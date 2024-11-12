Pada Juli 2024, X-Force mengamati perubahan pada pertengahan operasi dalam email yang didistribusikan oleh Hive0145, di mana pesan pendek dan generik diganti dengan apa yang tampaknya merupakan email curian yang sah. Email phishing tersebut sama persis dengan email komunikasi faktur resmi dan, dalam beberapa kasus, masih secara langsung menyebut nama penerima asli. X-Force mampu memverifikasi bahwa email tersebut sebenarnya adalah pemberitahuan faktur asli dari berbagai entitas di bidang keuangan, teknologi, manufaktur, media, e-commerce, dan industri lainnya. Sangat mungkin bahwa grup tersebut mendapatkan email melalui kredensial yang sebelumnya dieksfiltrasi dari operasi mereka sebelumnya.

Konsep menggunakan email curian bukanlah hal baru dan digunakan secara luas oleh grup Emotet dan distributor malware seperti Hive0118 (alias TA577), TA551, dan TA570. Dalam operasinya, mereka memanfaatkan pembajakan utas, di mana utas baru ke email curian digunakan sebagai cara untuk meningkatkan tampilan legitimasi. Email yang dimodifikasi dikirim ke kontak yang sesuai dari korban sebelumnya, membuat email terakhir terlihat seperti balasan ke email yang dicuri, sehingga membajak utas email. Teks yang ditambahkan distributor ke email sering kali merupakan balasan singkat, mendesak korban untuk melihat lampiran atau URL yang disertakan.

Teknik yang digunakan oleh Hive0145 berbeda dengan pembajakan utas karena alih-alih menambahkan pesan balasan ke email yang dicuri, konten asli sebagian besar tetap tidak dimodifikasi dan hanya merupakan lampiran yang dialihkan untuk menyertakan muatan berbahaya menggunakan nama file asli (tanpa ekstensi asli). Di dalam badan email, Hive0145 juga menggantikan bagian lokal dan domain pengirim email asli dengan korban phishing baru untuk menyesuaikan email secara khusus. Email dengan lampiran yang dibajak kemudian dikirim dalam operasi phishing massal. Hive0145 juga tampaknya mempertimbangkan dengan cermat email yang dibajak dengan hanya memilih email yang menyebutkan faktur dan berisi lampiran. X-Force telah mengamati teknik pembajakan lampiran sejak pertengahan 2024 dalam operasi yang menargetkan penutur bahasa Jerman, Spanyol, dan Ukraina.