【臺灣資安大會直擊】研究人員揭露Telegram冒牌安裝程式的7種攻擊手法，鎖定中文用戶下手

號稱提供高度隱私的即時通訊軟體Telegram，最近這1到2年來相關的攻擊事件不斷發生，不只有勒索軟體駭客要求受害者使用這款通訊軟體來溝通贖金相關事宜，也有人藉著Telegram機器人提供產生釣魚網站的服務牟利。其中，近期較為頻繁出現的手法，莫過於以提供假的Telegram安裝程式，來散布竊密軟體的攻擊手段。

而這種假Telegram安裝程式的攻擊行動，詮睿科技資安顧問陳正宏（Theo Chen）在臺灣資安大會上，揭露名為GoldenEyeDog（金眼狗）的駭客組織發動的攻擊，該組織約自2020年9月開始，以宣稱提供中文升級版Telegram的名義並購買Google廣告，誘騙使用中文的用戶下載帶有木馬程式的Windows版Telegram軟體，一旦使用者試圖安裝，便會觸發相關攻擊。

為何「中文版」的Telegram攻擊手法相當值得注意？陳正宏指出，臺灣許多公司行號、組織原本偏好使用的即時通訊軟體是Line，但在Line的新官方帳號2.0制度於2020年上半出爐之後，造成了逃離潮，不少公司行號與組織開始尋求其他的解決方案而看上了Telegram。然而，時至今日Telegram並未直接推出中文版本，對於剛接觸這套軟體的使用者，便很有可能因為在Google搜尋看到駭客的廣告，宣稱提供了Telegram中文版本而受騙上當。陳正宏表示，這樣的攻擊行動目前仍然在持續進行，除非使用者的瀏覽器安裝了擋廣告軟體，不然無論是使用Google搜尋，或者是一般網站上的Google廣告，還是很有可能看到這種「中文版」的Telegram廣告。

左圖是宣稱提供「Telegram中文版」的冒牌網站，對比右邊近期略為改版的官方網站，我們可以看到Android、iOS版本的圖案幾乎相同，文字被翻譯成簡體中文，更新公告亦配置於右上方。而冒牌網站的Windows版本與兩種行動裝置並列，其實是較早之前官方網站採用的配置。

在GoldenEyeDog發動攻擊的過程中，陳正宏指出該組織至少發展出7種攻擊手法，其共通點就是使用上述的Google廣告，且安裝過程仍然會安裝合法的Telegram軟體，讓使用者比較不會察覺攻擊者已在背景植入惡意程式。而這些攻擊手法的不同之處，則是駭客在每個版本開始納入不同的反偵測機制，像是可迴避虛擬機器（VM環境）而不觸發的能力、嵌入幾可亂真的合法簽章，以及繞過使用者帳戶控制（UAC）的功能等。

陳正宏指出在他們發現的第1個冒牌安裝程式中，會藉由寫入登錄檔的方式執行惡意URL，進而觸發AddInProcess.exe，並載入木馬程式且開始與C2中繼站通訊。

在第2個冒牌Telegram安裝程式中，則是透過登錄檔載入惡意程式的酬載（Payload），並以加入服務機碼的方式，來維持在受害電腦運作。

相較於前2個版本的冒牌安裝程式，第3個版本的攻擊手法出現明顯不同的策略，攻擊工具Ns.reg和AddInProcess.exe則是在冒牌安裝程式執行之後，才從外部下載到受害電腦執行。此外，陳正宏特別指出這個版本的安裝程式，會偵測電腦是否為虛擬機器（VM），一旦發現是虛擬環境，就會出現無法安裝的訊息。

第4個版本與前一個被發現的版本有些類似，就是作案工具都是在冒牌安裝程式執行後才下載到受害電腦，但不同的是所有工具都被放入cn.rar壓縮檔內，並由winzip.exe（實際上是特定版本的WinRAR主程式）解開後來發動攻擊。其中透過DLL側載執行的gamecap.exe是正常的軟體，且具備合法簽章，而攻擊者同時使用了QLMainModule.dll下載了惡意酬載，進而達到植入木馬程式與向C2通訊的目的。

在第5個冒牌惡意程式裡，攻擊者採用壓縮檔同時包裝了惡意程式和合法的Telegram安裝程式，但執行攻擊的方式先是使用命令提示字元執行PowerShell，再執行實際的Telegram合法程式安裝，以及藉由gamecap.exe下載惡意酬載等工作。其PowerShell程式碼濫用了COM和DCOM物件。

在第6個版本的冒牌Telegram安裝程式中，攻擊者同樣將作案所需工具放入名為tree.exe的壓縮檔案裡，並透過合法的安裝程式來執行go.exe與gamecap.exe，從而下載惡意程式的酬載。再者，陳正宏也提及此版本具備繞過使用者帳戶控制（UAC）的能力，同時也擁有防範研究人員利用虛擬機器檢查的機制，其做法是檢查中央處理器的溫度，可說是相當少見。

最新發現的第7個冒牌Telegram安裝程式中，不再像前述多個版本將所有工具包裝在單一壓縮檔案，而是在執行後就釋出合法安裝程式、dllt.dll，以及TGlaunch.exe。其中的TGlaunch.exe其實是由金山軟體推出的雲端硬體更新工具，攻擊者藉由這個可執行檔來執行dllt.dll，然後再從登錄檔載入並解出惡意酬載，進而植入木馬。而本次利用完全合法的工具來執行DLL檔案的策略，也讓攻擊行動更難被察覺。