伊朗駭客企圖挾持受駭目標Telegram帳號，並發展出可破解雙因素認證之Android惡意程式

• 發布日期：109-12-04
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心  伊朗駭客企圖挾持受駭目標Telegram帳號，並發展出可破解雙因素認證之Android惡意程式
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16457

以色列資安業者Check Point近期揭露，名為Rampant Kitten之駭客行動，為伊朗政府所主導之攻擊行為，主要鎖定伊朗移民、伊朗少數民族、反政權組織及抗議運動人士發動攻擊。該行動透過各種途徑滲透目標對象，如建立Telegram網路釣魚頁面、開發可取得雙因素認證碼之Android後門程式等，竊取目標個人文件、通訊軟體Telegram及帳號密碼管理程式KeePass帳號資訊等，該行動已秘密執行至少6年之久，迄今才被揭露。
根據Check Point分析，駭客首先透過社交工程搭配惡意文件展開攻擊，當受駭者開啟該文件，便會自外部伺服器載入包含惡意巨集之文件範本，以執行批次腳本程式，進而下載其他惡意後門，該後門會檢查受駭者是否安裝Telegram，若已安裝Telegram，則會載入其他可執行檔。
駭客除使用惡意程式竊取Telegram之帳號資訊外，亦建立Telegram網路釣魚頁面，搭配偽冒之Telegram服務帳號，發動要求使用者輸入登入資訊之釣魚攻擊。此外，駭客亦開發Android後門程式，一旦該程式進駐受駭者之Android裝置，便能取得裝置上之簡訊，破解雙因素認證機制，甚至能記錄手機周遭環境聲音。
有鑑於受駭者多數為伊朗國民，研究人員判斷此次攻擊為伊朗政權用來蒐集潛在對手情報之大規模監控行動。