HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文