【安全资讯】FBI警告伊朗黑客组织Handala利用Telegram进行恶意软件攻击

概要：

在日益紧张的地缘政治背景下，伊朗国家支持的黑客活动正变得愈发猖獗。美国联邦调查局（FBI）近日发布紧急警报，揭露与伊朗情报与安全部（MOIS）有关联的黑客组织Handala，正利用流行的即时通讯应用Telegram作为恶意软件的命令与控制（C2）基础设施，针对全球范围内的记者、异见人士及反对团体发起精准攻击，造成了严重的情报收集、数据泄露和声誉损害。

主要内容：

FBI指出，Handala黑客组织（亦称Handala Hack Team、Hatef、Hamsa）及伊朗革命卫队支持的Homeland Justice威胁组织，通过社会工程学手段诱骗目标。攻击者向目标发送恶意链接或文件，一旦用户点击，便会在其Windows设备上植入恶意软件。该恶意软件的核心功能是窃取屏幕截图和文件，并将数据回传至攻击者控制的Telegram频道或机器人，从而实现了隐蔽的远程控制和数据外泄。

此次攻击的技术关键在于滥用Telegram的公开API作为C2服务器。与传统自建C2服务器相比，利用Telegram这类合法、加密且广泛使用的服务，能有效绕过基于IP或域名的传统安全检测，大大增加了攻击的隐蔽性和存活时间。攻击链从钓鱼开始，最终实现持久化访问与数据窃取。

FBI在发布警告前一天，已查封了Handala等组织用于泄露窃取数据的四个明网域名。这些攻击具有明确的政治动机，旨在压制批评声音并窃取敏感信息。此前，Handala组织曾入侵美国医疗巨头Stryker，利用被攻破的域管理员账户，通过Microsoft Intune命令远程擦除了约8万台设备，造成了严重的业务中断和数据损失，凸显了其对关键基础设施的破坏能力。