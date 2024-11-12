2024년 7월, X-Force는 캠페인 중반에 Hive0145가 배포하는 이메일이 짧고 일반적인 메시지에서 합법적으로 도용된 것으로 보이는 메시지로 교체되는 것을 관찰했습니다. 피싱 이메일은 공식 인보이스 소통 이메일과 정확히 일치했으며, 경우에 따라 원래 수신자 이름으로 직접 발송된 내용도 있었습니다. X-Force는 이러한 이메일이 실제로 금융, 기술, 제조, 미디어, 전자 상거래 및 기타 산업 분야의 다양한 기관에서 보낸 진짜 인보이스 알림임을 확인할 수 있었습니다. 이 단체는 이전 캠페인에서 유출한 자격 증명을 통해 이메일을 수집했을 가능성이 높습니다.

도난당한 이메일을 사용하는 개념은 새로운 것이 아니며, Emotet 단체와 Hive0118(일명 TA577), TA551, TA570과 같은 멀웨어 배포자들이 광범위하게 사용했습니다. 이 캠페인에서는 합법적인 것처럼 보이게 하기 위해 도난당한 이메일에 새로운 스레드를 삽입하는 스레드 하이재킹을 활용했습니다. 수정된 이메일은 이전 피해자들의 해당 연락처로 발송되어, 최종 이메일이 도난당한 이메일에 대한 답장처럼 보이게 함으로써 이메일 스레드를 가로챘습니다. 배포자가 이메일에 추가하는 텍스트는 피해자에게 포함된 첨부 파일이나 URL을 보도록 촉구하는 짧은 답장인 경우가 많습니다.

Hive0145가 사용하는 기법은 탈취한 이메일에 회신 메시지를 추가하는 대신, 원본 콘텐츠는 거의 수정하지 않고 첨부 파일만 (원래 확장자 없이) 원래 파일 이름을 사용하는 악성 페이로드를 포함하도록 바꾼다는 점에서 스레드 하이재킹과 다릅니다. 또한 이메일 본문 내에서 Hive0145는 원래 이메일 발신자의 로컬 부분과 도메인을 모두 새로운 피싱 피해자의 도메인으로 대체하여 이메일을 맞춤화합니다. 이렇게 탈취한 첨부 파일이 포함된 이메일은 대량 피싱 캠페인으로 발송됩니다. 또한 Hive0145는 인보이스를 언급하고 첨부 파일이 포함된 이메일만 선별하는 등 탈취한 이메일을 신중하게 살펴본 것으로 보입니다. X-Force는 2024년 중반부터 독일어, 스페인어, 우크라이나어 사용자를 대상으로 하는 캠페인에서 첨부 파일 하이재킹 기법을 관찰해 왔습니다.