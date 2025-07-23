بدايةً من أوائل شهر يوليو 2025، ترصد IBM X-Force حملات نشطة من Hive0156 تستخدم حصان طروادة للوصول عن بُعد Remcos وتستهدف ضحايا في أوكرانيا. Hive0156 هي عنصر تهديد موالٍ لروسيا يسعى إلى اختراق أفراد داخل الحكومة الأوكرانية أو الجيش الأوكراني. تتشابه أدوات هذه المجموعة وأساليبها وإجراءاتها (TTPs) بشكل كبير مع العنصر UAC-0184 التابع لفريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA). ترسل Hive0156 ملفات Microsoft LNK وPowerShell خبيثة، ما يؤدي إلى تنزيل Remcos RAT وتنفيذه. رصدت X-Force مستندات وهمية رئيسية تتضمن مواضيع تشير إلى التركيز على الجيش الأوكراني وتتطور لتشمل جمهورًا محتملاً أوسع.
Hive0156 هي عنصر تهديد موالٍ لروسيا يستخدم بشكل أساسي البرامج الضارة المتاحة والمستندات المزيفة لتنظيم حملات إلكترونية خبيثة في أوكرانيا. حسب ما أُبلغ عنه طوال عام 2024، استهدفت Hive0156 محادثات الإشارات العسكرية الأوكرانية والأفراد العسكريين من خلال إرسال ملفات LNK الخبيثة أو نصوص PowerShell البرمجية، ما أدى إلى الإصابة بفيروس Remcos. تستخدم المجموعة موضوعات مزيفة وثيقة الصلة بالموظفين المعنيين بالوضع العملياتي للجيش الأوكراني.
وحتى منتصف عام 2025، يشير استخدام Hive0156 للموضوعات العسكرية ذات الصلة في المستندات المزيفة على نطاق واسع إلى اهتمام ذي أولوية باستهداف أفراد الجيش الأوكراني. وغالبًا ما تكون المستندات المزيفة في الحملات ملفات بيانات تالفة أو غير مهمة، ولكنها تتضمن موضوعات اختارتها المجموعة لجذب انتباه الضحايا. غالبًا ما تكتب أسماء الملفات بصيغة صوتية مترجمة من الروسية أو الأوكرانية. فيما يلي أبرز المستندات التي استخدمتها Hive0156 في عملياتها قبل منتصف عام 2025.
اللواء 33 ميكانيكي هو لواء تابع للقوات البرية الأوكرانية. في أواخر عام 2024، شاركت الكتيبة33 في العمليات القتالية في كوراخوف ولاحقًا في الخطوط الأمامية في هورهيفكا وفوهلدار. وكان المستند المزيف هو مستند Excel وظيفي غير معتمد يحتوي على مقاييس مختلفة تعكس بشكل عام مستويات الموارد المختلفة.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx قد يشير إلى أمر بالاستعداد وربما يتعلق باللواء 33 الميكانيكي. يشير اسم الملف إلى جاهزية الكتيبة الميكانيكية الأولى، وهي كتيبة رسمية ضمن اللواء 33.
في يونيو 2024، أبلغ فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا عن UAC-0184 الذي نشر ملفات خبيثة تضمنت موضوعات متعلقة بلواء الهجوم المنفصل الثالث الأوكراني، ما أدى إلى سلاسل هجمات مماثلة.
تشير الترجمة الآلية لاسم الملف، Rozrahunok_rozpodyl_operatyvnogo_skladu.doc إلى توزيع الطاقم العملياتي. وبالنظر إلى الموضوعات المتسقة مع الحرب، فمن المحتمل أن يشير هذا إلى أعداد القوات.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx مترجم من اللغة الروسية، وهو مستند Excel وظيفي. يتكون الملف من تحديد إحداثيات محافظة زنجان في إيران. وعند فحص الإحداثيات، يبدو أن المواقع تتكون في الغالب من أراضٍ زراعية بالقرب من مصادر الري مثل نهر تيكمه داش.
منذ منتصف عام 2025، ترصد X-Force مستندات مزيفة باللغة الأوكرانية مترجمة بالحروف الصوتية تتضمن موضوعات عن "العرائض" أو "خطابات الغلاف الرسمي" أو "الرفض الرسمي". ويُعد هذا خروجًا عن تركيز المجموعة على الموضوعات العسكرية لتستهدف جمهورًا أوسع. وعادةً ما تكون المستندات المزيفة التي رُصدت بعد منتصف عام 2025 تالفة أو مليئة بالبيانات غير المهمة.
