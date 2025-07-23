العلامات
الأمن

Hive0156 تواصل شن حملات Remcos على أوكرانيا

رجلان يعملان على أجهزة كمبيوتر في غرفة خوادم

المؤلفون

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

بدايةً من أوائل شهر يوليو 2025، ترصد IBM X-Force حملات نشطة من Hive0156 تستخدم حصان طروادة للوصول عن بُعد Remcos وتستهدف ضحايا في أوكرانيا. Hive0156 هي عنصر تهديد موالٍ لروسيا يسعى إلى اختراق أفراد داخل الحكومة الأوكرانية أو الجيش الأوكراني. تتشابه أدوات هذه المجموعة وأساليبها وإجراءاتها (TTPs) بشكل كبير مع العنصر UAC-0184 التابع لفريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA). ترسل Hive0156 ملفات Microsoft LNK وPowerShell خبيثة، ما يؤدي إلى تنزيل Remcos RAT وتنفيذه. رصدت X-Force مستندات وهمية رئيسية تتضمن مواضيع تشير إلى التركيز على الجيش الأوكراني وتتطور لتشمل جمهورًا محتملاً أوسع.

الاستنتاجات الرئيسية: 

  • Hive0156 تواصل نشر Remcos RAT في جميع أنحاء أوكرانيا
  • تُعد موضوعات المستندات المزيفة وثيقة الصلة بالعناصر العسكرية الأوكرانية
  • لا يزال الوصول إلى البنية التحتية الأوكرانية يشكل أولوية قصوى للعناصر الموالية للروس

التحليل

Hive0156 هي عنصر تهديد موالٍ لروسيا يستخدم بشكل أساسي البرامج الضارة المتاحة والمستندات المزيفة لتنظيم حملات إلكترونية خبيثة في أوكرانيا. حسب ما أُبلغ عنه طوال عام 2024، استهدفت Hive0156 محادثات الإشارات العسكرية الأوكرانية والأفراد العسكريين من خلال إرسال ملفات LNK الخبيثة أو نصوص PowerShell البرمجية، ما أدى إلى الإصابة بفيروس Remcos. تستخدم المجموعة موضوعات مزيفة وثيقة الصلة بالموظفين المعنيين بالوضع العملياتي للجيش الأوكراني.

الموضوعات قبل منتصف عام 2025

وحتى منتصف عام 2025، يشير استخدام Hive0156 للموضوعات العسكرية ذات الصلة في المستندات المزيفة على نطاق واسع إلى اهتمام ذي أولوية باستهداف أفراد الجيش الأوكراني. وغالبًا ما تكون المستندات المزيفة في الحملات ملفات بيانات تالفة أو غير مهمة، ولكنها تتضمن موضوعات اختارتها المجموعة لجذب انتباه الضحايا. غالبًا ما تكتب أسماء الملفات بصيغة صوتية مترجمة من الروسية أو الأوكرانية. فيما يلي أبرز المستندات التي استخدمتها Hive0156 في عملياتها قبل منتصف عام 2025.

الخسائر في زمن الحرب

لقطة شاشة لصورة مصغرة من uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

اللواء 33 ميكانيكي هو لواء تابع للقوات البرية الأوكرانية. في أواخر عام 2024، شاركت الكتيبة33 في العمليات القتالية في كوراخوف ولاحقًا في الخطوط الأمامية في هورهيفكا وفوهلدار. وكان المستند المزيف هو مستند Excel وظيفي غير معتمد يحتوي على مقاييس مختلفة تعكس بشكل عام مستويات الموارد المختلفة.

لقطة شاشة لمستند أوكراني تستخدمه Hive0156
الشكل 1: المستند الأوكراني الذي تستخدمه Hive0156

التحقق من جاهزية الكتيبة

لقطة شاشة لصورة مصغرة من Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx قد يشير إلى أمر بالاستعداد وربما يتعلق باللواء 33 الميكانيكي. يشير اسم الملف إلى جاهزية الكتيبة الميكانيكية الأولى، وهي كتيبة رسمية ضمن اللواء 33.

في يونيو 2024، أبلغ فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا عن UAC-0184 الذي نشر ملفات خبيثة تضمنت موضوعات متعلقة بلواء الهجوم المنفصل الثالث الأوكراني، ما أدى إلى سلاسل هجمات مماثلة.

