Иранская хакерская группа Educated Manticore атакует израильских экспертов в сфере кибербезопасности

Тактика атак: от фишинга до перехвата 2FA

Атаки начинаются с тщательно подготовленных фишинговых писем и сообщений в WhatsApp, где злоумышленники представляются сотрудниками известных кибербезопасностных компаний или исследователями. В некоторых случаях они даже предлагают личные встречи в Тель-Авиве, чтобы усилить доверие жертвы. После установления контакта жертву перенаправляют на поддельные страницы входа в Gmail или фальшивые приглашения в Google Meet.

Особенность кампании - использование сложного фишингового набора (kit), разработанного на основе React и имитирующего процесс аутентификации Google. Этот инструмент не только перехватывает введенные пароли, но и обходит двухфакторную аутентификацию (2FA), перехватывая SMS-коды и токены. Кроме того, встроенный кейлоггер записывает каждое нажатие клавиш, даже если пользователь не завершил процесс входа.

Цели и последствия

Основная цель атак - получение доступа к учетным записям жертв, включая почту и облачные сервисы. Учитывая статус целей - ведущие академики и эксперты по кибербезопасности - компрометация их аккаунтов может привести к утечке конфиденциальных данных, включая исследования, переписку и доступ к корпоративным системам.

Check Point Research отмечает, что группировка Educated Manticore (также известная как APT42, Charming Kitten или Mint Sandstorm) давно использует подобные методы, но в последнее время их атаки стали более изощренными. В частности, злоумышленники начали применять искусственный интеллект для генерации убедительных писем с безупречной грамматикой и стилистикой.

Инфраструктура атак

С января 2025 года группировка зарегистрировала более 130 доменов, многие из которых были размещены на хостинге NameCheap. Большинство из них использовались для размещения фишинговых страниц или бэкенд-серверов, обрабатывающих украденные данные. Некоторые домены имитировали легитимные сервисы, такие как Google Sites, чтобы усилить доверие жертв.

Аналитики также обнаружили, что часть инфраструктуры связана с другим иранским кластером активности - GreenCharlie, что указывает на возможное взаимодействие между различными хакерскими группами, работающими в интересах Ирана.

Текущая кампания Educated Manticore демонстрирует, как геополитические конфликты переходят в киберпространство, а академические и медийные деятели становятся мишенями для цифрового шпионажа. Учитывая высокий уровень организации атак, подобные инциденты могут продолжиться, и их масштаб будет только расти.

IPv4

• 146.19.254.238
• 185.130.226.71
• 194.11.226.29
• 194.11.226.46
• 194.11.226.5
• 194.11.226.9
• 194.61.120.185
• 195.66.213.132
• 2.56.126.230
• 45.12.2.158
• 45.143.166.230
• 91.222.173.141

Domains

• adams-cooling.online
• albert-company.online
• alex-mendez-fire.info
• alison624.online
• all-for-city.info
• alpha-man.info
• amg-car-ger.info
• anna-blog.info
• arizonaclub.me
• arrow-click.info
• backback.info
• becker624.online
• best85best.online
• bestshopu.online
• beta-man.info
• black-friday-store.online
• book-handwrite.online
• bracs-lion.online
• cc-newton.info
• city-splash.online
• clame-rade.online
• clothes-show.online
• cloth-model.blog
• conn-ectionor.cfd
• connect-room.online
• cook-tips.info
• course-math.info
• crysus-h.info
• crysus-p.info
• cyberlattice.pro
• dmn-for-car.online
• dmn-for-hall.online
• door-black-meter.online
• encryption-redirect.online
• est5090.online
• everything-here.info
• exir-juice.online
• expressmarket.online
• first-course.online
• food-tips-blog.online
• gallery-shop.online
• good-news.cfd
• good-news.fashion
• goods-companies.online
• good-student.online
• healthy-lifestyle.fit
• hrd-dmn.info
• human-fly900.online
• idea-home.online
• infinit-world.info
• lenan-rex.online
• lesson-first.info
• live-coaching.online
• live-conn.online
• live-content.online
• live-gml.online
• live-meet.blog
• live-meet.cfd
• live-meet.cloud
• live-meet.info
• live-meet.live
• live-message.online
• loads-ideas.online
• lynda-tricks.online
• make-house.online
• master-club.info
• meet-work.info
• message-live.online
• network-game.xyz
• network-review.xyz
• network-show.online
• network-show-a.online
• nice-goods.online
• normal-dmn.info
• nsim-pa.info
• nsim-ph.info
• ntp-clock-h.info
• ntp-clock-p.info
• online-room.online
• optio-nalynk.online
• pa-crtdomain.info
• panel-meeting.info
• panel-network.online
• panel-redirect.online
• ph-crtdomain.info
• ph-work.info
• platinum-cnt.info
• pnl-worth.online
• prj-pa.info
• prj-ph.info
• prt-max.online
• ptr-cc.online
• ques-tion-ing.xyz
• rap-art.info
• reading-course.online
• redirect-review.online
• reg-d.info
• ricardo-mell.online
• roland-cc.online
• royalsoul.online
• sendly-ink.shop
• shadow-network.best
• shaer-likn.store
• show-verify.xyz
• sky-writer.online
• socks.beauty
• spring-club.info
• stadium-fresh.online
• steve-brown.info
• storm-wave.online
• suite-moral.info
• teammate-live.online
• thomas-mark.xyz
• tomas-company.online
• top-game.online
• ude-final.online
• warning-d.info
• warplogic.pro
• wash-less.online
• wer-d.info
• white-car.online
• white-life.info
• white-life-bl.info
• wood-house.online
• word-course.online
• work-meeting.info
• world-shop.online
• yamal-group.online
• zra-roll.online