بدايةً من أوائل شهر يوليو 2025، تواصل المجموعة نشر Remcos كحمولة نهائية أساسية وقد سهلت عملية النشر عن عام 2024. تبدأ حملات Hive0156 الأخيرة بملف LNK أو PowerShell خبيث في المرحلة الأولى. وبعد التنفيذ، تحاول المرحلة الأولى الاتصال بالبنية التحتية لخادم القيادة والتحكم (C2) الخاصة بالعنصر بهدف استرداد المستند المزيف وأرشيف zip للملفات الخبيثة. تُجرى تصفية الاتصالات بخادم C2 حسب المنطقة الجغرافية ووكيل المستخدم المتوقع. وعند الاسترجاع بنجاح، يظهر المستند المزيف للمستخدم، ولكنه غالبًا ما يكون تالفًا. وفي الخلفية، يُجرى تنفيذ مثيل Hijackloader (يُعرف أيضًا باسم محمل IDAT) والذي ينشر Remcos RAT.
في الحملات الأخيرة، تُبدل Hive0156 في المرحلة الأولى من الإصابات بين ملفات LNK أو PowerShell الخبيثة. وتُعد وظيفة كلا النوعين متكافئة. يُعد تنفيذ المرحلة الأولى أمرًا مهمًا لنشر المجموعة المحمل الضار، والذي يُجرى تنزيله في أرشيف zip. كلا النوعين في المرحلة الأولى ينفذان عملية الإصابة بفيروس HijackLoader في الخلفية في أثناء عرض مستند مزيف للمستخدم.
يتمثل أحد أوجه الاختلاف الرئيسية بين الحملات باستخدام LNK وPowerShell في طريقة نشر المستند المزيف. في الحملات المستندة إلى LNK، يُرسل طلبين منفصلين إلى C2 لتنزيل المستند المزيف وأرشيف HijackLoader ZIP. في الحملات المستندة إلى PowerShell، يبدأ استدعاء واحد لتنزيل ملف HijackLoader ZIP ويكون متضمنًا المستند المزيف. قد يساعد هذا الفرق فرق حماية الشبكة على تحديد نوع إصابة المرحلة الأولى التي يواجهونها.
يعمل تنفيذ HijackLoader كآلية نشر Remcos تستخدمها المجموعة. يُعرف HijackLoader أيضًا باسم محمل IDAT، وهو يشير إلى ملفات البيانات الموجودة في موقع مشترك داخل ملف المرحلة الأولى zip للكشف عن الحمولة النهائية – Remcos.
يعمل عنصر التهديد على تضمين HijackLoader داخل ملف ZIP. تحتوي ملفات HijackLoader ZIP على عدة عناصر، جميعها يجب أن تكون موجودة حتى تستمر عملية الإصابة.
العناصر التالية عادةً ما تكون موجودة داخل ملف HijackLoader ZIP:
في هذا المثال، جُمعت ملفات HijackLoader ذات الصلة في ملف ZIP باسم premo.zip. يُنفذ الملف التنفيذي الشرعي PortRemo.exe بواسطة ملف LNK الأولي، والذي سيحمل ملف DLL الخبيث المحدّث sqlite3.dll.
تُظهر الصورة التالية جدول الاستيراد الخاص بملف PortRemo.exe. في مرحلة ما في أثناء التنفيذ، ستُستدعى إحدى هذه الدوال والتي تؤدي في النهاية إلى الكود الخبيث داخل sqlite3.dll.
في هذا المثال، sqlite3_result_text16() هي الدالة الخبيثة. سيستخدم HijackLoader جدول التصدير لمنع IDA من تحليل الملف بشكل جيد.
سيقرأ ملف DLL المحدّث كود shellcode الخاص بالمرحلة الأولى من HijackLoader ويفك تشفيره. وبدوره، سيفك كود shellcode الذي جرى فك تشفيره تشفير ملف PNG الذي يحتوي على عناصر HijackLoader. يستخدم HijackLoader وحدات متنوعة لتحسين الوظائف.