لقطة شاشة لصورة مصغرة من Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

تشير الترجمة الآلية لاسم الملف، Rozrahunok_rozpodyl_operatyvnogo_skladu.doc إلى توزيع الطاقم العملياتي. وبالنظر إلى الموضوعات المتسقة مع الحرب، فمن المحتمل أن يشير هذا إلى أعداد القوات.

مواقع الأعداء المحتملة

لقطة شاشة لصورة مصغرة من Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx مترجم من اللغة الروسية، وهو مستند Excel وظيفي. يتكون الملف من تحديد إحداثيات محافظة زنجان في إيران. وعند فحص الإحداثيات، يبدو أن المواقع تتكون في الغالب من أراضٍ زراعية بالقرب من مصادر الري مثل نهر تيكمه داش.

ملف Excel يتضمن إحداثيات لمواقع في شمال إيران
الشكل 2: ملف Excel يتضمن إحداثيات لمواقع في شمال إيران
الموقع العام للإحداثيات الموجودة في المستند المزيف
الشكل 3: الموقع العام للإحداثيات الموجودة في المستند المزيف

الموضوعات منذ منتصف عام 2025

منذ منتصف عام 2025، ترصد X-Force مستندات مزيفة باللغة الأوكرانية مترجمة بالحروف الصوتية تتضمن موضوعات عن "العرائض" أو "خطابات الغلاف الرسمي" أو "الرفض الرسمي". ويُعد هذا خروجًا عن تركيز المجموعة على الموضوعات العسكرية لتستهدف جمهورًا أوسع. وعادةً ما تكون المستندات المزيفة التي رُصدت بعد منتصف عام 2025 تالفة أو مليئة بالبيانات غير المهمة.

عملية الهجوم

بدايةً من أوائل شهر يوليو 2025، تواصل المجموعة نشر Remcos كحمولة نهائية أساسية وقد سهلت عملية النشر عن عام 2024. تبدأ حملات Hive0156 الأخيرة بملف LNK أو PowerShell خبيث في المرحلة الأولى. وبعد التنفيذ، تحاول المرحلة الأولى الاتصال بالبنية التحتية لخادم القيادة والتحكم (C2) الخاصة بالعنصر بهدف استرداد المستند المزيف وأرشيف zip للملفات الخبيثة. تُجرى تصفية الاتصالات بخادم C2 حسب المنطقة الجغرافية ووكيل المستخدم المتوقع. وعند الاسترجاع بنجاح، يظهر المستند المزيف للمستخدم، ولكنه غالبًا ما يكون تالفًا. وفي الخلفية، يُجرى تنفيذ مثيل Hijackloader (يُعرف أيضًا باسم محمل IDAT) والذي ينشر Remcos RAT.

مثال على عملية هجوم Hive0156
الشكل 4: عملية هجوم Hive0156

تفاصيل المرحلة الأولى

في الحملات الأخيرة، تُبدل Hive0156 في المرحلة الأولى من الإصابات بين ملفات LNK أو PowerShell الخبيثة. وتُعد وظيفة كلا النوعين متكافئة. يُعد تنفيذ المرحلة الأولى أمرًا مهمًا لنشر المجموعة المحمل الضار، والذي يُجرى تنزيله في أرشيف zip.  كلا النوعين في المرحلة الأولى ينفذان عملية الإصابة بفيروس HijackLoader في الخلفية في أثناء عرض مستند مزيف للمستخدم.

يتمثل أحد أوجه الاختلاف الرئيسية بين الحملات باستخدام LNK وPowerShell في طريقة نشر المستند المزيف. في الحملات المستندة إلى LNK، يُرسل طلبين منفصلين إلى C2 لتنزيل المستند المزيف وأرشيف HijackLoader ZIP. في الحملات المستندة إلى PowerShell، يبدأ استدعاء واحد لتنزيل ملف HijackLoader ZIP ويكون متضمنًا المستند المزيف. قد يساعد هذا الفرق فرق حماية الشبكة على تحديد نوع إصابة المرحلة الأولى التي يواجهونها.

تفاصيل HijackLoader (المعروف أيضًا باسم محمل IDAT)

يعمل تنفيذ HijackLoader كآلية نشر Remcos تستخدمها المجموعة. يُعرف HijackLoader أيضًا باسم محمل IDAT، وهو يشير إلى ملفات البيانات الموجودة في موقع مشترك داخل ملف المرحلة الأولى zip للكشف عن الحمولة النهائية – Remcos.

