文章总结： 本文分析了Handala组织入侵以色列官员Telegram账户事件，指出实际为账户劫持而非手机入侵。攻击手段涉及SIM卡交换、OTP窃取、钓鱼及窃取tdata文件等。文章揭示了Telegram云同步及默认设置的安全隐患，强调需启用多因素认证和加强会话管理以防范此类社会工程学与攻击。 综合评分： 84 文章分类： 数据泄露,威胁情报,社会工程学,安全大事件

Handala 黑客事件：以色列官员 Telegram 账户遭入侵

独眼情报

2026年1月3日 14:51 湖北

Handala 通过入侵 Telegram 账户（而非设备）来攻击以色列官员，攻击手段很可能是会话劫持和社会工程学。此次事件暴露了会话管理中的关键漏洞，需要采取更强有力的防御措施，例如多因素身份验证。

The Handala Hack: Telegram Breach of Israeli Officials

袭击：汉达拉袭击以色列官员（贝内特和布雷弗曼）

2025 年 12 月，与伊朗有关联的黑客组织 Handala 声称已完全入侵两位以色列知名政治人物的移动设备。然而，KELA 的分析显示，此次入侵仅限于 Telegram 账户，并未完全控制手机。

“章鱼行动”的首要目标是以色列前总理纳夫塔利·贝内特。汉达拉声称入侵了他的 iPhone 13 手机，泄露了联系人列表、照片、视频以及约 1900 条聊天记录。泄露的资料包括以色列高级官员、记者和企业高管的联系方式。贝内特最初否认遭到入侵，但后来承认 Telegram 遭到未经授权的访问，同时表示他的手机仍然安全。

不久之后，Handala 声称入侵了内塔尼亚胡的幕僚长扎奇·布雷弗曼的 iPhone。该组织声称掌握了加密通信、财务记录和腐败证据，并威胁要曝光与政治丑闻相关的材料。已公布的数据包括高级官员的联系人列表、公共活动的视频和非机密文件。总理办公室否认了此次入侵事件。

KELA 的技术分析显示，大多数“聊天记录”实际上是 Telegram 在同步过程中自动生成的空白联系人卡片。只有大约 40 个联系人卡片包含实际消息，而真正进行过实质性交流的则更少。所有联系人都关联到活跃的 Telegram 账户，这证实数据来源于 Telegram 本身，而非底层设备。

Some of the leaked data by Handala

Some of the leaked data by Handala

汉达拉泄露的部分数据

黑客简介：Handala 黑客组织是何方神圣？

该组织于 2023 年 12 月首次出现，以一位阿拉伯漫画人物命名，并在多个网络犯罪论坛上活跃。根据 KELA 的数据湖显示，在此期间，Handala 在包括 BreachForums、Ramp 和 Exploit 在内的平台上发布了约 140 条帖子。该组织还运营多个 Telegram 频道和 Twitter 账号，这些账号曾多次被关闭并以新名称重新开放。Handala 使用 Tox 进行安全通信，并利用各种网页篡改平台攻击网站，同时还运营着自己的网站发布泄露的数据。他们的行动主要针对以色列公司和组织，并且在整个行动过程中，该组织始终表现出对伊朗和巴勒斯坦事业的支持。

Handala post on cybercrime platform BreachForums

Handala 在网络犯罪平台 BreachForums 上发帖。

据观察，Handala 的大多数攻击活动都依赖于网络钓鱼，这些活动伪装成可信供应商，诱骗目标安装恶意软件或虚假更新。这些极具可信度的诱饵被用来部署擦除程序和信息窃取程序，这些程序能够入侵 Windows 和 Linux 系统。此外，该组织还利用 Telegram 作为 C2 通信渠道，将受害者数据直接泄露到他们控制的私有 Telegram 频道中。

根据 KELA 的开源情报研究，该组织曾使用多个电子邮件服务提供商，包括 ProtonMail 和 Outlook。尽管其网站多次被托管服务提供商下线，但 KELA 观察到其初始域名注册在“Roxie Collins”名下。该组织的网站运行在 WordPress 平台上，有时会暴露管理员登录页面，从而暴露出负责网站运营的主要用户账户“vie6c”。此外，该组织似乎难以维护其 Tor 洋葱服务，并被发现通过 aaPanel 平台寻求帮助。

Handala seeking assistance through the aaPanel platform

Handala 正在通过 aaPanel 平台寻求帮助

根据伊朗博主纳里曼·加里布（Nariman Gharib）的研究，Handala 似乎是伊朗网络生态系统中与情报部（MOIS）相关的多个分支机构之一。公开报道显示，Handala 与网络组织“被放逐的小猫”（Banished Kitten）以及“业力之下”（Karma Below）和“国土正义”（Homeland Justice）等相关组织有关联，这些组织被用于泄露数据并扩大心理影响。2025 年 8 月，伊朗国际电视台曝光了 Handala 部分成员的身份。

