近日，谷歌威脅情報(bào)小組（Google Threat Intelligence Group, GTIG）發(fā)布報(bào)告稱，多個(gè)與俄羅斯相關(guān)的威脅組織正針對(duì)Signal通訊應(yīng)用發(fā)起攻擊，目標(biāo)是俄羅斯情報(bào)機(jī)構(gòu)感興趣的個(gè)人用戶。專家預(yù)測，這種針對(duì)Signal的攻擊手法將在近期廣泛傳播，并可能擴(kuò)展到烏克蘭以外的地區(qū)。

Signal“關(guān)聯(lián)設(shè)備”功能被濫用

俄羅斯黑客利用了Signal的“關(guān)聯(lián)設(shè)備”功能，通過精心制作的二維碼將受害者的賬戶與攻擊者控制的設(shè)備關(guān)聯(lián)，從而進(jìn)行間諜活動(dòng)。

GTIG在報(bào)告中提到：“俄羅斯黑客最常用且新穎的攻擊手段是濫用Signal的合法‘關(guān)聯(lián)設(shè)備’功能，該功能允許用戶在多個(gè)設(shè)備上同時(shí)使用Signal。由于關(guān)聯(lián)新設(shè)備通常需要掃描二維碼，攻擊者制作了惡意二維碼，一旦受害者掃描，其賬戶便會(huì)與攻擊者控制的Signal實(shí)例關(guān)聯(lián)。如果成功，未來的消息將實(shí)時(shí)同步發(fā)送給受害者和攻擊者，從而為竊聽安全對(duì)話提供了一種持久的手段，而無需完全控制設(shè)備?！?/p>

惡意二維碼偽裝成Signal資源

在一些釣魚攻擊中，攻擊者將惡意二維碼偽裝成合法的Signal資源，例如群組邀請(qǐng)、安全警報(bào)，或來自Signal網(wǎng)站的合法設(shè)備配對(duì)說明。在某些針對(duì)性攻擊中，攻擊者將二維碼嵌入精心設(shè)計(jì)的釣魚頁面，偽裝成烏克蘭軍隊(duì)使用的專用應(yīng)用程序。

APT組織具體手法曝光

其中，APT44（Sandworm）組織利用戰(zhàn)場設(shè)備將捕獲的Signal賬戶鏈接到其服務(wù)器，以便進(jìn)一步利用。另一個(gè)名為UNC5792的網(wǎng)絡(luò)間諜組織（部分與CERT-UA追蹤的UAC-0195組織重疊）被發(fā)現(xiàn)修改Signal群組邀請(qǐng)，誘騙收件人將其賬戶與攻擊者控制的設(shè)備關(guān)聯(lián)。UNC5792將虛假Signal邀請(qǐng)中的JavaScript替換為惡意URI，誘導(dǎo)受害者關(guān)聯(lián)設(shè)備。

此外，代號(hào)為UNC4221的俄羅斯APT組織使用一款模仿Kropyva炮兵制導(dǎo)應(yīng)用的釣魚工具包，針對(duì)烏克蘭軍方的Signal賬戶發(fā)起攻擊。報(bào)告指出：“與UNC5792使用的社會(huì)工程手法類似，UNC4221也將其設(shè)備關(guān)聯(lián)功能偽裝成來自可信聯(lián)系人的Signal群組邀請(qǐng)。”該組織還利用PINPOINT JavaScript載荷，通過瀏覽器API收集用戶數(shù)據(jù)和地理位置。

威脅范圍擴(kuò)大至其他通訊平臺(tái)

研究人員還披露，俄羅斯和白俄羅斯相關(guān)的威脅組織能夠通過腳本、惡意軟件和命令行工具，從Android和Windows設(shè)備中竊取Signal數(shù)據(jù)庫文件。報(bào)告總結(jié)道：“正如廣泛針對(duì)Signal賬戶的攻擊所反映的那樣，這種對(duì)安全通訊應(yīng)用的威脅不僅限于遠(yuǎn)程網(wǎng)絡(luò)操作（如釣魚和惡意軟件分發(fā)），還包括近距離訪問操作，即攻擊者可短暫訪問目標(biāo)未鎖定的設(shè)備。同樣重要的是，這種威脅不僅限于Signal，還擴(kuò)展到其他廣泛使用的通訊平臺(tái)，包括WhatsApp和Telegram。這些平臺(tái)在近幾個(gè)月也成為多個(gè)俄羅斯相關(guān)組織的攻擊目標(biāo)?！?/p>