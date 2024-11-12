2024 年 7 月，X-Force 观察到 Hive0145 在攻击活动中对其散布的电子邮件进行了调整，简短的通用消息被替换成看似合法的被盗电子邮件。这些网络钓鱼电子邮件与官方发票通知邮件完全一致，部分案例中甚至直接使用了原始收件人姓名。X-Force 确认这些电子邮件确系金融、科技、制造、媒体、电商等行业多家实体发出的真实发票通知。该组织很可能通过先前行动窃取的凭证获取了这些电子邮件。

利用被盗邮件并非新手法，Emotet 组织以及 Hive0118（又名 TA577）、TA551 和 TA570 等恶意软件传播者曾广泛使用此手法。他们在攻击活动中利用了邮件线程劫持技术——通过在被盗电子邮件中创建新线程来增强邮件的可信度。篡改后的电子邮件被发送给先前受害者的对应联系人，使最终邮件看似是对被盗邮件的回复，从而劫持电子邮件线程。传播者添加的邮件内容通常是简短回复，催促受害者查看邮件中的附件或网址。

Hive0145 采用的手段与邮件线程劫持技术有所不同，他们不在被盗电子邮件中添加回复消息，而是基本保留原始邮件内容不变，仅将附件替换为使用原始文件名（但不带原始扩展名）的恶意载荷。Hive0145 还会在邮件正文中将原始发件人的本地部分和域名替换为新钓鱼受害者的对应信息，从而实现邮件的定制化处理。这些带有劫持附件的邮件随后会在大规模网络钓鱼攻击活动中被发送出去。Hive0145 似乎还仔细筛选了被劫持的电子邮件，只选择涉及发票且带有附件的电子邮件。X-Force 自 2024 年中期起就观察到针对德语、西班牙语和乌克兰语使用者的攻击活动中出现了附件劫持技术。