يعمل عنصر التهديد على تضمين HijackLoader داخل ملف ZIP. تحتوي ملفات HijackLoader ZIP على عدة عناصر، جميعها يجب أن تكون موجودة حتى تستمر عملية الإصابة.

مثال على ملفات HijackLoader ZIP تحتوي على عدة عناصر، جميعها يجب أن تكون موجودة حتى تستمر عملية الإصابة.

العناصر التالية عادةً ما تكون موجودة داخل ملف HijackLoader ZIP:

  • ملف تنفيذي شرعي عادةً ما يكون موقعًا بشهادة صالحة. (في هذه الحالة، PortRemo.exe)
  • ملفات DLL شرعية مطلوبة لتشغيل الملف التنفيذي الشرعي. (في هذه الحالة، Tools.dll)
  • ملف DLL محدّث يحتوي على كود يعمل على تحميل مراحل أخرى من HijackLoader. (في هذه الحالة، sqlite3.dll)
  • ملف PNG يحتوي على الوحدات المشفرة والحمولة النهائية من HijackLoader. عادةً ما يُسمى ملف PNG بشكل عشوائي. (في هذه الحالة، Churtseechang.vky)
  • ملف يحتوي على كود shellcode مشفر، ويُسمى أيضًا بشكل عشوائي. (في هذه الحالة، Weertijeegdoob.jm)

في هذا المثال، جُمعت ملفات HijackLoader ذات الصلة في ملف ZIP باسم premo.zip.  يُنفذ الملف التنفيذي الشرعي PortRemo.exe بواسطة ملف LNK الأولي، والذي سيحمل ملف DLL الخبيث المحدّث sqlite3.dll.

تُظهر الصورة التالية جدول الاستيراد الخاص بملف PortRemo.exe.  في مرحلة ما في أثناء التنفيذ، ستُستدعى إحدى هذه الدوال والتي تؤدي في النهاية إلى الكود الخبيث داخل sqlite3.dll.

لقطة شاشة لجدول استيراد PortRemo.exe

في هذا المثال، sqlite3_result_text16() هي الدالة الخبيثة. سيستخدم HijackLoader جدول التصدير لمنع IDA من تحليل الملف بشكل جيد.

مثال يوضح sqlite3_result_text16() كدالة خبيثة

سيقرأ ملف DLL المحدّث كود shellcode الخاص بالمرحلة الأولى من HijackLoader ويفك تشفيره. وبدوره، سيفك كود shellcode الذي جرى فك تشفيره تشفير ملف PNG الذي يحتوي على عناصر HijackLoader. يستخدم HijackLoader وحدات متنوعة لتحسين الوظائف.

يتضمن الجدول التالي الوحدات المعروفة بالإضافة إلى وظائفها:

الاسم

الوظيفة

AVDATA

وحدة قائمة الحظر، والتي تتحقق من أسماء العمليات المعروف أنها ذات صلة ببرامج الأمان.

ESAL

تنفذ الحمولة النهائية.

ESLDR

تُستخدم لحقن كود shellcode المتعلق ببرنامج HijackLoader وتنفيذه.

ESWR

تحذف كود shellcode من الذاكرة وتنفذ وحدة "rshell".

FIXED

ملف تنفيذي شرعي يُستخدم لحقن العمليات.

LaunchLdr

تفك تشفير ملف HijackLoader PNG لاستخراج جميع الوحدات.

rshell

تجهز الحمولة النهائية في الذاكرة وتنفذها.

ti

تنفذ حقن كود ما بعد المرحلة الأولى.

tinystub

ملف PE فارغ يُستخدم للتحديث والحقن.

tinyutilitymodule

تستبدل رؤوس PE الخاصة بالملفات المحددة بوحدات البايت الفارغة.

بمجرد اكتمال جميع الوحدات، سيحقن HijackLoader حمولته النهائية في عملية بعيدة.

تفاصيل Remcos

أظهر تحليل X-Force لتكوين Remcos من Hive0156 أنه ضعيف من حيث الوظائف الممكّنة. لكن هذا لا يعني تراجع مستوى التهديد. جرى تكوين إصدار Remcos من Hive0156 بشكل أساسي لإنشاء اتصال مع البنية التحتية لخادم C2 الخاص بالمجموعة وانتظار أوامر جديدة بشكل دوري. ويبدو أن المجموعة تدير حملات متعددة في وقت واحد مع استخدام ميزة معرّف حملات Remcos بشكل دؤوب. خلال عام 2025، رصدت X-Force وجود معرّفات حملات مرتبطة بالمجموعة وهي: hmu2005، وgu2005، و ra2005، و ra2005new.

