Hacking
Οι Ιρανοί χάκερ APT35 στοχεύουν Ισραηλινούς ειδικούς με επιθέσεις phishing
Οι Ιρανοί χάκερ APT35 στοχεύουν Ισραηλινούς ειδικούς με επιθέσεις phishing μέσω AI, εκμεταλλευόμενοι γεωπολιτικές εντάσεις.
Η νέα απειλή από το Ιράν: Εκπαιδευμένη Μαντίκορα
Μια κρατική ομάδα χάκερ από το Ιράν, συνδεδεμένη με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης, έχει συνδεθεί με μια εκστρατεία spear-phishing που στοχεύει δημοσιογράφους, υψηλού προφίλ ειδικούς στον τομέα της κυβερνοασφάλειας και καθηγητές επιστήμης υπολογιστών στο Ισραήλ. Σύμφωνα με την Check Point, οι επιτιθέμενοι προσποιούνται ότι είναι φανταστικοί βοηθοί τεχνολογικών στελεχών ή ερευνητών, χρησιμοποιώντας emails και μηνύματα στο WhatsApp για να προσεγγίσουν τα θύματά τους.
Η τεχνική του phishing και οι στόχοι
Η συγκεκριμένη δραστηριότητα αποδίδεται σε μια απειλή που η Check Point παρακολουθεί ως Educated Manticore, η οποία συνδέεται με γνωστές ομάδες όπως οι APT35 και APT42. Οι χάκερ χρησιμοποιούν τεχνικές κοινωνικής μηχανικής για να παρασύρουν τα θύματα σε ψεύτικες σελίδες σύνδεσης στο Gmail ή προσκλήσεις στο Google Meet. Η Educated Manticore έχει ιστορικό χρήσης πολύπλοκων δολωμάτων για να ξεγελάσει τα θύματά της και να εγκαταστήσει κακόβουλο λογισμικό στα συστήματά τους.
Η χρήση της τεχνητής νοημοσύνης στις επιθέσεις
Η Check Point παρατήρησε ένα νέο κύμα επιθέσεων που ξεκίνησε στα μέσα Ιουνίου 2025, μετά την έναρξη του πολέμου Ιράν-Ισραήλ. Οι επιθέσεις αυτές στοχεύουν Ισραηλινούς με ψεύτικες προσκλήσεις για συναντήσεις μέσω emails ή μηνυμάτων στο WhatsApp. Πιστεύεται ότι τα μηνύματα αυτά δημιουργούνται με τη βοήθεια εργαλείων τεχνητής νοημοσύνης (AI), προσδίδοντας μεγαλύτερη πειστικότητα και αποτελεσματικότητα στις προσπάθειες phishing.
Η στρατηγική των επιτιθέμενων
Ένα από τα μηνύματα στο WhatsApp που εντοπίστηκαν εκμεταλλεύεται τις γεωπολιτικές εντάσεις μεταξύ των δύο χωρών, προκειμένου να πείσει το θύμα να συμμετάσχει σε μια συνάντηση. Το μήνυμα ισχυρίζεται ότι χρειάζονται άμεση βοήθεια σε ένα σύστημα ανίχνευσης απειλών βασισμένο στην AI, για να αντιμετωπιστεί η αύξηση των κυβερνοεπιθέσεων κατά του Ισραήλ από τις 12 Ιουνίου.
Η τεχνική της εξαπάτησης
Τα αρχικά μηνύματα, όπως και σε προηγούμενες εκστρατείες της Charming Kitten, δεν περιέχουν κακόβουλα στοιχεία και έχουν σχεδιαστεί κυρίως για να κερδίσουν την εμπιστοσύνη των στόχων. Μόλις οι επιτιθέμενοι δημιουργήσουν μια σχέση εμπιστοσύνης, η επίθεση περνάει στο επόμενο στάδιο, με την αποστολή συνδέσμων που κατευθύνουν τα θύματα σε ψεύτικες σελίδες σύνδεσης, ικανές να συλλέξουν τα διαπιστευτήριά τους στο Google.
Οι τεχνολογίες πίσω από τις επιθέσεις
Πριν αποσταλεί ο σύνδεσμος phishing, οι επιτιθέμενοι ζητούν τη διεύθυνση email του θύματος, η οποία στη συνέχεια προ-συμπληρώνεται στη σελίδα phishing για να αυξήσει την αξιοπιστία και να μιμηθεί τη ροή αυθεντικοποίησης του Google. Το προσαρμοσμένο κιτ phishing μιμείται στενά γνωστές σελίδες σύνδεσης, όπως αυτές του Google, χρησιμοποιώντας σύγχρονες τεχνολογίες ιστού όπως React-based Single Page Applications (SPA) και δυναμική δρομολόγηση σελίδων.
Η συλλογή δεδομένων και οι επιπτώσεις
Η ψεύτικη σελίδα αποτελεί μέρος ενός προσαρμοσμένου κιτ phishing που μπορεί να καταγράψει όχι μόνο τα διαπιστευτήρια, αλλά και τους κωδικούς επαλήθευσης δύο παραγόντων (2FA), διευκολύνοντας επιθέσεις relay 2FA. Το κιτ περιλαμβάνει επίσης έναν παθητικό καταγραφέα πληκτρολογίων για την καταγραφή όλων των πληκτρολογήσεων που εισάγει το θύμα και την εξαγωγή τους σε περίπτωση που ο χρήστης εγκαταλείψει τη διαδικασία στη μέση.
Η συνεχιζόμενη απειλή και οι προκλήσεις
Η Educated Manticore συνεχίζει να αποτελεί μια επίμονη και υψηλής επίδρασης απειλή, ιδιαίτερα για άτομα στο Ισραήλ κατά τη διάρκεια της κλιμάκωσης της σύγκρουσης Ιράν-Ισραήλ. Η ομάδα συνεχίζει να λειτουργεί σταθερά, χαρακτηριζόμενη από επιθετικό spear-phishing, γρήγορη εγκατάσταση τομέων και υποτομέων, και γρήγορες αποσύρσεις όταν εντοπίζονται. Αυτή η ευελιξία τους επιτρέπει να παραμένουν αποτελεσματικοί υπό αυξημένη επιτήρηση.
