Российские хакеры Hive0156 продолжают атаковать украинские военные и правительственные структуры с помощью вредоносной программы REMCOS RAT

Группировка, ранее известная под обозначением UAC-0184 по классификации CERT-UA, расширила сферу своей деятельности. Если изначально хакеры фокусировались исключительно на военных, то с середины 2025 года они переключились и на гражданские организации. Это указывает на стратегическое изменение тактики: теперь под удар попадают не только военнослужащие, но и чиновники, подрядчики и сотрудники инфраструктурных предприятий.

Для внедрения вредоносного ПО злоумышленники применяют сложную многоэтапную схему. Атаки начинаются с фишинговых писем, содержащих вредоносные файлы Microsoft LNK или скрипты PowerShell. После запуска эти файлы связываются с командными серверами, откуда загружаются дополнительные модули, включая HijackLoader - продвинутый инструмент для доставки вредоносного кода. Этот загрузчик использует легитимные подписанные исполняемые файлы, модифицированные DLL-библиотеки и зашифрованные изображения в формате PNG, что значительно усложняет его обнаружение традиционными антивирусными решениями.

Финальным этапом атаки становится установка трояна Remcos RAT, который предоставляет злоумышленникам полный контроль над зараженными системами. С его помощью хакеры могут перехватывать нажатия клавиш, записывать экран, вести аудионаблюдение, красть учетные данные и управлять компьютером жертвы удаленно. Собранные данные передаются на серверы, расположенные в основном на российских хостингах.

Интересно, что для повышения эффективности атак Hive0156 использует географическую фильтрацию, что позволяет им избежать обнаружения системами безопасности в нецелевых странах. Также хакеры регулярно обновляют конфигурации вредоносного ПО через C2-сервера, что делает их инструменты более гибкими и адаптивными.

IPv4

• 146.185.239.11
• 146.185.239.12
• 5.101.80.15
• 5.101.82.52
• 5.101.83.18
• 5.101.83.19

SHA256

• 002e2e591f324ebdfa2abb443e03906595310711436f62ed988e12eada3e35bb
• 068630c8edc29e424f19072d7c9daebcb46699f04ba9ac00eee33395627f33c7
• 072a05492922f4a812ad819b7f530c71844e607df82b107388a98a82fab0aa03
• 14515e5498d3d3219e6f06594aafbf449fc13ae419d14a6676e449ee3a107746
• 1f157d473ccfe51a22a0bcaae84489dca2e16e68645041ae761e2aa11878f326
• 2387e5e7f1eebfa1c27f957fa0f5dc2d7607e2e8b624e8fbed22dbb3258987e2
• 2d69f5ac19a8f9d498921665961575a3ac8799348f8eaa63217f20f1f913858e
• 37d2f3d3af2d564d6f9ccf921cb4adc5390076087342bf3f7d9f00b37abbbf0d
• 40325649ca85b3022ddc517c20ea9c1e9ad44f491f051101474b2c775fff4b32
• 44448993bbe5931c62f328d3cf75d5e791787c8d35db79718a661504ddb3c5fb
• 46d633c2937eeca2748435e51558898f84cf36fe75f841b35d6f655082a7cce0
• 53fc03a7446f0b6dda8c4906a661d81a796dcc3e981fe2709542acf2e600ddb5
• 63e9fa71789996cf52b431003f8b34275a9980286a3fba156aeb6802df3b1ec1
• 6637405265adc8bbad328baacb7e67c517324d7ca3ab54d97498d8038e2a87f8
• 6a4a79b885b5bcd8bbd978d208e7f14d25c230a5204ffeff365d5cee7b91a229
• 6c5a89c3dd7b596fd1be2aa88eddb3234bf6f006638c9bb3e04c33f416d28080
• 6cd56f7f1f8c7c422c6727d323dac79092a82d3ea0ba150525797f24688d888a
• 7efbfd633d469405c66c44226e0377adafa2428e07f67b2684f21796c1ac7312
• 842d1e27d919a0ef568c6de5a0dae5373ec5cf02341307af9bab05fb4f5b0805
• 8556f07ceb37e726a66c357cb3b76bba1eb13c21ffe85fdb37685ecfd06205db
• 9b662720f48749f5b29da7b37e519a5088826a487e7a440cb5873e5f4ba094a2
• 9d95228173bf5f29bc3d26f19e2962ca65fab572095aeafd955bde7df574ee9c
• a720d05cb33492b75268da9b854acb73b0158a207842a06b27f6897d0dc32238
• c38beb137b130c00b68b0bd620c603d360e235954362ba8b1435d4df4ff36ca6
• ccf6d3eaea549b8f1f025c27d8cec1a78d375c040d50745f5f9a837e500a83d6
• d9d26d19da539b0adc8f0a4ab65d6b766d3f6bec0e266baa6fd04c424ce77c9b
• e2828abd351fef967f6d331d5fc3618fae186dec75db344aa10e4b0507a0f28a
• e476331dee7ed59dca01a6891305503c332f9a468f587c7001187052beeaec8f
• eabb395b925c39cd2199cc3952b1cd83b8c0913b7fd1eee985e48b7949c10c0b
• f3b4d31644fb8607937a10d791595ad997580b8e2bec2f00059d308e0f1d6afc
• fab5189c5025d7550dabbafe61a4b2a3a9b6d1bd880d21d0f5411f0fe530628e