Remcos هي أداة للإدارة عن بُعد من تطوير Breaking-Security.  يمكن الاطلاع على تفاصيل حول مزاياها من هنا.

عند التنفيذ، يحمل Remcos تكويناته من كائن ثنائي ضمن موارده. وبمجرد الانتهاء، سيحلل Remcos تكويناته، والتي تحدد الإجراءات التي سيتخذها في أثناء التنفيذ.

يقبل Remcos معلمات التكوين التالية:

معرّف التكوين

الدالة

0x0

يحتوي على عناوين C2.

0x1

يحتوي على معرّف الحملة.

0x2

يحدد عدد مرات اتصال Remcos بخادم C2.

0x3

يعمل على تثبيت Remcos بمجرد تنفيذه.  يتضمن التثبيت نقله إلى موقع خاص.

0x4

0x5

يُمكّن الاستمرارية باستخدام HKLM وHKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

الحد الأقصى لحجم ملف بيانات مسجل ضغطات لوحة المفاتيح قبل التدوير.

0x8

يُمكّن الاستمرارية باستخدام HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run registry key.

0x9

المجلد الذي يوضع فيه Remcos في أثناء التثبيت.

0xA

اسم الملف الذي ينبغي نقل Remcos إليه في أثناء التثبيت.

0xC

يُمكّن خاصية الملفات المخفية ويُعيّن الملفات ذات الصلة كملفات للقراءة فقط.

0xE

اسم كائن الاستبعاد المتبادل.

0xF

يحدد ما إذا كان مسجل ضغطات لوحة المفاتيح معطلاً، أو ممكنًا بشكل كامل، أو ممكنًا لبعض النوافذ فقط.

0x10

يُستخدم لتحديد مكان تخزين سجلات ضغطات لوحة المفاتيح.

0x11

يُستخدم لتحديد اسم ملف سجلات ضغطات لوحة المفاتيح.

0x12

يتحكم في التشفير RC4 لسجلات ضغطات لوحة المفاتيح.

0x13

يتحكم في إخفاء ملفات مسجل ضغطات لوحة المفاتيح.

0x14

يُمكّن وظيفة تسجيل الشاشة أو يُعطلها.

0x15

الفاصل الزمني بالدقائق لالتقاط كل لقطة شاشة.

0x16

يسجل لقطات الشاشة لأسماء النوافذ المحددة فقط في حال تمكينه.

0x17

أسماء النوافذ الخاصة بالخيار المذكور أعلاه.

0x18

الفاصل الزمني المرتبط بأخذ لقطات الشاشة لنوافذ معينة.

0x19

المجلد الرئيسي الذي تُخزن فيه لقطات الشاشة.

0x23

يُمكّن التسجيل الصوتي أو يعطله.

0x24

المدة بالثواني لكل تسجيل صوتي.

0x25

المجلد الرئيسي الذي تُخزن فيه التسجيلات الصوتية.

0x26

اسم المجلد الذي تُخزن فيه التسجيلات الصوتية.

0x27

يُعطل UAC في السجل في حال تمكينه.

0x28

وضع التسجيل.  يُستخدم لتمكين أو تعطيل نافذة سطر الأوامر.

0x29

التأخير بالثواني في أول محاولة اتصال بالخادم C2.

0x2A

أسماء النوافذ المحددة لوظيفة تسجيل ضغطات لوحة المفاتيح.

0x2B

يتيح مسح متصفح الويب عند بدء التشغيل. يتمكن Remcos من حذف جميع ملفات تعريف الارتباط وبيانات تسجيل الدخول من Explorer وChrome وFirefox وفقًا لتعليمات التكوين. يتمثل الغرض من هذه الميزة في إعاقة سارقي المعلومات، وعلى الأغلب لا تفيد المهاجمين الخبيثين كثيرًا.

0x2C

يُمكّن مسح متصفح الويب عند التشغيل الأول فقط.

0x2D

وقت السكون بالدقائق قبل مسح متصفحات الويب.

0x2E

يُمكّن وظيفة تخطي UAC أو يعطلها.

