Иранская хакерская группа Educated Manticore атакует израильских экспертов в сфере кибербезопасности

APT

На фоне обострения отношений между Ираном и Израилем иранская хакерская группировка Educated Manticore активизировала фишинговые кампании, нацеленные на израильских журналистов, ведущих экспертов по кибербезопасности и профессоров компьютерных наук из крупнейших университетов страны. Об этом сообщили аналитики Check Point Research, которые отслеживают деятельность группировки на протяжении последних лет.

Описание

Тактика атак: от фишинга до перехвата 2FA

Атаки начинаются с тщательно подготовленных фишинговых писем и сообщений в WhatsApp, где злоумышленники представляются сотрудниками известных кибербезопасностных компаний или исследователями. В некоторых случаях они даже предлагают личные встречи в Тель-Авиве, чтобы усилить доверие жертвы. После установления контакта жертву перенаправляют на поддельные страницы входа в Gmail или фальшивые приглашения в Google Meet.

Особенность кампании - использование сложного фишингового набора (kit), разработанного на основе React и имитирующего процесс аутентификации Google. Этот инструмент не только перехватывает введенные пароли, но и обходит двухфакторную аутентификацию (2FA), перехватывая SMS-коды и токены. Кроме того, встроенный кейлоггер записывает каждое нажатие клавиш, даже если пользователь не завершил процесс входа.

Цели и последствия

Основная цель атак - получение доступа к учетным записям жертв, включая почту и облачные сервисы. Учитывая статус целей - ведущие академики и эксперты по кибербезопасности - компрометация их аккаунтов может привести к утечке конфиденциальных данных, включая исследования, переписку и доступ к корпоративным системам.

Check Point Research отмечает, что группировка Educated Manticore (также известная как APT42, Charming Kitten или Mint Sandstorm) давно использует подобные методы, но в последнее время их атаки стали более изощренными. В частности, злоумышленники начали применять искусственный интеллект для генерации убедительных писем с безупречной грамматикой и стилистикой.

Инфраструктура атак

С января 2025 года группировка зарегистрировала более 130 доменов, многие из которых были размещены на хостинге NameCheap. Большинство из них использовались для размещения фишинговых страниц или бэкенд-серверов, обрабатывающих украденные данные. Некоторые домены имитировали легитимные сервисы, такие как Google Sites, чтобы усилить доверие жертв.

Аналитики также обнаружили, что часть инфраструктуры связана с другим иранским кластером активности - GreenCharlie, что указывает на возможное взаимодействие между различными хакерскими группами, работающими в интересах Ирана.

Текущая кампания Educated Manticore демонстрирует, как геополитические конфликты переходят в киберпространство, а академические и медийные деятели становятся мишенями для цифрового шпионажа. Учитывая высокий уровень организации атак, подобные инциденты могут продолжиться, и их масштаб будет только расти.

Индикаторы компрометации

IPv4

  • 146.19.254.238
  • 185.130.226.71
  • 194.11.226.29
  • 194.11.226.46
  • 194.11.226.5
  • 194.11.226.9
  • 194.61.120.185
  • 195.66.213.132
  • 2.56.126.230
  • 45.12.2.158
  • 45.143.166.230
  • 91.222.173.141

Domains

  • adams-cooling.online
  • albert-company.online
  • alex-mendez-fire.info
  • alison624.online
  • all-for-city.info
  • alpha-man.info
  • amg-car-ger.info
  • anna-blog.info
  • arizonaclub.me
  • arrow-click.info
  • backback.info
  • becker624.online
  • best85best.online
  • bestshopu.online
  • beta-man.info
  • black-friday-store.online
  • book-handwrite.online
  • bracs-lion.online
  • cc-newton.info
  • city-splash.online
  • clame-rade.online
  • clothes-show.online
  • cloth-model.blog
  • conn-ectionor.cfd
  • connect-room.online
  • cook-tips.info
  • course-math.info
  • crysus-h.info
  • crysus-p.info
  • cyberlattice.pro
  • dmn-for-car.online
  • dmn-for-hall.online
  • door-black-meter.online
  • encryption-redirect.online
  • est5090.online
  • everything-here.info
  • exir-juice.online
  • expressmarket.online
  • first-course.online
  • food-tips-blog.online
  • gallery-shop.online
  • good-news.cfd
  • good-news.fashion
  • goods-companies.online
  • good-student.online
  • healthy-lifestyle.fit
  • hrd-dmn.info
  • human-fly900.online
  • idea-home.online
  • infinit-world.info
  • lenan-rex.online
  • lesson-first.info
  • live-coaching.online
  • live-conn.online
  • live-content.online
  • live-gml.online
  • live-meet.blog
  • live-meet.cfd
  • live-meet.cloud
  • live-meet.info
  • live-meet.live
  • live-message.online
  • loads-ideas.online
  • lynda-tricks.online
  • make-house.online
  • master-club.info
  • meet-work.info
  • message-live.online
  • network-game.xyz
  • network-review.xyz
  • network-show.online
  • network-show-a.online
  • nice-goods.online
  • normal-dmn.info
  • nsim-pa.info
  • nsim-ph.info
  • ntp-clock-h.info
  • ntp-clock-p.info
  • online-room.online
  • optio-nalynk.online
  • pa-crtdomain.info
  • panel-meeting.info
  • panel-network.online
  • panel-redirect.online
  • ph-crtdomain.info
  • ph-work.info
  • platinum-cnt.info
  • pnl-worth.online
  • prj-pa.info
  • prj-ph.info
  • prt-max.online
  • ptr-cc.online
  • ques-tion-ing.xyz
  • rap-art.info
  • reading-course.online
  • redirect-review.online
  • reg-d.info
  • ricardo-mell.online
  • roland-cc.online
  • royalsoul.online
  • sendly-ink.shop
  • shadow-network.best
  • shaer-likn.store
  • show-verify.xyz
  • sky-writer.online
  • socks.beauty
  • spring-club.info
  • stadium-fresh.online
  • steve-brown.info
  • storm-wave.online
  • suite-moral.info
  • teammate-live.online
  • thomas-mark.xyz
  • tomas-company.online
  • top-game.online
  • ude-final.online
  • warning-d.info
  • warplogic.pro
  • wash-less.online
  • wer-d.info
  • white-car.online
  • white-life.info
  • white-life-bl.info
  • wood-house.online
  • word-course.online
  • work-meeting.info
  • world-shop.online
  • yamal-group.online
  • zra-roll.online
Комментарии: 0