FBI警告伊朗駭客濫用Telegram作為C2攻擊異議人士

根據調查，相關攻擊主要透過社交工程手法誘使目標裝置感染Windows惡意程式，一旦入侵成功，駭客即可遠端操控裝置，竊取螢幕截圖與檔案資料，進行情資蒐集與資料外洩，甚至造成受害者名譽損害。

FBI將相關行動歸因於多個伊朗背景威脅組織，包括Handala駭客團體（亦稱Hatef或Hamsa）以及與伊朗革命衛隊（IRGC）相關的Homeland Justice。這些組織不僅發動入侵，也在網站上公開所竊取的資料，擴大攻擊影響。

值得注意的是，Telegram在此次攻擊中被駭客當作惡意程式的指揮控制（C2）通道。當受害者裝置感染惡意程式後，該程式會主動連線至駭客所建立的Telegram Bot或頻道，定期接收指令（如截圖或檔案竊取），並將所盜資料透過Telegram回傳，使駭客可在不架設傳統C2伺服器的情況下遠端操控受害電腦。

Telegram向BleepingComputer表示，不法份子可能利用任何管道控制惡意程式，包括通訊軟體、電子郵件或直接網路連線，並強調該平臺會持續移除涉及惡意活動的帳號。

事實上，這並非Handala首度濫用合法服務執行攻擊。該組織於3月中旬入侵美國醫療科技業者Stryker，在取得Windows網域管理權限後，建立了Global Admin帳號，並透過Microsoft Intune的Wipe指令，重置約8萬臺裝置。

除了發布警告外，FBI亦已查封4個相關網域，這些網站曾被Handala、Homeland Justice及Karma Below等駭客組織用於攻擊行動與資料外洩。