0x30

المجلد الذي ينبغي تثبيت Remcos فيه.

0x31

المجلد الذي تُخزن فيخ سجلات ضغطات لوحة المفاتيح.

0x32

يفعّل إمكانات المراقبة. سيحقن Remcos نفسه في عملية ثانية وسيراقب عمليته الأصلية. تتمثل الوظيفة الأساسية في إعادة تشغيل الملف التنفيذي الأساسي إذا توقف.

0x34

رقم ترخيص Remcos.

0x35

يتيح إظهار مؤشر الماوس في كل لقطة شاشة مأخوذة.

0x36

شهادة TLS المستخدمة في الاتصال بخادم C2.

0x37

مفتاح TLS المستخدم في الاتصال بخادم C2.

0x38

شهادة TLS العامة الخاصة بخادم C2.

تُستخدم علامات التكوين لتحديد ما إذا كان ينبغي أن يُمكّن Remcos مزايا معينة. بمجرد أن يحلل Remcos تكويناته، سيبدأ في الاتصال بخوادم C2. قد يقبل Remcos أوامر إضافية من خادم C2 الخاص به، بما في ذلك ما يلي:

معرّف الأمر

الوظيفة

0x1

أمر ping.

0x2

يعطل إرسال حزم الإبقاء على اتصال.

0x3

يدرج التطبيقات المثبتة.

0x6

يدرج العمليات الجارية.

0x7

ينهي العملية.

0x9

يغلق النافذة.

0xA

يُظهر النافذة المكبرة.

0xB

يُظهر النافذة.

0xC

ينهي العملية باستخدام معرّف النافذة.

0xD

ينفذ أمر shell.

0xE

يبدأ تشغيل كود shell متصل.

0xF

ينفذ البرامج.

0x10

يرفع لقطات الشاشة إلى خادم C2.

0x11

يحصل على موقع IP العالمي للمضيف.

0x12

يحصل على المعلومات من وظيفة مسجل ضغطات لوحة المفاتيح من دون اتصال.

0x13

يبدأ تشغيل مسجل ضغطات لوحة المفاتيح في وضع الاتصال.

0x14

يوقف مسجل ضغطات لوحة المفاتيح عند بدء تشغيله في وضع الاتصال.

0x15

يرفع بيانات مسجل ضغطات لوحة المفاتيح إلى C2.

0x16

يرفع بيانات مسجل ضغطات لوحة المفاتيح إلى C2.

0x17

يحذف بيانات مسجل ضغطات لوحة المفاتيح.

0x18

يمسح ملفات تعريف الارتباط وبيانات تسجيل الدخول من المتصفح.

0x1B

يبدأ تشغيل وحدة تسجيل كاميرا الويب.

0x1C

يوقف تشغيل وحدة تسجيل كاميرا الويب.

0x1D

يُمكّن وحدة تسجيل الميكرفون.

0x1E

يعطل وحدة تسجيل الميكرفون.

0x1F

يحاول سرقة بيانات الاعتماد من برامج مختلفة. يستخدم أدوات استعادة كلمات المرور من Nirsoft: https://www.nirsoft.net/ (الرابط ينقلك خارج موقع ibm.com).  

0x20

يحذف ملفًا أو مجلدًا.

0x21

يُنهي عمليته الخاصة وعملية المراقبة.

0x22

يلغي تثبيت Remcos من النظام.

0x23

يعيد تشغيل الكمبيوتر.

0x24

يحدّث Remcos من خلال عنوان URL المقدم.

0x25

يحدّث Remcos باستخدام خادم C2.

0x26

يعرض نافذة رسالة.

0x27

يؤدي إلى إيقاف تشغيل النظام أو إدخاله في وضع الإسبات.

0x28

يرفع بيانات الحافظة إلى خادم C2.

0x29

يعيّن الحافظة على بيانات يحددها C2.

0x2A

يمسح محتوى الحافظة.

0x2B

يحمل وينفذ ملف DLL من C2.

0x2C

يحمل وينفذ ملف DLL من خلال عنوان URL المقدم.

0x2F

يعدّل السجل بناءً على القيم التي يوفرها C2.

0x30

يبدو أنه يسمح للمهاجم بالدردشة مع الضحية.

0x31

يُعيّن مُعرّف اسم Remcos.

0x32

يسمح باستخدام الوكلاء وإدارتهم.

0x34

يُمكّن Remcos من إدارة خدمات النظام.

