حملة تصيّد متقدمة تستهدف خبراء الأمن الإسرائيليين: هجمات جديدة مرتبطة بمجموعة Educated Manticore
كشف تقرير حديث عن قيام مجموعة اختراق إيرانية مدعومة من الحرس الثوري الإيراني (IRGC) بتنفيذ حملة تصيّد احتيالية دقيقة تستهدف صحفيين، وخبراء بارزين في الأمن السيبراني، وأساتذة في علوم الحاسوب داخل إسرائيل.
ووفقًا لتقرير صادر عن شركة الأمن السيبراني Check Point، فإن بعض هذه الحملات تضمنت محاولات تواصل مع محترفين إسرائيليين في مجالات التقنية والأمن الإلكتروني، حيث تظاهر المهاجمون بأنهم مساعدين تنفيذيين أو باحثين مزيفين من خلال رسائل بريد إلكتروني أو رسائل WhatsApp. تم توجيه الضحايا إلى صفحات تسجيل دخول مزيفة من Gmail أو إلى دعوات اجتماع عبر Google Meet.
الجهة المهاجمة: Educated Manticore
نسبت Check Point هذا النشاط إلى مجموعة تهديد تُعرف باسم Educated Manticore، وهي تتقاطع في نشاطها مع مجموعات تهديد معروفة مثل:
-
APT35 / APT42
-
CALANQUE
-
Charming Kitten / CharmingCypress
-
Cobalt Illusion
-
ITG18
-
Mint Sandstorm (المعروفة سابقًا باسم Phosphorus)
-
TA453
-
Yellow Garuda
تملك المجموعة سجلًا طويلاً في تنفيذ هجمات الهندسة الاجتماعية عبر منصات مثل LinkedIn وFacebook، حيث يتم استخدام هويات مزيفة لخداع الأهداف وتشغيل برامج خبيثة على أجهزتهم.
تصعيد جديد بعد اندلاع الحرب الإيرانية-الإسرائيلية
بدأت موجة جديدة من الهجمات في منتصف يونيو 2025، بعد اندلاع الحرب بين إيران وإسرائيل، حيث استُهدفت شخصيات إسرائيلية من خلال رسائل مموّهة عبر البريد الإلكتروني أو WhatsApp. تشير الأدلة إلى أن الرسائل تم إنشاؤها باستخدام أدوات ذكاء اصطناعي، نظرًا لتنظيمها المتقن وخلوها من الأخطاء اللغوية.
أحد الأمثلة على ذلك رسالة WhatsApp استغلت التوتر الجيوسياسي، وادعت أنها تتعلق بنظام للكشف عن التهديدات يعتمد على الذكاء الاصطناعي، وطلبت من الضحية المساعدة الفورية بسبب زيادة الهجمات السيبرانية منذ 12 يونيو.
مراحل الهجوم
الرسائل الأولية التي تُرسل تشبه الحملات السابقة لمجموعة Charming Kitten؛ لا تتضمن أي برمجيات خبيثة وتُستخدم فقط لبناء الثقة مع الهدف. بعد إنشاء علاقة تواصل، يقوم المهاجمون بإرسال رابط لصفحة تسجيل دخول مزيفة لجوجل، لسرقة بيانات اعتماد الحساب.
طريقة عمل مجموعة الهجوم:
-
يتم أولاً طلب البريد الإلكتروني من الضحية.
-
يتم استخدام هذا البريد لملء النموذج تلقائيًا في صفحة التصيّد لجعلها تبدو أكثر مصداقية.
-
تعتمد الصفحة على تقنيات ويب حديثة مثل:
-
تطبيقات الصفحة الواحدة (SPA) باستخدام React
-
التوجيه الديناميكي
-
استخدام WebSocket لإرسال البيانات المسروقة في الوقت الفعلي
-
-
تتضمن الصفحة أيضًا أدوات لتسجيل ضغطات المفاتيح (Keylogger) حتى إذا غادر المستخدم الصفحة قبل تسجيل الدخول.
كما استخدم المهاجمون خدمة Google Sites لاستضافة صفحات مزيفة تحتوي على صورة تُحاكي واجهة Google Meet. النقر على الصورة ينقل المستخدم إلى صفحات تصيّد مخصصة.
استنتاجات Check Point
ذكرت Check Point أن مجموعة Educated Manticore تمثل تهديدًا مستمرًا وفعّالًا، خاصة خلال التصعيد العسكري الأخير. تتميز عمليات المجموعة بالآتي:
-
تنفيذ تصيّد متقدم ومستهدف بدقة.
-
إنشاء نطاقات فرعية وخوادم بسرعة عالية.
-
إزالة البنى التحتية بسرعة بمجرد اكتشافها.
-
استغلال الذكاء الاصطناعي لتطوير الرسائل الاحتيالية.
المصدر:- The Hacker News