يتضمن الجدول التالي الوحدات المعروفة بالإضافة إلى وظائفها:
الاسم
الوظيفة
AVDATA
وحدة قائمة الحظر، والتي تتحقق من أسماء العمليات المعروف أنها ذات صلة ببرامج الأمان.
ESAL
تنفذ الحمولة النهائية.
ESLDR
تُستخدم لحقن كود shellcode المتعلق ببرنامج HijackLoader وتنفيذه.
ESWR
تحذف كود shellcode من الذاكرة وتنفذ وحدة "rshell".
FIXED
ملف تنفيذي شرعي يُستخدم لحقن العمليات.
LaunchLdr
تفك تشفير ملف HijackLoader PNG لاستخراج جميع الوحدات.
rshell
تجهز الحمولة النهائية في الذاكرة وتنفذها.
ti
تنفذ حقن كود ما بعد المرحلة الأولى.
tinystub
ملف PE فارغ يُستخدم للتحديث والحقن.
tinyutilitymodule
تستبدل رؤوس PE الخاصة بالملفات المحددة بوحدات البايت الفارغة.
بمجرد اكتمال جميع الوحدات، سيحقن HijackLoader حمولته النهائية في عملية بعيدة.
أظهر تحليل X-Force لتكوين Remcos من Hive0156 أنه ضعيف من حيث الوظائف الممكّنة. لكن هذا لا يعني تراجع مستوى التهديد. جرى تكوين إصدار Remcos من Hive0156 بشكل أساسي لإنشاء اتصال مع البنية التحتية لخادم C2 الخاص بالمجموعة وانتظار أوامر جديدة بشكل دوري. ويبدو أن المجموعة تدير حملات متعددة في وقت واحد مع استخدام ميزة معرّف حملات Remcos بشكل دؤوب. خلال عام 2025، رصدت X-Force وجود معرّفات حملات مرتبطة بالمجموعة وهي: hmu2005، وgu2005، و ra2005، و ra2005new.
Remcos هي أداة للإدارة عن بُعد من تطوير Breaking-Security. يمكن الاطلاع على تفاصيل حول مزاياها من هنا.
عند التنفيذ، يحمل Remcos تكويناته من كائن ثنائي ضمن موارده. وبمجرد الانتهاء، سيحلل Remcos تكويناته، والتي تحدد الإجراءات التي سيتخذها في أثناء التنفيذ.
يقبل Remcos معلمات التكوين التالية:
معرّف التكوين
الدالة
0x0
يحتوي على عناوين C2.
0x1
يحتوي على معرّف الحملة.
0x2
يحدد عدد مرات اتصال Remcos بخادم C2.
0x3
يعمل على تثبيت Remcos بمجرد تنفيذه. يتضمن التثبيت نقله إلى موقع خاص.
0x4
0x5
يُمكّن الاستمرارية باستخدام HKLM وHKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
الحد الأقصى لحجم ملف بيانات مسجل ضغطات لوحة المفاتيح قبل التدوير.
0x8
يُمكّن الاستمرارية باستخدام HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run registry key.
0x9
المجلد الذي يوضع فيه Remcos في أثناء التثبيت.
0xA
اسم الملف الذي ينبغي نقل Remcos إليه في أثناء التثبيت.
0xC
يُمكّن خاصية الملفات المخفية ويُعيّن الملفات ذات الصلة كملفات للقراءة فقط.
0xE
اسم كائن الاستبعاد المتبادل.
0xF
يحدد ما إذا كان مسجل ضغطات لوحة المفاتيح معطلاً، أو ممكنًا بشكل كامل، أو ممكنًا لبعض النوافذ فقط.
0x10
يُستخدم لتحديد مكان تخزين سجلات ضغطات لوحة المفاتيح.
0x11
يُستخدم لتحديد اسم ملف سجلات ضغطات لوحة المفاتيح.
0x12
يتحكم في التشفير RC4 لسجلات ضغطات لوحة المفاتيح.
0x13
يتحكم في إخفاء ملفات مسجل ضغطات لوحة المفاتيح.
0x14
يُمكّن وظيفة تسجيل الشاشة أو يُعطلها.
0x15
الفاصل الزمني بالدقائق لالتقاط كل لقطة شاشة.