0x8F

يبحث عن ملف على النظام.

0x92

يُعيّن صورة خلفية النظام.

0x94

يضبط نص النافذة ويدرج العمليات النشطة في النوافذ باستخدام EnumWindows()

0x97

يرفع نتائج الأمر "dxdiag" إلى الخادم C2.

0x98

يُمكّن Remcos من إدارة الملفات من خلال إجراءات مثل النسخ والنقل والحذف.

0x99

يرفع بيانات لقطة الشاشة إلى C2.

0x9A

يفرغ سجل متصفح الويب باستخدام الملفات التنفيذية من Nirsoft.

0x9E

يقوم بتشغيل الملف الصوتي "alarm.wav".  يمكن الحصول على هذا الملف من خادم C2.

0x9F

يُمكّن تشغيل "alarm.wav" بعد قطع الاتصال بخادم C2.

0xA0

يعطل تشغيل "alarm.wav" بعد قطع الاتصال بخادم C2.

0xA2

ينزل "alarm.wav" من الخادم C2.

0xA3

يشغل الملف الصوتي.

0xAB

يرفع امتيازات العملية.

0xAC

يُمكّن نافذة سطر أوامر التسجيل.

0xAD

يعرض نافذة سطر أوامر التسجيل.

0xAE

يخفي نافذة سطر أوامر التسجيل.

0xB2

يحقن الملف التنفيذي في عملية جديدة وينفذه.

0xC5

يُعيّن قيمة التسجيل.

0xC6

يرفع ملفات تعريف الارتباط وكلمات المرور من المتصفح إلى C2.

0xC8

يعلق العملية.

0xC9

يستأنف العملية.

0xCA

يقرأ الملف ويرسل المحتوى إلى الخادم C2.

0xCB

يكتب المحتوى الذي يوفره C2 في ملف.

0xCC

يبدأ تشغيل مسجل ضغطات لوحة المفاتيح في الوضع غير المتصل.

0xCD

يوقف مسجل ضغطات لوحة المفاتيح عند بدء تشغيله في الوضع غير المتصل.

0xCE

يدرج جداول TCP وUDP الخاصة بالعملية.

كما هو موضح أعلاه، يتمتع Remcos بمجموعة واسعة من الإمكانات، بما في ذلك الإدارة عن بُعد، وتنفيذ الحمولة، والمراقبة، والاستمرارية، وسرقة المعلومات. قد يستخدم Remcos مسؤولو النظام الشرعيون، لكنه يُستخدم أيضًا بكثرة من قبل العديد من عناصر التهديد الخبيثة. تستند الإجراءات التي يتخذها Remcos على النظام في المقام الأول إلى التواصل مع خادم C2 الخاص به. يتضمن Remcos لوحة واجهة مستخدم رسومية للسماح للمهاجمين بإدارة العديد من الضحايا بسهولة من واجهة واحدة. تتيح واجهة المستخدم الرسومية (GUI) إمكانية إنشاء مهام مؤتمتة بالإضافة إلى التفاعل اليدوي مع Remcos المزروع على نظام الضحية.

البنية التحتية والعمليات

تدير Hive0156 شبكة من خوادم C2 حول العالم وتستفيد على الأرجح من عدم اكتراث مقدمي خدمات الاستضافة الروس لعمليات المجموعة. اكتشفت X-Force أن المجموعة تستخدم التسييج الجغرافي على الأقل في أوكرانيا وتطلب تصفية الرؤوس كجزء من عملية الإعداد. تعمل Hive0156 على نشر Remcos مع تمكين مزايا محدودة، لكنها تحدّث تكويناته باستمرار من خادم C2 الخاص به. وقد يشير هذا إلى إعطاء الأولوية للوصول الخامل وتمكين جمع البيانات بشكل انتقائي عند إطلاق مبادرات جديدة. يُعد الحفاظ على الاتصال السلس بين الأجهزة المصابة بفيروس Remcos والبنية التحتية لخادم C2 الخاص بالمجموعة أمرًا بالغ الأهمية لاستمرار الوصول إلى الضحايا.

الخاتمة:

تواصل Hive0156 تنفيذ عمليات إلكترونية خبيثة ضد أوكرانيا. وفقًا لتقدير X-Force، تواصل المجموعة استهداف العسكريين الأوكرانيين لكنها تطور المستندات المزيفة بحيث تتضمن موضوعات أكثر عمومية، ما يشير إلى وجود مجموعة ضحايا أوسع. المؤسسات والأفراد العاملون في الجيش الأوكراني أو التابعون له معرضون لخطر الاستهداف ضمن ضحايا Hive0156 بشكل متزايد.