作案手法：Handala 如何入侵 Telegram 账户

以下汇编概述了威胁行为者目前用来入侵和劫持 Telegram 帐户的各种复杂策略和利用方法。

SIM 卡交换和 SS7 协议漏洞利用

通过 SIM 卡交换，攻击者无需接触受害者的手机即可控制其手机号码并接收 Telegram 登录验证码。此外，一些技术高超的攻击者还可以利用电信基础设施中的 SS7 协议漏洞，在网络层拦截短信，而无需进行 SIM 卡交换或与运营商合作。

多向量 OTP 收集和 Telegram 账户接管

攻击者可以结合多种 OTP 收集技术来接管 Telegram 帐户，而无需入侵设备本身，包括通过语音通话触发验证，并利用未更改的默认 PIN 码从语音邮件中提取一次性代码；冒充 Telegram 支持人员或受信任的联系人，通过社交工程手段诱使受害者或其员工在紧急情况或权威借口下泄露登录代码；以及运行伪装成安全或验证工具的 Telegram 机器人或第三方服务，直接捕获 OTP 并立即将其用于授权新会话。

利用虚假 Telegram 登录页面和二维码进行网络钓鱼

攻击者利用模仿 Telegram 官方登录界面的钓鱼页面来窃取手机号码和一次性验证码。此外，恶意二维码还可以通过钓鱼或虚假的“安全审计”呈现，扫描后即可在攻击者控制的设备上立即建立身份验证会话，而无需输入短信验证码。

MFA 的缺失或不足

Telegram 的云密码是可选的，默认情况下未启用。如果禁用，只需持有一次性密码 (OTP) 即可完全访问帐户。即使启用，密码仍可能通过网络钓鱼、键盘记录、社交工程或从泄露的数据库中重复使用密码而被泄露。

通过 Telegram 桌面版和 tdata 文件夹劫持会话

Telegram Desktop 将活动身份验证材料存储在 tdata 文件夹（Telegram Desktop 会话文件）中，复制该文件夹即可获得完整的帐户访问权限。如果从被入侵的笔记本电脑、共享工作站或云同步目录中获取该文件夹，攻击者可以在其他地方恢复会话，而无需触发一次性密码 (OTP) 或多因素身份验证 (MFA) 验证。

云端同步或备份的 Telegram 数据遭到泄露

如果 Telegram 数据或 tdata 目录包含在系统备份中，或通过云存储（例如 iCloud 或机构备份系统）同步，则未经授权访问这些备份即可导致帐户被盗用。这种攻击途径存在于 Telegram 的安全边界之外，不会在 Telegram 内部留下任何痕迹。

恶意软件、自定义客户端和设备入侵

针对特定目标的恶意软件可以捕获 Telegram 会话数据、记录键盘输入或窃取 tdata 文件夹。伪装成增强版的定制或受感染的 Telegram 客户端可以悄无声息地窃取一次性密码 (OTP)、会话令牌和消息。相关人员使用的受感染的辅助设备或工作站仍然是可能的攻击途径。

利用已知和未知的 Telegram 漏洞

Telegram 已修复了影响会话处理、本地数据泄露和媒体解析的历史 CVE 漏洞。例如，CVE-2024-7014 漏洞允许恶意软件伪装成合法的视频文件。虽然这些漏洞本身不足以实现静默接管，但如果与薄弱的运维安全措施相结合，则可以降低攻击者的操作难度。此外，Handala 可能掌握未公开的零日漏洞或定制的攻击手段，从而实现隐蔽访问。

Telegram 安全吗？

Telegram 的默认设置存在严重的安全漏洞。该平台允许通过永久账户 ID 进行追踪，即使用户名更改，这些 ID 仍然存在。开源情报 (OSINT) 机器人利用这些 ID 来关联不同群组的活动、链接消息、识别群组成员，有时甚至会泄露电话号码。结合 Telegram 的开放 API 和第三方存档功能，即使是注重隐私的用户也面临着广泛的用户画像分析风险。

过去的泄露事件凸显了这些担忧：2020 年，一个包含数百万用户电话号码和身份标识的 900MB 数据库出现在暗网上；另一起事件则通过一个不安全的数据库泄露了 4200 万伊朗 Telegram 用户的记录。此外，标准聊天并非端到端加密，而是以“云聊天”的形式存储在 Telegram 的服务器上。真正的加密需要手动发起“秘密聊天”，而秘密聊天只能在单个设备上使用，无法跨平台同步。

KELA 对事件的评估

根据泄露事件的取证证据，KELA 评估认为此次泄露仅限于 Telegram 账户访问，很可能采用了与 Handala 以往攻击活动中相同的作案手法。最可能的攻击途径包括利用社交工程或鱼叉式网络钓鱼窃取密码和一次性密码（OTP）、从受感染的工作站窃取 Telegram 桌面会话文件（tdata），或未经授权访问云备份。虽然 Handala 可能夸大了此次泄露的范围，但该事件凸显了会话管理和多因素身份验证（MFA）的必要性，即使是在“安全”的即时通讯应用中也是如此。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 《Handala 黑客事件：以色列官员 Telegram 账户遭入侵》