文章总结： 以色列遭受APT42针对安全人员的鱼叉式钓鱼攻击，利用WhatsApp冒充组织发送会议链接。攻击者通过msnl.ink缩短URL重定向至伪造网站窃取凭证，分析其基础设施指纹及托管特征确认为伊朗背景的APT42行动。该事件提示需警惕即时通讯工具的高级定向攻击。 综合评分： 75 文章分类： 威胁情报,应急响应,社会工程学

APT42针对以色列地区安全人员的新鱼叉式网络钓鱼攻击

原创

网络安全9527

安全圈的那点事儿

2025年12月31日 12:07 北京

以色列国家网络局发布了紧急警报，警告正进行针对安全和防务相关行业员工的活跃鱼叉式钓鱼活动。

该行动与APT42（又称“Charming Kitten”）相关的基础设施相关联，代表了一种针对高价值人员的蓄意且复杂的威胁，而非机会主义的大规模钓鱼。

该攻击利用WhatsApp作为主要传递渠道，威胁行为者冒充合法组织发送消息以建立信誉。

这些诱饵采用以会议为主题的借口，旨在显得专业合法，利用目标受众预期参与行业活动的机会。

当收件人点击提供的缩短URL时，他们会被重定向到那些被伪造的网站，这些网站专门收集凭证和敏感信息。

在某些情况下，该基础设施还会向受害者设备发送恶意文件，使攻击面不仅限于凭证盗窃。

该活动明确利用了msnl[.]Ink 作为一种简化的 URL 服务，这一细节对于确定该行动归属于 APT42 而非将其视为随机钓鱼活动至关重要。

基于基础设施的归因

归因分析不仅仅是简单的诱饵分析，还延伸到基础设施层面的相关性，显著提高了对威胁行为者识别的信心。

监测历史上与APT42相关的基础设施的研究人员,发现了msnl.ink和缩短url之间的直接重叠,这些与已建立的APT42使用习惯一致。

这种基础设施关系验证了该行动反映了有意、协调的威胁活动，而非孤立的钓鱼尝试。

从msnl.ink简短的 URL 显示了一个维护良好、可重用的基础设施生态系统，展现出独特的运营特征。

基础设施格局显示出若干国家支持活动的关键特征。

专门定制的URL缩短器作为多个活动中的持久工具，建议长期运营规划，而非临时的权宜资源。

服务器指纹始终能识别出Microsoft IIS/10.0配置，表明了标准化的基础设施部署实践。

托管基础设施集中在荷兰、德国、摩尔多瓦和意大利的管辖区，这些地区通常被伊朗威胁组织用于基础设施的运营。

动态DNS服务的持续重用结合战略性域名命名规范（特别是.ink和.info顶级域名），体现了APT42既定的运营安全实践。

分析显示，与此前追踪的APT42相关基础设施存在明显重叠，增强了归因信心。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《APT42针对以色列地区安全人员的新鱼叉式网络钓鱼攻击》