التوصيات:

توصي X-Force باتخاذ الإجراءات التالية للحد من نشاط Hive0156:

  1. تدريب المستخدمين وزيادة الوعي: حث المستخدمين على توخي الحذر عند فتح رسائل البريد الإلكتروني أو محادثات Messenger، خاصةً تلك التي تحتوي على مرفقات أو تطلب النقر فوق روابط. أطلب منهم التحقق من هوية المرسل والتحقق من امتدادات الملفات قبل فتح أي ملف.
  2. حماية نقاط النهاية: انشر برامج محدّثة لحماية نقاط النهاية يمكنها اكتشاف سلالات البرامج الضارة المعروفة، مثل Remcos، وحظرها إلى جانب السلوكيات المشبوهة. احرص على تحديث توقيعات البرامج الضارة والأنماط السلوكية بانتظام.
  3. تجزئة الشبكة: أعمل على تجزئة شبكتك لتقييد الحركة الجانبية في حال حدوث اختراق. وهذا من شأنه أن يحد من الضرر المحتمل في حال نجاح الإصابات.
  4. الحظر الجغرافي: طبّق قواعد الحظر الجغرافي لمنع الاتصال بخوادم C2 الخبيثة المعروفة، خاصة تلك المرتبطة بمجموعة Hive0156.
  5. المراقبة والتحليل: راقب وحلل حركة مرور الشبكة بانتظام بحثًا عن أي أنشطة أو اتصالات غير عادية بعناوين IP خبيثة معروفة. استخدم الحلول التي توفر إمكانات التحليل السلوكي واكتشاف الحالات الشاذة.
  6. إدارة التحديثات الأمنية: تأكد من تحديث جميع الأنظمة والتطبيقات بأحدث التحديثات الأمنية. العديد من عمليات الاستغلال التي ينفذها عناصر التهديد تستفيد من الثغرات المعروفة التي جرى تحديثها أمنيًا.
  7. خطة الاستجابة للحوادث: ضع خطة للاستجابة للحوادث وحدّثها بانتظام. وهذا يضمن أنه في حال حدوث اختراق، يمكنك الاستجابة بسرعة وفعالية.
  8. استخدام أدوات الأمان: استخدم أدوات الأمان التي يمكنها اكتشاف نصوص PowerShell البرمجية وملفات LNK الخبيثة، حيث تُعد هذه آليات النشر الأولية الشائعة التي تستخدمها Hive0156.

مؤشرات الاختراق

المؤشر

نوع المؤشر

السياق

5.101.83[.]18

عنوان IP

C2

5.101.83[.]19

عنوان IP

C2

5.101.82[.]52

عنوان IP

C2

146.185.239[.]11

عنوان IP

C2

146.185.239[.]12

عنوان IP

C2

5.101.80[.]15

عنوان IP

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

ملفات LNK الخبيثة

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

ملفات LNK الخبيثة

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

ملفات LNK الخبيثة

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

ملفات LNK الخبيثة

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

ملفات LNK الخبيثة

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

ملفات LNK الخبيثة

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

ملفات LNK الخبيثة

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

ملفات LNK الخبيثة

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

ملفات LNK الخبيثة

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

ملفات LNK الخبيثة

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

ملفات LNK الخبيثة

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

ملفات LNK الخبيثة

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

ملفات LNK الخبيثة

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

ملفات LNK الخبيثة

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

ملفات LNK الخبيثة

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

ملفات LNK الخبيثة

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

ملفات LNK الخبيثة

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

ملفات LNK الخبيثة

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

نصوص PowerShell البرمجية الخبيثة

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

لقد تم الآن دمج IBM X-Force Premier Threat Intelligence مع OpenCTI من Filigran، ما يوفر استعلامات تهديدات عملية حول نشاط التهديد هذا وغير ذلك الكثير. اكتسب معارف حول عناصر التهديد، والبرامج الضارة، والمخاطر التي تواجه المجال. بادر بتثبيت X-Force OpenCTI Connector لتعزيز الكشف والاستجابة، وعزز الأمن الإلكتروني لديك مستعينًا بخبرة IBM X-Force.