0x16
يسجل لقطات الشاشة لأسماء النوافذ المحددة فقط في حال تمكينه.
0x17
أسماء النوافذ الخاصة بالخيار المذكور أعلاه.
0x18
الفاصل الزمني المرتبط بأخذ لقطات الشاشة لنوافذ معينة.
0x19
المجلد الرئيسي الذي تُخزن فيه لقطات الشاشة.
0x23
يُمكّن التسجيل الصوتي أو يعطله.
0x24
المدة بالثواني لكل تسجيل صوتي.
0x25
المجلد الرئيسي الذي تُخزن فيه التسجيلات الصوتية.
0x26
اسم المجلد الذي تُخزن فيه التسجيلات الصوتية.
0x27
يُعطل UAC في السجل في حال تمكينه.
0x28
وضع التسجيل. يُستخدم لتمكين أو تعطيل نافذة سطر الأوامر.
0x29
التأخير بالثواني في أول محاولة اتصال بالخادم C2.
0x2A
أسماء النوافذ المحددة لوظيفة تسجيل ضغطات لوحة المفاتيح.
0x2B
يتيح مسح متصفح الويب عند بدء التشغيل. يتمكن Remcos من حذف جميع ملفات تعريف الارتباط وبيانات تسجيل الدخول من Explorer وChrome وFirefox وفقًا لتعليمات التكوين. يتمثل الغرض من هذه الميزة في إعاقة سارقي المعلومات، وعلى الأغلب لا تفيد المهاجمين الخبيثين كثيرًا.
0x2C
يُمكّن مسح متصفح الويب عند التشغيل الأول فقط.
0x2D
وقت السكون بالدقائق قبل مسح متصفحات الويب.
0x2E
يُمكّن وظيفة تخطي UAC أو يعطلها.
0x30
المجلد الذي ينبغي تثبيت Remcos فيه.
0x31
المجلد الذي تُخزن فيخ سجلات ضغطات لوحة المفاتيح.
0x32
يفعّل إمكانات المراقبة. سيحقن Remcos نفسه في عملية ثانية وسيراقب عمليته الأصلية. تتمثل الوظيفة الأساسية في إعادة تشغيل الملف التنفيذي الأساسي إذا توقف.
0x34
رقم ترخيص Remcos.
0x35
يتيح إظهار مؤشر الماوس في كل لقطة شاشة مأخوذة.
0x36
شهادة TLS المستخدمة في الاتصال بخادم C2.
0x37
مفتاح TLS المستخدم في الاتصال بخادم C2.
0x38
شهادة TLS العامة الخاصة بخادم C2.
تُستخدم علامات التكوين لتحديد ما إذا كان ينبغي أن يُمكّن Remcos مزايا معينة. بمجرد أن يحلل Remcos تكويناته، سيبدأ في الاتصال بخوادم C2. قد يقبل Remcos أوامر إضافية من خادم C2 الخاص به، بما في ذلك ما يلي:
معرّف الأمر
الوظيفة
0x1
أمر ping.
0x2
يعطل إرسال حزم الإبقاء على اتصال.
0x3
يدرج التطبيقات المثبتة.
0x6
يدرج العمليات الجارية.
0x7
ينهي العملية.
0x9
يغلق النافذة.
0xA
يُظهر النافذة المكبرة.
0xB
يُظهر النافذة.
0xC
ينهي العملية باستخدام معرّف النافذة.
0xD
ينفذ أمر shell.
0xE
يبدأ تشغيل كود shell متصل.
0xF
ينفذ البرامج.
0x10
يرفع لقطات الشاشة إلى خادم C2.
0x11
يحصل على موقع IP العالمي للمضيف.
0x12
يحصل على المعلومات من وظيفة مسجل ضغطات لوحة المفاتيح من دون اتصال.
0x13
يبدأ تشغيل مسجل ضغطات لوحة المفاتيح في وضع الاتصال.
0x14
يوقف مسجل ضغطات لوحة المفاتيح عند بدء تشغيله في وضع الاتصال.
0x15
يرفع بيانات مسجل ضغطات لوحة المفاتيح إلى C2.
0x16
يرفع بيانات مسجل ضغطات لوحة المفاتيح إلى C2.
0x17
يحذف بيانات مسجل ضغطات لوحة المفاتيح.
