На фоне обострения отношений между Ираном и Израилем иранская хакерская группировка Educated Manticore активизировала фишинговые кампании, нацеленные на израильских журналистов, ведущих экспертов по кибербезопасности и профессоров компьютерных наук из крупнейших университетов страны. Об этом сообщили аналитики Check Point Research, которые отслеживают деятельность группировки на протяжении последних лет.
Описание
Тактика атак: от фишинга до перехвата 2FA
Атаки начинаются с тщательно подготовленных фишинговых писем и сообщений в WhatsApp, где злоумышленники представляются сотрудниками известных кибербезопасностных компаний или исследователями. В некоторых случаях они даже предлагают личные встречи в Тель-Авиве, чтобы усилить доверие жертвы. После установления контакта жертву перенаправляют на поддельные страницы входа в Gmail или фальшивые приглашения в Google Meet.
Особенность кампании - использование сложного фишингового набора (kit), разработанного на основе React и имитирующего процесс аутентификации Google. Этот инструмент не только перехватывает введенные пароли, но и обходит двухфакторную аутентификацию (2FA), перехватывая SMS-коды и токены. Кроме того, встроенный кейлоггер записывает каждое нажатие клавиш, даже если пользователь не завершил процесс входа.
Цели и последствия
Основная цель атак - получение доступа к учетным записям жертв, включая почту и облачные сервисы. Учитывая статус целей - ведущие академики и эксперты по кибербезопасности - компрометация их аккаунтов может привести к утечке конфиденциальных данных, включая исследования, переписку и доступ к корпоративным системам.
Check Point Research отмечает, что группировка Educated Manticore (также известная как APT42, Charming Kitten или Mint Sandstorm) давно использует подобные методы, но в последнее время их атаки стали более изощренными. В частности, злоумышленники начали применять искусственный интеллект для генерации убедительных писем с безупречной грамматикой и стилистикой.
Инфраструктура атак
С января 2025 года группировка зарегистрировала более 130 доменов, многие из которых были размещены на хостинге NameCheap. Большинство из них использовались для размещения фишинговых страниц или бэкенд-серверов, обрабатывающих украденные данные. Некоторые домены имитировали легитимные сервисы, такие как Google Sites, чтобы усилить доверие жертв.
Аналитики также обнаружили, что часть инфраструктуры связана с другим иранским кластером активности - GreenCharlie, что указывает на возможное взаимодействие между различными хакерскими группами, работающими в интересах Ирана.
Текущая кампания Educated Manticore демонстрирует, как геополитические конфликты переходят в киберпространство, а академические и медийные деятели становятся мишенями для цифрового шпионажа. Учитывая высокий уровень организации атак, подобные инциденты могут продолжиться, и их масштаб будет только расти.
Индикаторы компрометации
IPv4
- 146.19.254.238
- 185.130.226.71
- 194.11.226.29
- 194.11.226.46
- 194.11.226.5
- 194.11.226.9
- 194.61.120.185
- 195.66.213.132
- 2.56.126.230
- 45.12.2.158
- 45.143.166.230
- 91.222.173.141
Domains
- adams-cooling.online
- albert-company.online
- alex-mendez-fire.info
- alison624.online
- all-for-city.info
- alpha-man.info
- amg-car-ger.info
- anna-blog.info
- arizonaclub.me
- arrow-click.info
- backback.info
- becker624.online
- best85best.online
- bestshopu.online
- beta-man.info
- black-friday-store.online
- book-handwrite.online
- bracs-lion.online
- cc-newton.info
- city-splash.online
- clame-rade.online
- clothes-show.online
- cloth-model.blog
- conn-ectionor.cfd
- connect-room.online
- cook-tips.info
- course-math.info
- crysus-h.info
- crysus-p.info
- cyberlattice.pro
- dmn-for-car.online
- dmn-for-hall.online
- door-black-meter.online
- encryption-redirect.online
- est5090.online
- everything-here.info
- exir-juice.online
- expressmarket.online
- first-course.online
- food-tips-blog.online
- gallery-shop.online
- good-news.cfd
- good-news.fashion
- goods-companies.online
- good-student.online
- healthy-lifestyle.fit
- hrd-dmn.info
- human-fly900.online
- idea-home.online
- infinit-world.info
- lenan-rex.online
- lesson-first.info
- live-coaching.online
- live-conn.online
- live-content.online
- live-gml.online
- live-meet.blog
- live-meet.cfd
- live-meet.cloud
- live-meet.info
- live-meet.live
- live-message.online
- loads-ideas.online
- lynda-tricks.online
- make-house.online
- master-club.info
- meet-work.info
- message-live.online
- network-game.xyz
- network-review.xyz
- network-show.online
- network-show-a.online
- nice-goods.online
- normal-dmn.info
- nsim-pa.info
- nsim-ph.info
- ntp-clock-h.info
- ntp-clock-p.info
- online-room.online
- optio-nalynk.online
- pa-crtdomain.info
- panel-meeting.info
- panel-network.online
- panel-redirect.online
- ph-crtdomain.info
- ph-work.info
- platinum-cnt.info
- pnl-worth.online
- prj-pa.info
- prj-ph.info
- prt-max.online
- ptr-cc.online
- ques-tion-ing.xyz
- rap-art.info
- reading-course.online
- redirect-review.online
- reg-d.info
- ricardo-mell.online
- roland-cc.online
- royalsoul.online
- sendly-ink.shop
- shadow-network.best
- shaer-likn.store
- show-verify.xyz
- sky-writer.online
- socks.beauty
- spring-club.info
- stadium-fresh.online
- steve-brown.info
- storm-wave.online
- suite-moral.info
- teammate-live.online
- thomas-mark.xyz
- tomas-company.online
- top-game.online
- ude-final.online
- warning-d.info
- warplogic.pro
- wash-less.online
- wer-d.info
- white-car.online
- white-life.info
- white-life-bl.info
- wood-house.online
- word-course.online
- work-meeting.info
- world-shop.online
- yamal-group.online
- zra-roll.online