美國聯邦調查局(FBI)上週警告,與伊朗情報與安全部(MOIS)相關的駭客組織,正利用通訊平臺Telegram作為惡意程式的指揮控制(C2)基礎設施,對記者、異議人士及全球反對勢力發動攻擊。
根據調查,相關攻擊主要透過社交工程手法誘使目標裝置感染Windows惡意程式,一旦入侵成功,駭客即可遠端操控裝置,竊取螢幕截圖與檔案資料,進行情資蒐集與資料外洩,甚至造成受害者名譽損害。
FBI將相關行動歸因於多個伊朗背景威脅組織,包括Handala駭客團體(亦稱Hatef或Hamsa)以及與伊朗革命衛隊(IRGC)相關的Homeland Justice。這些組織不僅發動入侵,也在網站上公開所竊取的資料,擴大攻擊影響。
值得注意的是,Telegram在此次攻擊中被駭客當作惡意程式的指揮控制(C2)通道。當受害者裝置感染惡意程式後,該程式會主動連線至駭客所建立的Telegram Bot或頻道,定期接收指令(如截圖或檔案竊取),並將所盜資料透過Telegram回傳,使駭客可在不架設傳統C2伺服器的情況下遠端操控受害電腦。
Telegram向BleepingComputer表示,不法份子可能利用任何管道控制惡意程式,包括通訊軟體、電子郵件或直接網路連線,並強調該平臺會持續移除涉及惡意活動的帳號。
事實上,這並非Handala首度濫用合法服務執行攻擊。該組織於3月中旬入侵美國醫療科技業者Stryker,在取得Windows網域管理權限後,建立了Global Admin帳號,並透過Microsoft Intune的Wipe指令,重置約8萬臺裝置。
除了發布警告外,FBI亦已查封4個相關網域,這些網站曾被Handala、Homeland Justice及Karma Below等駭客組織用於攻擊行動與資料外洩。
