据观察,俄罗斯政府黑客利用该应用的设备链接功能入侵了专注于隐私的消息应用程序Signal消息服务上的账户。几个归属于俄罗斯政府的组织,包括一个积极攻击乌克兰军事人员的组织,正在使用一种简单的网络钓鱼技术,将恶意二维码伪装成合法的Signal资源,以未经授权访问受害者的Signal帐户。
谷歌威胁情报小组(GTIG)在一份报告中表示:“俄罗斯试图入侵Signal账户的最新颖、最广泛使用的技术是滥用该应用程序合法的‘链接设备’功能,该功能允许Signal同时在多台设备上使用。”
在该科技巨头的威胁情报团队发现的攻击中,威胁行为者(包括其追踪的UNC5792)都使用了恶意二维码,扫描后,受害者的帐户会链接到行为者控制的Signal实例。
因此,未来的消息将实时同步传递给受害者和威胁者,从而为威胁者提供了一种持续窃听受害者对话的方法。谷歌表示,UNC5792与一个名为UAC-0195的黑客组织有部分重叠。
据悉,这些二维码会伪装成来自Signal网站的群组邀请、安全警报或合法设备配对指令。此外,研究人员还发现,这些恶意的设备链接二维码嵌入到钓鱼网页中,这些网页声称是乌克兰军方使用的专用应用程序。
谷歌表示:“UNC5792在参与者控制的基础设施上托管了修改后的Signal群组邀请,旨在使其看起来与合法的Signal群组邀请完全相同。”
与Signal攻击相关的另一个威胁行为者是UNC4221(又名UAC-0185),它通过定制的网络钓鱼工具包挑选出乌克兰军事人员使用的Signal账户,该工具包旨在模仿乌克兰武装部队用于炮兵制导的Kropyva应用程序的某些方面。
还使用了一种名为PINPOINT的轻量级JavaScript负载,它可以通过网络钓鱼页面收集基本用户信息和地理位置数据。
除UNC5792和UNC4221之外,其他一些将目光瞄准Signal的敌对组织还包括Sandworm(又名APT44),它使用了名为WAVESIGN的Windows批处理脚本;Turla,它运行了一个轻量级PowerShell脚本;而UNC1151,它使用Robocopy实用程序从受感染的桌面窃取Signal消息。
Signal已发布Android和iOS版更新,强化了功能,以保护用户免受此类网络钓鱼攻击。建议用户更新至最新版本以启用这些功能。
谷歌披露这一消息的一个多月前,微软威胁情报团队将俄罗斯威胁行为者StarBlizzard归咎于一场鱼叉式网络钓鱼活动,该活动利用类似的设备链接功能劫持WhatsApp账户。
上周,微软和Volexity还透露,多名俄罗斯威胁行为者正在利用一种名为设备代码网络钓鱼的技术,通过WhatsApp、Signal和MicrosoftTeams等消息应用程序攻击受害者,从而登录受害者的账户。
谷歌表示:“近几个月来,多个威胁行为者对Signal的行动重点关注,这对安全消息应用程序的威胁日益加剧,这种威胁肯定会在短期内加剧。”
“正如对Signal账户的广泛攻击所反映的那样,这种对安全消息应用程序的威胁不仅限于网络钓鱼和恶意软件传送等远程网络操作,而且还严重包括近距离访问操作,即威胁行为者可以短暂访问目标的未锁定设备。”
此次披露还发现了一项新的搜索引擎优化(SEO)投毒活动,该活动使用冒充Signal、LINE、Gmail和Google Translate等流行应用程序的虚假下载页面来投放针对中文用户的后门可执行文件。
Hunt.io表示:“通过虚假下载页面提供的可执行文件遵循一致的执行模式,包括临时文件提取、进程注入、安全修改和网络通信”,并补充说这些样本表现出与称为MicroClip的恶意软件相关的信息窃取程序类功能。