0x18
يمسح ملفات تعريف الارتباط وبيانات تسجيل الدخول من المتصفح.
0x1B
يبدأ تشغيل وحدة تسجيل كاميرا الويب.
0x1C
يوقف تشغيل وحدة تسجيل كاميرا الويب.
0x1D
يُمكّن وحدة تسجيل الميكرفون.
0x1E
يعطل وحدة تسجيل الميكرفون.
0x1F
يحاول سرقة بيانات الاعتماد من برامج مختلفة. يستخدم أدوات استعادة كلمات المرور من Nirsoft: https://www.nirsoft.net/ (الرابط ينقلك خارج موقع ibm.com).
0x20
يحذف ملفًا أو مجلدًا.
0x21
يُنهي عمليته الخاصة وعملية المراقبة.
0x22
يلغي تثبيت Remcos من النظام.
0x23
يعيد تشغيل الكمبيوتر.
0x24
يحدّث Remcos من خلال عنوان URL المقدم.
0x25
يحدّث Remcos باستخدام خادم C2.
0x26
يعرض نافذة رسالة.
0x27
يؤدي إلى إيقاف تشغيل النظام أو إدخاله في وضع الإسبات.
0x28
يرفع بيانات الحافظة إلى خادم C2.
0x29
يعيّن الحافظة على بيانات يحددها C2.
0x2A
يمسح محتوى الحافظة.
0x2B
يحمل وينفذ ملف DLL من C2.
0x2C
يحمل وينفذ ملف DLL من خلال عنوان URL المقدم.
0x2F
يعدّل السجل بناءً على القيم التي يوفرها C2.
0x30
يبدو أنه يسمح للمهاجم بالدردشة مع الضحية.
0x31
يُعيّن مُعرّف اسم Remcos.
0x32
يسمح باستخدام الوكلاء وإدارتهم.
0x34
يُمكّن Remcos من إدارة خدمات النظام.
0x8F
يبحث عن ملف على النظام.
0x92
يُعيّن صورة خلفية النظام.
0x94
يضبط نص النافذة ويدرج العمليات النشطة في النوافذ باستخدام EnumWindows()
0x97
يرفع نتائج الأمر "dxdiag" إلى الخادم C2.
0x98
يُمكّن Remcos من إدارة الملفات من خلال إجراءات مثل النسخ والنقل والحذف.
0x99
يرفع بيانات لقطة الشاشة إلى C2.
0x9A
يفرغ سجل متصفح الويب باستخدام الملفات التنفيذية من Nirsoft.
0x9E
يقوم بتشغيل الملف الصوتي "alarm.wav". يمكن الحصول على هذا الملف من خادم C2.
0x9F
يُمكّن تشغيل "alarm.wav" بعد قطع الاتصال بخادم C2.
0xA0
يعطل تشغيل "alarm.wav" بعد قطع الاتصال بخادم C2.
0xA2
ينزل "alarm.wav" من الخادم C2.
0xA3
يشغل الملف الصوتي.
0xAB
يرفع امتيازات العملية.
0xAC
يُمكّن نافذة سطر أوامر التسجيل.
0xAD
يعرض نافذة سطر أوامر التسجيل.
0xAE
يخفي نافذة سطر أوامر التسجيل.
0xB2
يحقن الملف التنفيذي في عملية جديدة وينفذه.
0xC5
يُعيّن قيمة التسجيل.
0xC6
يرفع ملفات تعريف الارتباط وكلمات المرور من المتصفح إلى C2.
0xC8
يعلق العملية.
0xC9
يستأنف العملية.
0xCA
يقرأ الملف ويرسل المحتوى إلى الخادم C2.
0xCB
يكتب المحتوى الذي يوفره C2 في ملف.
0xCC
يبدأ تشغيل مسجل ضغطات لوحة المفاتيح في الوضع غير المتصل.
0xCD
يوقف مسجل ضغطات لوحة المفاتيح عند بدء تشغيله في الوضع غير المتصل.
0xCE
يدرج جداول TCP وUDP الخاصة بالعملية.
