ITanalyze

نگار قیصری - طبق ادعای اخیر شرکت امنیت سایبری رژیم صهیونیستی چک‌پوینت (Check Point)، گروه هکری تحت حمایت ایران که با کمپین فیشینگ هدفمند مرتبط شناخته می‌شود، روزنامه‌نگاران، متخصصان برجسته امنیت سایبری و استادان علوم رایانه در اسرائیل را هدف قرار داده است.

به گزارش Thehackernews، شرکت چک‌پوینت اعلام کرد: «در برخی از این حملات، مهاجمان با جعل هویت دستیاران ساختگی مدیران فناوری یا پژوهشگران، از طریق ایمیل یا پیام‌های واتس‌اپ با متخصصان فناوری و امنیت سایبری اسرائیلی تماس گرفته‌اند. این مهاجمان، قربانیانی را که با آنها وارد تعامل می‌شدند، به صفحات جعلی ورود به حساب جی‌میل یا دعوت‌نامه‌های جعلی گوگل‌میت هدایت می‌کردند.»

چک‌پوینت این فعالیت‌ها را به یک خوشه تهدید به نام «Educated Manticore» نسبت داده که با گروه APT35 و زیرشاخه‌ آن (APT42) هم‌پوشانی دارد. این گروه با نام‌های دیگر مانند CALANQUE، Charming Kitten، CharmingCypress، Cobalt Illusion، ITG18، Magic Hound، Mint Sandstorm (نام پیشین: Phosphorus)، Newscaster، TA453 و Yellow Garuda نیز شناخته می‌شود.

این گروه تهدید پیشرفته (APT)، سابقه طولانی در اجرای حملات مهندسی اجتماعی با استفاده از ترفندهای پیچیده دارد و قربانیان را از طریق پلتفرم‌هایی نظیر فیس‌بوک و لینکدین، با استفاده از شخصیت‌های جعلی فریب داده و به اجرای بدافزار روی سیستم‌های آنها وادار می‌کند.

طبق ادعای چک‌پوینت، از اواسط ژوئن ۲۰۲۵ و با آغاز جنگ ایران و اسرائیل، موج تازه‌ای از حملات مشاهده شده که افراد اسرائیلی را هدف گرفته است. در این حملات، دعوت‌نامه‌های جعلی برای جلسات از طریق ایمیل یا پیام‌های واتس‌اپ ارسال شده که به‌طور خاص برای هر هدف طراحی شده‌اند. به باور کارشناسان، این پیام‌ها با استفاده از ابزارهای هوش مصنوعی تولید شده‌اند، زیرا ساختار منظم و بدون هیچ‌گونه اشتباه گرامری دارند.

در یکی از پیام‌های شناسایی‌شده واتس‌اپ  توسط این شرکت، مهاجم، از تنش‌های ژئوپلیتیکی کنونی ایران و اسرائیل سوءاستفاده و تلاش کرده بود قربانی را ترغیب کند در جلسه‌ اضطراری شرکت نماید. در این پیام ادعا شده بود برای مقابله با موج حملات سایبری علیه اسرائیل از تاریخ ۱۲ ژوئن، نیاز فوری به کمک آن فرد وجود دارد. موضوع جلسه نیز درباره سامانه شناسایی تهدید مبتنی بر هوش مصنوعی ذکر شده بود.

همانند کمپین‌های قبلی گروه Charming Kitten، پیام‌های اولیه در این حملات، فاقد هرگونه فایل یا پیوست مخرب هستند و هدف اصلی آنها، جلب اعتماد قربانی است. پس از ایجاد رابطه و جلب اعتماد، مرحله بعدی حمله آغاز می‌شود که شامل ارسال لینک‌هایی به صفحات جعلی است که به‌منظور سرقت اطلاعات حساب گوگل، طراحی شده‌اند.

چک‌پوینت در ادامه آورده است: «پیش از ارسال لینک فیشینگ، مهاجمان از قربانی درخواست آدرس ایمیل می‌کنند. سپس این آدرس به‌صورت از قبل تکمیل‌شده در صفحه جعلی وارد می‌شود تا اعتماد قربانی بیشتر جلب شود و فرایند احراز هویت گوگل، طبیعی‌تر به نظر برسد.»

کیت فیشینگ سفارشی مورد استفاده این حملات، به‌طور پیشرفته طراحی شده و شباهت زیادی به صفحات ورود شناخته‌شده‌ مانند گوگل دارد. این صفحات با استفاده از فناوری‌های مدرن وب مانند برنامه‌های تک‌صفحه‌ای (SPA)، مبتنی بر React و مسیر‌یابی پویا ساخته شده‌اند. همچنین از اتصالات  WebSocket در زمان واقعی، برای ارسال داده‌های سرقت‌شده بهره می‌برند و ساختار آنها به‌گونه‌ای است که کدهای‌شان از تحلیل دقیق پنهان می‌ماند.

این صفحه جعلی علاوه بر سرقت نام کاربری و گذرواژه، توانایی سرقت کدهای احراز هویت دومرحله‌ای را نیز دارد و در نتیجه، امکان اجرای حملات عبور از احراز هویت دومرحله‌ای را فراهم می‌کند. این کیت، همچنین شامل یک کی‌لاگر (Keylogger) غیرفعال است که تمامی کلیدهای فشرده‌شده توسط کاربر را ثبت کرده و چنانچه قربانی، فرایند ورود را نیمه‌کاره رها کند، آنها را به خارج منتقل می‌کند.

برخی از تلاش‌های مهندسی اجتماعی این گروه، شامل استفاده از دامنه‌های Google Sites برای میزبانی صفحات جعلی گوگل‌میت بوده‌اند. این صفحات، تصویری شبیه به محیط اصلی جلسه دارند و با کلیک روی تصویر، قربانی به صفحه فیشینگ هدایت می‌شود و فرایند جعلی احراز هویت را آغاز می‌کند.

چک‌پوینت در پایان تأکید کرد: «گروهEducated Manticore ، به‌ویژه برای افراد در اسرائیل در دوره تشدید تنش‌ها با ایران، همچنان یک تهدید مداوم و پرخطر محسوب می‌شود. این گروه با اجرای حملات فیشینگ هدفمند، راه‌اندازی سریع دامنه‌ها و زیردامنه‌ها و نیز حذف فوری زیرساخت‌ها، پس از شناسایی، عملکرد پایداری دارد. این چابکی به آنها اجازه می‌دهد حتی در شرایط نظارت شدید، مؤثر باشند.» (منبع:عصرارتباط)