蜜罐捕获:攻击者从挖矿转向窃取Telegram会话数据,威胁升级
SANS ISC蜜罐捕获一起新型攻击:攻击者通过弱SSH入侵后,不仅部署挖矿程序,还专门窃取Telegram Desktop的tdata会话文件夹。本文深入分析攻击链、tdata窃取机制及防御建议,揭示凭证窃取已成为现代攻击的核心目标。
🔍 High 其他
安全研究人员通过蜜罐捕获了一次从SSH暴力破解开始的攻击事件。攻击者在尝试部署加密货币矿工后,立即转向窃取Telegram Desktop的tdata会话文件夹,意图实现长期账户劫持。这表明攻击者战术已从单纯的资源劫持演变为凭证窃取与身份持久化。
来源:SANS ISC | 2026-04-22 | 原文链接
🔍 关键发现
- 攻击者利用弱SSH凭证获得初始访问权限,随后执行系统枚举和竞争矿工检测。
- 攻击者明确搜索Telegram Desktop的tdata目录,并检查调制解调器和短信日志,试图绕过双因素认证。
- tdata文件夹包含自包含的会话令牌,复制到其他设备即可直接登录,无需密码或2FA,成为高价值凭证窃取目标。
⚔️ 攻击链分析
初始访问(SSH暴力破解)→ 侦察(系统枚举、竞争矿工检测)→ 凭证窃取(定位并提取Telegram tdata文件夹)→ 账户劫持与利用(可能通过压缩上传或直接导入实现持久化访问)
🚩 失陷指标 (IOC)
~/.local/share/TelegramDesktop/tdataD877F783D5D3EF8Cs(tdata文件夹定位命令中的标识符)
🛡️ 缓解建议
- ✅ 禁用或限制SSH密码登录,强制使用密钥认证并启用双因素认证。
- ✅ 对Telegram Desktop的tdata文件夹设置严格的文件系统权限,并监控对其的异常访问。
- ✅ 定期清理不使用的Telegram会话,并在非信任设备上启用额外的设备锁或加密。
涉及漏洞:[]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 为什么攻击者要检查调制解调器和短信日志?
攻击者试图利用短信验证码通道绕过Telegram的双因素认证,以便在会话令牌失效后仍能重置密码或接管账户。
❓ tdata文件夹被窃取后如何防御?
立即强制所有Telegram会话登出,启用新的双因素认证,并检查是否有可疑设备登录。同时监控tdata文件夹的异常压缩或外传行为。
❓ 这个攻击链与常见挖矿攻击有何不同?
传统挖矿攻击仅劫持计算资源,而此攻击链在挖矿探测后立即转向窃取持久化凭证,表明攻击者更注重长期身份控制而非短期算力收益。