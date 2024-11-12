En juillet 2024, X-Force a observé un changement à mi-campagne dans les e-mails distribués par Hive0145, les messages courts et génériques étant remplacés par ce qui semblait être des e-mails volés légitimes. Les e-mails de phishing correspondaient exactement aux e-mails officiels de communication des factures et, dans certains cas, s’adressaient toujours directement aux destinataires d’origine par leur nom. X-Force a pu vérifier que les e-mails étaient en fait d’authentiques notifications de factures provenant de diverses entités des secteurs financier, technologique, manufacturier, médiatique, du e-commerce et d’autres. Il est probable que le groupe ait obtenu ces e-mails grâce aux identifiants précédemment exfiltrés lors de ses campagnes antérieures.

Le concept d’utilisation d’e-mails volés n’est pas nouveau, il a été largement utilisé par le groupe Emotet et des distributeurs de logiciels malveillants tels que Hive0118 (alias TA577), TA551 et TA570. Dans leurs campagnes, ils ont exploité le détournement de fils de discussion, où de nouveaux fils de discussion vers des e-mails volés ont été utilisés pour renforcer la légitimité apparente. Les e-mails modifiés étaient envoyés aux contacts correspondants des victimes précédentes, donnant ainsi l’impression que l’e-mail final était une réponse à l’e-mail volé, détournant ainsi le fil de discussion. Le texte ajouté par les distributeurs aux e-mails est souvent constitué de courtes réponses, incitant les victimes à consulter les pièces jointes ou les URL incluses.

La technique employée par Hive0145 diffère du détournement de fils de discussion en ce sens qu’au lieu d’ajouter un message de réponse à l’e-mail volé, le contenu original reste en grande partie inchangé et seule la pièce jointe est remplacée par une charge utile malveillante utilisant le nom de fichier d’origine (mais pas la même extension). Dans le corps de l’e-mail, Hive0145 remplace également la partie locale et le domaine de l’expéditeur d’origine par ceux de la nouvelle victime du phishing afin de personnaliser l’e-mail. Les e-mails contenant des pièces jointes détournées sont ensuite envoyés dans le cadre de campagnes de phishing de masse. Hive0145 semble également sélectionner avec soin les e-mails détournés en choisissant uniquement ceux qui font référence à des factures et contiennent des pièces jointes. X-Force observe cette technique de détournement de pièces jointes depuis mi-2024 dans des campagnes ciblant des locuteurs allemands, espagnols et ukrainiens.