文章总结： 以色列企业遭UNG0801组织定向钓鱼，攻击者冒充知名安全厂商分发PYTRIC擦除器和RUSTRIC间谍工具，兼具数据破坏与窃密意图。该活动利用信任链绕过防御，建议企业对安全通知实施多重验证，遵循最小权限原则，并加强端点行为监控以应对此类高级威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,安全意识,应急响应

安全软件图标竟是陷阱！以色列企业遭名为UNG0801的APT组织定向钓鱼攻击

原创

紫队

AI紫队安全研究

2026年1月7日 12:00 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

信任的边界被打破，安全警告本身成为最大威胁

近日，一场针对以色列组织的大规模网络钓鱼活动被曝光。令人震惊的是，攻击者竟然冒充全球知名网络安全品牌，将恶意软件伪装成安全扫描工具，上演了一出现实版的“贼喊捉贼”。

高度伪装的钓鱼诱饵：安全软件反成陷阱

网络安全公司SEQRITE Labs的研究人员发现，一个名为UNG0801的黑客组织正在发起代号为“Operation IconCat”的攻击行动。该组织专门针对以色列的企业环境，特别是信息技术服务提供商、人力资源公司和软件开发企业。

攻击者的手段极其狡诈：他们发送纯希伯来语编写的钓鱼邮件，完美模仿以色列公司内部的合规通知、安全公告或网络研讨会邀请。最致命的是，邮件中滥用Check Point和SentinelOne等知名安全品牌的标识，让警惕性最高的安全人员也可能放松警惕。

双重攻击链：一个破坏，一个间谍

研究人员发现了两条独立的感染链条，展现了攻击者的多样化目标。

第一条攻击链：PYTRIC擦除器

攻击者冒充Check Point，发送名为help.pdf的恶意PDF文件。该文件伪装成用户手册，诱骗员工从Dropbox下载所谓的“安全扫描器”工具，解压密码为“cloudstar”。

一旦运行，这个所谓的“安全工具”实际上会部署PYTRIC植入程序——一个用Python编写并通过PyInstaller打包的恶意软件。分析显示，PYTRIC执行破坏性操作，包括扫描本地文件、检查管理员权限，以及执行命令来擦除系统数据和备份。

更令人担忧的是，PYTRIC通过名为“Backup2040”的Telegram机器人攻击者通信，这表明其行为更接近数据擦除器而非传统的间谍软件。

第二条攻击链：RUSTRIC间谍工具

另一条攻击链冒充SentinelOne，通过包含VBA宏的恶意Word文档传递基于Rust语言的RUSTRIC植入程序。

这个恶意二进制文件伪装成安全工具，具备枚举28种防病毒和EDR产品的功能，包括ESET、CrowdStrike、Sophos和Microsoft Defender等主流产品。同时执行whoami、hostname和nslookup等标准侦察命令，显示出明显的间谍意图。

技术细节：精密的攻击架构

攻击者使用了多种MITRE ATT&CK技术，包括：

•   T1566.001（鱼叉式钓鱼附件）

•   T1059.006（Python命令解释器）

•   T1036.005（伪装技术）

RUSTRIC植入程序与位于stratioai[.]org和159.198.68.25的命令控制服务器通信，而第一条攻击链的有效载荷则依赖Dropbox链接进行传递。

基础设施分析还发现攻击者重复使用了netvigil.org的证书，表明他们可能重新利用了低成本的VPS服务器。

行业警示：网络安全品牌遭滥用成新趋势

SEQRITE Labs得出结论，虽然PYTRIC充当数据擦除器，RUSTRIC专注于间谍活动，但两者共享相同的攻击者策略手册。这一发现凸显了一个日益增长的趋势：威胁行为体正在利用受信任的网络安全品牌来提高定向网络钓鱼操作的成功率。

对于企业安全团队而言，这一事件敲响了警钟：即使是最值得信赖的安全通知也可能成为攻击载体。在网络安全意识培训中，需要加入对“安全通知”本身真伪的辨识能力培养。

防护建议

1.  多重验证：对所有安全通知，特别是要求下载工具的邮件，必须通过其他渠道进行二次验证

2.  权限最小化：严格执行最小权限原则，减少潜在破坏范围

3.  行为监控：加强端点检测与响应能力，关注异常行为而非仅仅依赖特征码检测

4.  员工培训：定期更新社会工程学防护培训，包括最新攻击手法演示

随着网络攻击手段不断进化，传统的信任边界正在被重新定义。安全团队需要以“零信任”的心态，对待每一个进入企业网络的可执行文件，即使是那些看似来自“自己人”的安全工具。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《安全软件图标竟是陷阱！以色列企业遭名为UNG0801的APT组织定向钓鱼攻击》