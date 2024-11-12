في يوليو لعام 2024، لاحظت X-Force تغييرًا في منتصف الحملة في رسائل البريد الإلكتروني التي يوزعها Hive0145، حيث تم استبدال الرسائل القصيرة والعامة برسائل بدت وكأنها رسائل بريد إلكتروني مسروقة ومشروعة. تطابقت رسائل التصيد الاحتيالي تمامًا مع رسائل البريد الإلكتروني الرسمية لاتصالات الفواتير، وفي بعض الحالات، كانت لا تزال تخاطب المستلمين الأصليين بالاسم مباشرة. تمكنت X-Force من التحقق من أن رسائل البريد الإلكتروني كانت في الواقع إشعارات فواتير أصلية من مجموعة متنوعة من الكيانات عبر القطاعات المالية والتكنولوجية والصناعية والإعلامية وقطاعات التجارة الإلكترونية، وغيرها من الصناعات. ومن المرجح أن تكون المجموعة قد حصلت على رسائل البريد الإلكتروني من خلال بيانات الاعتماد التي تم تسريبها سابقًا من حملاتها الماضية.

إن مفهوم استخدام رسائل البريد الإلكتروني المسروقة ليس جديدًا، فقد استخدمته على نطاق واسع مجموعة Emotet وموزعو البرامج الضارة مثل Hive0118 (المعروف أيضًا باسم TA577) وTA551 وTA570. في حملاتهم، استغلوا اختراق سلاسل المحادثات، حيث تم استخدام سلاسل محادثات جديدة لرسائل بريد إلكتروني مسروقة كوسيلة لزيادة مظهر الشرعية. تم إرسال رسائل البريد الإلكتروني المعدلة إلى جهات الاتصال المقابلة للضحايا السابقين، ما جعل البريد الإلكتروني النهائي يبدو وكأنه رد على البريد الإلكتروني المسروق، ومن ثَمَّ تم اختراق سلسلة محادثات البريد الإلكتروني. وغالبًا ما يكون النص الذي يضيفه الموزعون إلى رسائل البريد الإلكتروني عبارة عن ردود قصيرة تحث الضحايا على النظر إلى المرفقات أو روابط URL المضمنة.

تختلف التقنية التي تستخدمها Hive0145 عن اختراق سلاسل المحادثات في أنه بدلاً من إضافة رسالة رد إلى البريد الإلكتروني المسروق، يظل المحتوى الأصلي غير مُعدّل إلى حد كبير، ويتم فقط تبديل المرفق ليشمل حمولة ضارة باستخدام اسم الملف الأصلي (من دون الامتداد الأصلي). داخل نص البريد الإلكتروني، تقوم Hive0145 أيضًا باستبدال كل من الجزء المحلي والنطاق لمرسل البريد الإلكتروني الأصلي ببيانات ضحية التصيد الجديدة لتخصيص البريد الإلكتروني. ثم تُرسَل رسائل البريد الإلكتروني التي تحتوي على مرفقات مخترقة في حملات تصيّد احتيالي جماعية. كما يبدو أن Hive0145 تنظر بعناية في رسائل البريد الإلكتروني المخترقة من خلال اختيار الرسائل التي تشير إلى فواتير وتحتوي على مرفقات فقط. لاحظت X-Force أسلوب اختراق المرفقات منذ منتصف عام 2024 في الحملات التي تستهدف الناطقين بالألمانية والإسبانية والأوكرانية.