数以百万计用户使用 Telegram 进行安全即时通讯,然而在网络安全领域,该平台正暴露出黑暗一面。Cofense 最新报告显示,该平台备受关注的机器人功能正被攻击者频繁滥用,成为高效的数据窃取命令与控制(C2)中心。
通过使用合法的 Telegram Bot API,网络罪犯将简单的自动化账号变成窃取数据的 “上帝视角” 入口。
Telegram 提供的丰富 Web API 本意是帮助开发者构建自动化工具,但这些功能也被恶意机器人利用,可在私密聊天中发送消息,并将截图、窃取的凭证压缩包等文件直接上传到攻击者设备。
正如报告所指出:攻击者经常将 Telegram 机器人作为一种数据外带渠道,借助的却是合法合规的服务接口。
2024 年第一季度至 2025 年第二季度期间,在被分析的所有恶意软件攻击活动中,约3.8% 将 Telegram 作为主要 C2 基础设施;在凭证钓鱼攻击中,这一比例为2.3%。
这种攻击手段的优势在于极强的隐蔽性。由于流量指向
api.telegram.org,很容易混入正常网络行为中,绕过基础防火墙检测。攻击者通常通过三种方式滥用该 API:
- 直接脚本调用:在受害主机上的恶意脚本直接发起 HTTPS 请求。
- 凭证钓鱼:受害者在伪造登录页面提交信息后,立即将账号密码发送至机器人。
- 入侵提醒:受害者点击恶意链接的瞬间通知攻击者,实时监控攻击效果。
外泄的数据不只是文本,攻击者还频繁使用
sendDocument 方法上传最大50MB的文件,其中通常包含截图与存有被盗凭证的文本文件。为应对这种 “合法接口滥用”,安全团队需关注特定 API 特征。大部分恶意请求具有固定格式:
hxxps[://]api[.]telegram[.]org/bot<token>/METHOD_NAME需要重点监控的高频滥用方法包括:
-
sendMessage:用于外带文本数据与账号凭证 -
sendDocument:用于上传大容量窃取文件 -
getFile:用于攻击者从远程环境下载文件
如果企业业务不使用 Telegram 机器人,报告建议采取简单但有效的措施:直接屏蔽 Telegram Bot API 请求,对
api[.]telegram[.]org/bot 接口配置拦截规则。与往常一样,第一道防线仍是用户安全意识。只要用户不与可疑消息、内嵌链接或恶意文件交互,任何机器人都无法窃取数据。
发表评论
您还未登录,请先登录。
登录