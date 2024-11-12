Im Juli 2024 stellte X-Force eine Änderung in der Mitte der Kampagne bei den von Hive0145 versendeten E-Mails fest: Die kurzen und allgemeinen Nachrichten wurden durch scheinbar legitime gestohlene E-Mails ersetzt. Die Phishing-E-Mails entsprachen genau den offiziellen Rechnungs-E-Mails und waren in einigen Fällen sogar direkt an die ursprünglichen Empfänger adressiert. X-Force konnte bestätigen, dass es sich bei den E-Mails tatsächlich um authentische Rechnungsbenachrichtigungen von verschiedenen Unternehmen aus den Bereichen Finanzen, Technologie, Fertigung, Medien, E-Commerce und anderen Branchen handelte. Es ist wahrscheinlich, dass die Gruppe die E-Mails mithilfe von Zugangsdaten beschafft hat, die sie zuvor im Rahmen früherer Kampagnen erbeutet hatte.

Das Konzept der Verwendung gestohlener E-Mails ist nicht neu. Es wurde in großem Umfang von der Emotet-Gruppe und Malware-Verteilern wie Hive0118 (auch bekannt als TA577), TA551 und TA570 genutzt. In ihren Kampagnen nutzten sie Thread-Hijacking, wobei neue Threads zu gestohlenen E-Mails verwendet wurden, um den Anschein von Legitimität zu verstärken. Die modifizierten E-Mails wurden an die entsprechenden Kontakte früherer Opfer gesendet, sodass die letzte E-Mail wie eine Antwort auf die gestohlene E-Mail aussah und so der E-Mail-Thread gekapert wurde. Der Text, den die Verteiler den E-Mails hinzufügen, besteht häufig aus kurzen Antworten, in denen die Opfer aufgefordert werden, sich die beigefügten Anhänge oder URLs anzusehen.

Die von Hive0145 verwendete Technik unterscheidet sich vom Thread-Hijacking darin, dass keine Antwortnachricht an die gestohlene E-Mail angehängt wird, sondern der ursprüngliche Inhalt weitgehend unverändert bleibt und lediglich der Anhang ausgetauscht wird, um eine schädliche Payload unter Verwendung des ursprünglichen Dateinamens (ohne die ursprüngliche Erweiterung) einzufügen. Im Text der E-Mail ersetzt Hive0145 außerdem sowohl den lokalen Teil als auch die Domain des ursprünglichen E-Mail-Absenders durch die des neuen Phishing-Opfers, um die E-Mail individuell anzupassen. Die E-Mails mit den manipulierten Anhängen werden anschließend im Rahmen von massiven Phishing-Kampagnen versendet. Hive0145 scheint die entführten E-Mails sorgfältig zu prüfen, indem es nur solche auswählt, die sich auf Rechnungen beziehen und Anhänge enthalten. X-Force beobachtet die Technik des Anhang-Hijackings seit Mitte 2024 in Kampagnen, die sich an deutschsprachige, spanischsprachige und ukrainischsprachige Personen richten.