HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）向网络防御人员发出警告，与伊朗情报与安全部（MOIS）有关联的黑客正利用Telegram进行恶意软件攻击。 FBI在周五发布的紧急警报中指出，Telegram被用作恶意软件的命令控制（C2）基础设施，攻击目标包括批评伊朗政府的记者、伊朗异见人士及全球各类反对派组织。 “鉴于中东地区当前的地缘政治形势和冲突态势，FBI特此强调MOIS的网络活动，”该局表示。 “该恶意软件导致情报收集、数据泄露及针对目标方的声誉损害。FBI发布此信息旨在最大限度提高对伊朗恶意网络活动的认知，并提供缓解策略以降低被入侵风险。” 该局将这些攻击与伊朗关联的亲巴勒斯坦Handala黑客组织（又称Handala Hack Team、Hatef、Hamsa），以及伊朗伊斯兰革命卫队（IRGC）支持的国家资助威胁组织Homeland Justice联系起来。 在这些攻击中，伊朗黑客利用社交工程感染目标设备，植入Windows恶意软件，使其能够从受感染计算机外泄截图或文件。 “不法分子会利用任何可用渠道控制恶意软件，包括其他通讯工具、电子邮件甚至直接网络连接，”Telegram发言人在文章发表后告诉BleepingComputer。”虽然使用Telegram控制软件并无特殊之处，但平台审核人员会例行删除任何涉及恶意软件的账户。” 该警告发布前一天，FBI刚刚查封了四个域名：handala-redwanted[.]to、handala-hack[.]to、justicehomeland[.]org和karmabelow80[.]org。 这些明网域名对应的网站被Handala、Homeland Justice威胁组织，以及被追踪为Karma Below的第三个威胁行为体用于攻击活动，并泄露在美国及全球网络攻击中窃取的敏感文件和数据。 这些行动紧随Handala对美国医疗巨头Stryker的网络攻击之后——该组织在入侵Windows域管理员账户并新建全局管理员账户后，利用Microsoft Intune擦除命令对约8万台设备（包括公司管理的员工个人电脑和移动设备）执行了出厂重置。 上周，FBI还警告称，与俄罗斯情报部门关联的威胁行为体正针对Signal和WhatsApp用户发起钓鱼活动，已入侵数千个账户。 “该活动瞄准高情报价值人员，如现任及前任美国政府官员、军事人员、政治人物和记者，”FBI在荷兰和法国网络安全机构描述类似账户劫持行动后发布的公共服务公告中表示。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。 然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。 该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。 此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。 Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。 只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。 Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。 了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。 该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。 他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。 会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。 该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。 Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。 标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。 Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。 他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文