료합니다.
0x9
창을 닫습니다.
0xA
최대화된 창을 보여줍니다.
0xB
창을 표시합니다.
0xC
창 핸들로 프로세스를 종료합니다.
0xD
셸 명령을 실행합니다.
0xE
파이프 쉘을 시작합니다.
0xF
프로그램을 실행합니다.
0x10
스크린샷을 C2 서버에 업로드합니다.
0x11
호스트의 글로벌 IP 위치를 가져옵니다.
0x12
오프라인 키로거 기능에서 정보를 가져옵니다.
0x13
온라인 모드에서 키로거를 시작합니다.
0x14
온라인 모드에서 키로거를 시작하면 키로거를 중지합니다.
0x15
키로거 데이터를 C2에 업로드합니다.
0x16
키로거 데이터를 C2에 업로드합니다.
0x17
키로거 데이터를 삭제합니다.
0x18
브라우저 쿠키 및 로그인을 지웁니다.
0x1B
웹캠 녹화 모듈을 시작합니다.
0x1C
웹캠 녹화 모듈을 중지합니다.
0x1D
마이크 녹음 모듈을 활성화합니다.
0x1E
마이크 녹음 모듈을 비활성화합니다.
0x1F
다양한 프로그램에서 자격 증명을 도용하려고 시도합니다. Nirsoft 비밀번호 복구 유틸리티를 활용합니다(https://www.nirsoft.net/)(ibm.com 외부 링크).
0x20
파일 또는 폴더를 삭제합니다.
0x21
자체 프로세스와 감시자 프로세스를 종료합니다.
0x22
시스템에서 Remcos를 제거합니다.
0x23
컴퓨터를 다시 시작합니다.
0x24
제공된 URL에서 Remcos를 업데이트합니다.
0x25
C2 서버를 사용하여 Remcos를 업데이트합니다.
0x26
메시지 상자를 표시합니다.
0x27
시스템 종료나 최대 절전 상태를 유발합니다.
0x28
클립보드 데이터를 C2 서버에 업로드합니다.
0x29
클립보드를 C2 정의 데이터로 설정합니다.
0x2A
클립보드를 지웁니다.
0x2B
C2에서 DLL을 로드하고 실행합니다.
0x2C
제공된 URL에서 DLL을 로드하고 실행합니다.
0x2F
C2에서 제공한 값을 기반으로 레지스트리를 편집합니다.
0x30
공격자가 피해자와 채팅할 수 있도록 허용하는 것으로 나타납니다.
0x31
Remcos 이름 식별자를 설정합니다.
0x32
프록시 사용 및 관리를 허용합니다.
0x34
Remcos가 시스템 서비스를 관리할 수 있도록 합니다.
0x8F
시스템에서 파일을 검색합니다.
0x92
시스템 배경 화면을 설정합니다.
0x94
창의 텍스트를 설정하고 EnumWindows()를 사용하여 창이 있는 활성 프로세스를 나열합니다.
0x97
"dxdiag" 명령의 결과를 C2 서버에 업로드합니다.
0x98
Remcos가 복사, 이동 및 삭제와 같은 작업을 통해 파일을 관리할 수 있도록 합니다.
0x99
스크린샷 데이터를 C2에 업로드합니다.
0x9A
Nirsoft 실행 파일을 사용하여 웹 브라우저 기록을 덤프합니다.
0x9E
오디오 파일 "alarm.wav"를 재생합니다. 이 파일은 C2 서버에서 가져옵니다.
0x9F
C2 연결 해제 시 "alarm.wav" 재생을 활성화합니다.
0xA0
C2 연결 해제 시 "alarm.wav" 재생을 비활성화합니다.
0xA2
C2 서버에서 "alarm.wav"를 다운로드합니다.
0xA3
오디오 파일을 재생합니다.
0xAB
프로세스를 향상시킵니다.
0xAC
로깅 콘솔 창을 활성화합니다.
0xAD
로깅 콘솔 창을 표시합니다.
0xAE
로깅 콘솔 창을 숨깁니다.
0xB2
실행 파일을 새 프로세스에 삽입하고 실행합니다.
0xC5
레지스트리 값을 설정합니다.
0xC6
브라우저 쿠키와 비밀번호를 C2에 업로드합니다.
0xC8
프로세스를 일시 중단합니다.
