近日，谷歌威脅情報小組（Google Threat Intelligence Group, GTIG）發(fā)布報告稱，多個與俄羅斯相關(guān)的威脅組織正針對Signal通訊應(yīng)用發(fā)起攻擊，目標(biāo)是俄羅斯情報機構(gòu)感興趣的個人用戶。專家預(yù)測，這種針對Signal的攻擊手法將在近期廣泛傳播，并可能擴展到烏克蘭以外的地區(qū)。

Signal“關(guān)聯(lián)設(shè)備”功能被濫用

俄羅斯黑客利用了Signal的“關(guān)聯(lián)設(shè)備”功能，通過精心制作的二維碼將受害者的賬戶與攻擊者控制的設(shè)備關(guān)聯(lián)，從而進行間諜活動。

GTIG在報告中提到：“俄羅斯黑客最常用且新穎的攻擊手段是濫用Signal的合法‘關(guān)聯(lián)設(shè)備’功能，該功能允許用戶在多個設(shè)備上同時使用Signal。由于關(guān)聯(lián)新設(shè)備通常需要掃描二維碼，攻擊者制作了惡意二維碼，一旦受害者掃描，其賬戶便會與攻擊者控制的Signal實例關(guān)聯(lián)。如果成功，未來的消息將實時同步發(fā)送給受害者和攻擊者，從而為竊聽安全對話提供了一種持久的手段，而無需完全控制設(shè)備。”

惡意二維碼偽裝成Signal資源

在一些釣魚攻擊中，攻擊者將惡意二維碼偽裝成合法的Signal資源，例如群組邀請、安全警報，或來自Signal網(wǎng)站的合法設(shè)備配對說明。在某些針對性攻擊中，攻擊者將二維碼嵌入精心設(shè)計的釣魚頁面，偽裝成烏克蘭軍隊使用的專用應(yīng)用程序。

APT組織具體手法曝光

其中，APT44（Sandworm）組織利用戰(zhàn)場設(shè)備將捕獲的Signal賬戶鏈接到其服務(wù)器，以便進一步利用。另一個名為UNC5792的網(wǎng)絡(luò)間諜組織（部分與CERT-UA追蹤的UAC-0195組織重疊）被發(fā)現(xiàn)修改Signal群組邀請，誘騙收件人將其賬戶與攻擊者控制的設(shè)備關(guān)聯(lián)。UNC5792將虛假Signal邀請中的JavaScript替換為惡意URI，誘導(dǎo)受害者關(guān)聯(lián)設(shè)備。

此外，代號為UNC4221的俄羅斯APT組織使用一款模仿Kropyva炮兵制導(dǎo)應(yīng)用的釣魚工具包，針對烏克蘭軍方的Signal賬戶發(fā)起攻擊。報告指出：“與UNC5792使用的社會工程手法類似，UNC4221也將其設(shè)備關(guān)聯(lián)功能偽裝成來自可信聯(lián)系人的Signal群組邀請。”該組織還利用PINPOINT JavaScript載荷，通過瀏覽器API收集用戶數(shù)據(jù)和地理位置。

威脅范圍擴大至其他通訊平臺

研究人員還披露，俄羅斯和白俄羅斯相關(guān)的威脅組織能夠通過腳本、惡意軟件和命令行工具，從Android和Windows設(shè)備中竊取Signal數(shù)據(jù)庫文件。報告總結(jié)道：“正如廣泛針對Signal賬戶的攻擊所反映的那樣，這種對安全通訊應(yīng)用的威脅不僅限于遠程網(wǎng)絡(luò)操作（如釣魚和惡意軟件分發(fā)），還包括近距離訪問操作，即攻擊者可短暫訪問目標(biāo)未鎖定的設(shè)備。同樣重要的是，這種威脅不僅限于Signal，還擴展到其他廣泛使用的通訊平臺，包括WhatsApp和Telegram。這些平臺在近幾個月也成為多個俄羅斯相關(guān)組織的攻擊目標(biāo)。”