与俄罗斯有关的威胁行为者利用 Signal 的链接设备功能劫持账户

Google 威胁情报小组 (GTIG) 的研究人员警告称，多个与俄罗斯有关的威胁行为者正在针对俄罗斯情报部门感兴趣的个人使用的 Signal Messenger 账户。专家推测，针对 Signal 的策略、技术和程序将在短期内盛行，它们也将在乌克兰以外的地区使用。

俄罗斯黑客利用 Signal 的“链接设备”功能，他们使用特制的二维码将受害者的账户链接到攻击者控制的设备，然后对其进行监视。

“俄罗斯企图入侵 Signal 账户所采用的最新颖和最广泛使用的技术是滥用该应用程序的合法“链接设备”功能，该功能允许 Signal 同时在多个设备上使用。由于链接其他设备通常需要扫描快速响应 (QR) 码，因此威胁行为者已诉诸制作恶意 QR 码，扫描后会将受害者的帐户链接到行为者控制的 Signal 实例。” GTIG 发布的报告写道。“如果成功，未来的消息将实时同步传递给受害者和威胁行为者，从而提供一种持久的方法来窃听受害者的安全对话，而无需对整个设备进行入侵。”

俄罗斯黑客使用伪装成 Signal 资源的恶意二维码劫持账户，攻击军事应用程序，甚至将捕获的设备链接到他们的服务器。

在一些网络钓鱼攻击中，攻击者经常将恶意二维码伪装成合法的 Signal 资源，例如群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。

在一些鱼叉式网络钓鱼攻击中，攻击者将二维码嵌入钓鱼页面，这些钓鱼页面被设计成看起来像是乌克兰军方使用的专用应用程序。

APT44（Sandworm）使俄罗斯军队能够将捕获的 Signal 账户链接到他们的服务器，并使用战场设备进行进一步的利用。

据称与俄罗斯有关的网络间谍组织 UNC5792（与 CERT-UA 追踪的威胁行为者 UAC-0195部分重叠）被发现在网络钓鱼活动中修改 Signal 组邀请，以诱骗收件人将他们的帐户链接到攻击者控制的设备。

UNC5792 用恶意 URI 替换虚假 Signal 邀请中的 JavaScript，诱骗受害者将其帐户链接到攻击者控制的设备。

另一个与俄罗斯有关的 APT 组织被追踪为 UNC4221，使用模仿 Kropyva 火炮制导应用程序的网络钓鱼工具包攻击乌克兰军事账户。

“与 UNC5792 使用的社会工程方法类似，UNC4221 也试图将其设备链接功能伪装成来自受信任联系人的 Signal 群组邀请。”报告继续说道。“已经观察到这种网络钓鱼工具包的不同变体，包括：

• 在 2022 年的早期行动中，UNC4221 网络钓鱼页面被精心设计，看起来像是来自 Signal 的合法安全警报”

• 钓鱼网站将受害者重定向到伪装成 Signal 提供的合法设备链接指令的二级钓鱼基础设施

• 将恶意设备链接二维码直接嵌入到以 Kropyva 为主题的主要钓鱼工具包中的钓鱼网站”

UNC4221 使用 PINPOINT JavaScript 负载通过浏览器的 API 收集用户数据和地理位置。

研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具从 Android 和 Windows 设备窃取 Signal 数据库文件，从而进行数据泄露。

“正如对 Signal 账户的广泛攻击所反映的那样，对安全消息应用程序的威胁不仅限于网络钓鱼和恶意软件传播等远程网络操作，而且还包括近距离访问操作，威胁行为者可以短暂访问目标的未锁定设备。”报告总结道。“同样重要的是，这种威胁不仅限于 Signal，还扩展到其他广泛使用的消息平台，包括 WhatsApp 和 Telegram，这些平台同样是近几个月来上述几个与俄罗斯结盟的团体的目标重点。”

来源:https://securityaffairs.com/174397/cyber-warfare-2/russia-linked-threat-actors-exploit-signals-linked-devices-feature.html