伊朗 APT35 组织利用AI钓鱼攻击以色列技术专家

攻击背景与目标群体

与伊朗伊斯兰革命卫队(IRGC)有关联的伊朗用A鱼攻国家支持黑客组织近期发起鱼叉式钓鱼攻击，目标锁定以色列的组织利记者 、知名网络安全专家以及计算机科学教授。击色网络安全公司Check Point在周三发布的列技报告中指出："在某些攻击活动中 ，攻击者通过电子邮件和WhatsApp消息伪装成技术高管或研究人员的术专虚拟助理，接近以色列技术和网络安全专业人士 。伊朗用A鱼攻"

攻击组织与手法

该活动被归因于一个代号为"Educated Manticore"的组织利威胁集群 ，该组织与APT35（及其子集群APT42） 、击色CALANQUE、高防服务器列技Charming Kitten（迷人小猫）、术专CharmingCypress
、伊朗用A鱼攻Cobalt Illusion、组织利ITG18  、击色Magic Hound、列技Mint Sandstorm（原Phosphorus） 、术专Newscaster、TA453和Yellow Garuda等多个黑客组织存在关联 。

这个高级持续性威胁(APT)组织长期策划社会工程攻击，使用精心设计的诱饵
，通过Facebook和LinkedIn等平台以虚构身份接近目标 
，诱骗受害者在系统中部署恶意软件。云计算Check Point观察到，自2025年6月中旬伊朗-以色列战争爆发后，该组织针对以色列个人发起新一波攻击，通过电子邮件或WhatsApp发送定制化的虚假会议邀请 。据信这些消息是使用人工智能(AI)工具制作的。

钓鱼攻击技术细节

该公司标记的一条WhatsApp消息利用了两国当前的地缘政治紧张局势，诱使受害者参加会议 ，声称需要他们立即协助开发基于AI的源码库威胁检测系统，以应对自6月12日以来针对以色列的网络攻击激增。

与之前"迷人小猫"攻击活动类似
，初始消息不含任何恶意内容 ，主要目的是获取目标信任。攻击者建立信任后，会分享链接将受害者导向伪造的登录页面
，窃取其Google账户凭证。Check Point表示
："在发送钓鱼链接前，服务器租用攻击者会询问受害者的电子邮件地址。该地址随后会预填在凭证钓鱼页面上 ，以增加可信度并模仿合法的Google认证流程。"

定制化钓鱼工具包

这个定制钓鱼工具包不仅能够窃取凭证，还能获取双因素认证(2FA)代码，有效实施2FA中继攻击
 。该工具包还包含被动键盘记录器 ，记录受害者输入的所有按键 ，即使用户中途放弃流程也能窃取数据。部分社会工程攻击还利用Google Sites域名托管虚假Google Meet页面 ，模板下载其中包含模仿合法会议页面的图片。点击图片任何位置都会将受害者导向触发认证流程的钓鱼页面。

持续威胁与组织特点

Check Point警告称："Educated Manticore继续构成持续且高影响的威胁 ，特别是在伊朗-以色列冲突升级阶段对以色列个人构成严重威胁。该组织运作稳定 
，特点是激进的鱼叉式钓鱼 、快速建立域名和基础设施，香港云服务器在被发现后迅速撤离。这种敏捷性使他们在严格审查下仍能保持攻击效力。"

很赞哦!（5）