0xC9
프로세스를 다시 시작합니다.
0xCA
파일을 읽고 콘텐츠를 C2 서버로 보냅니다.
0xCB
C2에서 제공한 콘텐츠를 파일에 씁니다.
0xCC
오프라인 모드에서 키로거를 시작합니다.
0xCD
오프라인 모드에서 키로거를 시작하면 키로거를 중지합니다.
0xCE
프로세스의 TCP 및 UDP 테이블을 나열합니다.
위에서 볼 수 있듯이 Remcos는 원격 관리, 페이로드 실행, 감시, 지속성 및 정보 도용을 비롯한 능력을 제공합니다. Remcos는 합법적인 시스템 관리자가 사용할 수 있지만 다양한 악의적인 위협 행위자들도 많이 사용합니다. Remcos가 시스템에서 수행하는 작업은 주로 C2 서버와의 통신을 통해 이루어집니다. Remcos에는 공격자가 단일 인터페이스 내에서 여러 피해자를 쉽게 관리할 수 있는 GUI 패널이 포함되어 있습니다. GUI 인터페이스를 사용하면 자동화된 작업을 생성할 수 있을 뿐만 아니라 피해자 시스템에서 Remcos 임플란트와 수동으로 상호 작용할 수 있습니다.
Hive0156은 전 세계적으로 C2 서버 네트워크를 운영하고 있으며 러시아 호스팅 제공업체의 그룹 운영에 대한 무관심에서 비롯된 것으로 보입니다. X-Force는 이 그룹이 적어도 우크라이나에 지오펜싱을 사용하고 스테이징 작업의 일부로 헤더 필터링을 요청한다는 사실을 발견했습니다. Hive0156은 제한된 기능을 사용하여 Remcos를 배포하지만 C2에서 구성을 지속적으로 업데이트합니다. 이는 휴면 액세스에 우선순위를 지정하고 새로운 이니셔티브에 따라 선택적으로 수집을 활성화하는 것을 의미할 수 있습니다. 피해자의 지속적인 액세스를 위해서는 Remcos 감염과 그룹의 C2 인프라 간에 방해받지 않는 연결을 유지하는 것이 가장 중요합니다.
Hive0156은 우크라이나에 대한 악의적인 사이버 작전을 계속 수행하고 있습니다. X-Force는 이 그룹이 계속해서 우크라이나 군인을 표적으로 삼고 있지만, 미끼 문서를 보다 일반적인 주제로 발전시키고 있어 피해자 풀이 더 넓다고 평가합니다. 우크라이나 군대에 속하거나 그와 관련된 조직 및 인원은 Hive0156 피해자를 표적으로 삼을 위험이 높습니다.
X-Force는 Hive0156 활동을 완화하기 위해 다음과 같은 조치를 권장합니다.
지표
지표 유형
컨텍스트
5.101.83[.]18
IP 주소
C2
5.101.83[.]19
IP 주소
C2
5.101.82[.]52
IP 주소
C2
146.185.239[.]11
IP 주소
C2
146.185.239[.]12
IP 주소
C2
5.101.80[.]15
IP 주소
C2
6637405265adc8b
SHA256
악성 LNK
46d633c2937eeca2
SHA256
악성 LNK
14515e5498d3d3219e
SHA256
악성 LNK
37d2f3d3af2d564d6f9
SHA256
악성 LNK
842d1e27d919a0ef568
SHA256
악성 LNK
ccf6d3eaea549b8f1f02
SHA256
악성 LNK
63e9fa71789996cf52b
SHA256
악성 LNK
1f157d473ccfe51a22a0
SHA256
악성 LNK
002e2e591f324ebdfa2
SHA256
악성 LNK
c38beb137b130c00b6
SHA256
악성 LNK
6cd56f7f1f8c7c422c672
SHA256
악성 LNK
44448993bbe5931c62
SHA256
악성 LNK
d9d26d19da539b0adc
SHA256
악성 LNK
7efbfd633d469405c66
SHA256
악성 LNK
9b662720f48749f5b29d
SHA256
악성 LNK
8556f07ceb37e726a66c
SHA256
악성 LNK
9d95228173bf5f29bc3d2
SHA256
악성 LNK
6c5a89c3dd7b596fd1be
SHA256
악성 LNK
2387e5e7f1eebfa1c27f95
SHA256
악성 PowerShell
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
