攻擊背景與目標(biāo)群體

與伊朗伊斯蘭革命衛(wèi)隊(IRGC)有關(guān)聯(lián)的國家支持黑客組織近期發(fā)起魚叉式釣魚攻擊，目標(biāo)鎖定以色列的記者、知名網(wǎng)絡(luò)安全專家以及計算機(jī)科學(xué)教授。網(wǎng)絡(luò)安全公司Check Point在周三發(fā)布的報告中指出："在某些攻擊活動中，攻擊者通過電子郵件和WhatsApp消息偽裝成技術(shù)高管或研究人員的虛擬助理，接近以色列技術(shù)和網(wǎng)絡(luò)安全專業(yè)人士。"

攻擊組織與手法

該活動被歸因于一個代號為"Educated Manticore"的威脅集群，該組織與APT35（及其子集群APT42）、CALANQUE、Charming Kitten（迷人小貓）、CharmingCypress、Cobalt Illusion、ITG18、Magic Hound、Mint Sandstorm（原Phosphorus）、Newscaster、TA453和Yellow Garuda等多個黑客組織存在關(guān)聯(lián)。

這個高級持續(xù)性威脅(APT)組織長期策劃社會工程攻擊，使用精心設(shè)計的誘餌，通過Facebook和LinkedIn等平臺以虛構(gòu)身份接近目標(biāo)，誘騙受害者在系統(tǒng)中部署惡意軟件。Check Point觀察到，自2025年6月中旬伊朗-以色列戰(zhàn)爭爆發(fā)后，該組織針對以色列個人發(fā)起新一波攻擊，通過電子郵件或WhatsApp發(fā)送定制化的虛假會議邀請。據(jù)信這些消息是使用人工智能(AI)工具制作的。

釣魚攻擊技術(shù)細(xì)節(jié)

該公司標(biāo)記的一條WhatsApp消息利用了兩國當(dāng)前的地緣政治緊張局勢，誘使受害者參加會議，聲稱需要他們立即協(xié)助開發(fā)基于AI的威脅檢測系統(tǒng)，以應(yīng)對自6月12日以來針對以色列的網(wǎng)絡(luò)攻擊激增。

與之前"迷人小貓"攻擊活動類似，初始消息不含任何惡意內(nèi)容，主要目的是獲取目標(biāo)信任。攻擊者建立信任后，會分享鏈接將受害者導(dǎo)向偽造的登錄頁面，竊取其Google賬戶憑證。Check Point表示："在發(fā)送釣魚鏈接前，攻擊者會詢問受害者的電子郵件地址。該地址隨后會預(yù)填在憑證釣魚頁面上，以增加可信度并模仿合法的Google認(rèn)證流程。"

定制化釣魚工具包

這個定制釣魚工具包不僅能夠竊取憑證，還能獲取雙因素認(rèn)證(2FA)代碼，有效實(shí)施2FA中繼攻擊。該工具包還包含被動鍵盤記錄器，記錄受害者輸入的所有按鍵，即使用戶中途放棄流程也能竊取數(shù)據(jù)。部分社會工程攻擊還利用Google Sites域名托管虛假Google Meet頁面，其中包含模仿合法會議頁面的圖片。點(diǎn)擊圖片任何位置都會將受害者導(dǎo)向觸發(fā)認(rèn)證流程的釣魚頁面。

持續(xù)威脅與組織特點(diǎn)

Check Point警告稱："Educated Manticore繼續(xù)構(gòu)成持續(xù)且高影響的威脅，特別是在伊朗-以色列沖突升級階段對以色列個人構(gòu)成嚴(yán)重威脅。該組織運(yùn)作穩(wěn)定，特點(diǎn)是激進(jìn)的魚叉式釣魚、快速建立域名和基礎(chǔ)設(shè)施，在被發(fā)現(xiàn)后迅速撤離。這種敏捷性使他們在嚴(yán)格審查下仍能保持攻擊效力。"