近日,谷歌威胁情报小组(Google Threat Intelligence Group, GTIG)发布报告称,多个与俄罗斯相关的威胁组织正针对Signal通讯应用发起攻击,目标是俄罗斯情报机构感兴趣的个人用户。专家预测,这种针对Signal的攻击手法将在近期广泛传播,并可能扩展到乌克兰以外的地区。
Signal“关联设备”功能被滥用
俄罗斯黑客利用了Signal的“关联设备”功能,通过精心制作的二维码将受害者的账户与攻击者控制的设备关联,从而进行间谍活动。
GTIG在报告中提到:“俄罗斯黑客最常用且新颖的攻击手段是滥用Signal的合法‘关联设备’功能,该功能允许用户在多个设备上同时使用Signal。由于关联新设备通常需要扫描二维码,攻击者制作了恶意二维码,一旦受害者扫描,其账户便会与攻击者控制的Signal实例关联。如果成功,未来的消息将实时同步发送给受害者和攻击者,从而为窃听安全对话提供了一种持久的手段,而无需完全控制设备。”
恶意二维码伪装成Signal资源
在一些钓鱼攻击中,攻击者将恶意二维码伪装成合法的Signal资源,例如群组邀请、安全警报,或来自Signal网站的合法设备配对说明。在某些针对性攻击中,攻击者将二维码嵌入精心设计的钓鱼页面,伪装成乌克兰军队使用的专用应用程序。
APT组织具体手法曝光
其中,APT44(Sandworm)组织利用战场设备将捕获的Signal账户链接到其服务器,以便进一步利用。另一个名为UNC5792的网络间谍组织(部分与CERT-UA追踪的UAC-0195组织重叠)被发现修改Signal群组邀请,诱骗收件人将其账户与攻击者控制的设备关联。UNC5792将虚假Signal邀请中的JavaScript替换为恶意URI,诱导受害者关联设备。
此外,代号为UNC4221的俄罗斯APT组织使用一款模仿Kropyva炮兵制导应用的钓鱼工具包,针对乌克兰军方的Signal账户发起攻击。报告指出:“与UNC5792使用的社会工程手法类似,UNC4221也将其设备关联功能伪装成来自可信联系人的Signal群组邀请。”该组织还利用PINPOINT JavaScript载荷,通过浏览器API收集用户数据和地理位置。
威胁范围扩大至其他通讯平台
研究人员还披露,俄罗斯和白俄罗斯相关的威胁组织能够通过脚本、恶意软件和命令行工具,从Android和Windows设备中窃取Signal数据库文件。报告总结道:“正如广泛针对Signal账户的攻击所反映的那样,这种对安全通讯应用的威胁不仅限于远程网络操作(如钓鱼和恶意软件分发),还包括近距离访问操作,即攻击者可短暂访问目标未锁定的设备。同样重要的是,这种威胁不仅限于Signal,还扩展到其他广泛使用的通讯平台,包括WhatsApp和Telegram。这些平台在近几个月也成为多个俄罗斯相关组织的攻击目标。”