كما هو موضح أعلاه، يتمتع Remcos بمجموعة واسعة من الإمكانات، بما في ذلك الإدارة عن بُعد، وتنفيذ الحمولة، والمراقبة، والاستمرارية، وسرقة المعلومات. قد يستخدم Remcos مسؤولو النظام الشرعيون، لكنه يُستخدم أيضًا بكثرة من قبل العديد من عناصر التهديد الخبيثة. تستند الإجراءات التي يتخذها Remcos على النظام في المقام الأول إلى التواصل مع خادم C2 الخاص به. يتضمن Remcos لوحة واجهة مستخدم رسومية للسماح للمهاجمين بإدارة العديد من الضحايا بسهولة من واجهة واحدة. تتيح واجهة المستخدم الرسومية (GUI) إمكانية إنشاء مهام مؤتمتة بالإضافة إلى التفاعل اليدوي مع Remcos المزروع على نظام الضحية.
تدير Hive0156 شبكة من خوادم C2 حول العالم وتستفيد على الأرجح من عدم اكتراث مقدمي خدمات الاستضافة الروس لعمليات المجموعة. اكتشفت X-Force أن المجموعة تستخدم التسييج الجغرافي على الأقل في أوكرانيا وتطلب تصفية الرؤوس كجزء من عملية الإعداد. تعمل Hive0156 على نشر Remcos مع تمكين مزايا محدودة، لكنها تحدّث تكويناته باستمرار من خادم C2 الخاص به. وقد يشير هذا إلى إعطاء الأولوية للوصول الخامل وتمكين جمع البيانات بشكل انتقائي عند إطلاق مبادرات جديدة. يُعد الحفاظ على الاتصال السلس بين الأجهزة المصابة بفيروس Remcos والبنية التحتية لخادم C2 الخاص بالمجموعة أمرًا بالغ الأهمية لاستمرار الوصول إلى الضحايا.
تواصل Hive0156 تنفيذ عمليات إلكترونية خبيثة ضد أوكرانيا. وفقًا لتقدير X-Force، تواصل المجموعة استهداف العسكريين الأوكرانيين لكنها تطور المستندات المزيفة بحيث تتضمن موضوعات أكثر عمومية، ما يشير إلى وجود مجموعة ضحايا أوسع. المؤسسات والأفراد العاملون في الجيش الأوكراني أو التابعون له معرضون لخطر الاستهداف ضمن ضحايا Hive0156 بشكل متزايد.
توصي X-Force باتخاذ الإجراءات التالية للحد من نشاط Hive0156:
المؤشر
نوع المؤشر
السياق
5.101.83[.]18
عنوان IP
C2
5.101.83[.]19
عنوان IP
C2
5.101.82[.]52
عنوان IP
C2
146.185.239[.]11
عنوان IP
C2
146.185.239[.]12
عنوان IP
C2
5.101.80[.]15
عنوان IP
C2
6637405265adc8b
SHA256
ملفات LNK الخبيثة
46d633c2937eeca2
SHA256
ملفات LNK الخبيثة
14515e5498d3d3219e
SHA256
ملفات LNK الخبيثة
37d2f3d3af2d564d6f9
SHA256
ملفات LNK الخبيثة
842d1e27d919a0ef568
SHA256
ملفات LNK الخبيثة
ccf6d3eaea549b8f1f02
SHA256
ملفات LNK الخبيثة
63e9fa71789996cf52b
SHA256
ملفات LNK الخبيثة
1f157d473ccfe51a22a0
SHA256
ملفات LNK الخبيثة
002e2e591f324ebdfa2
SHA256
ملفات LNK الخبيثة
c38beb137b130c00b6
SHA256
ملفات LNK الخبيثة
6cd56f7f1f8c7c422c672
SHA256
ملفات LNK الخبيثة
44448993bbe5931c62
SHA256
ملفات LNK الخبيثة
d9d26d19da539b0adc
SHA256
ملفات LNK الخبيثة
7efbfd633d469405c66
SHA256
ملفات LNK الخبيثة
9b662720f48749f5b29d
SHA256
ملفات LNK الخبيثة
8556f07ceb37e726a66c
SHA256
ملفات LNK الخبيثة
9d95228173bf5f29bc3d2
SHA256
ملفات LNK الخبيثة
6c5a89c3dd7b596fd1be
SHA256
ملفات LNK الخبيثة
2387e5e7f1eebfa1c27f95
SHA256
نصوص PowerShell البرمجية الخبيثة
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
