谷歌表示,这类攻击表明,攻击者对高价值目标用于通信的安全消息传递应用程序的兴趣日益浓厚。
多个与俄罗斯结盟的威胁组织正在积极针对 Signal Messenger 应用程序,这些个人可能会交换与该国与乌克兰战争相关的敏感军事和政府通信。
据谷歌威胁情报小组 (GTIG) 的研究人员称,目前,这种活动似乎仅限于俄罗斯情报部门感兴趣的人,他们最近发现了它。但 GTIG 在本周的一篇博文中警告说,威胁行为者在活动中使用的策略很可能成为其他组织效仿对 Signal、WhatsApp、Telegram 和其他流行消息传递应用程序进行更广泛攻击的蓝图 。
可能会变得更加普遍
“我们预计用于针对 Signal 的策略和方法将在短期内越来越普遍,并扩散到乌克兰战区以外的其他威胁行为者和地区,”谷歌威胁分析师丹·布莱克 (Dan Black) 在帖子中写道。
谷歌观察到的两个针对 Signal 的俄罗斯网络间谍组织是 UNC5792(乌克兰 CERT 跟踪为 UAC-0195 的威胁行为者)和 UNC4221(又名 UAC-0185)。在这两种情况下,攻击者的目标都是诱骗目标受害者在不知不觉中将其 Signal 帐户链接到攻击者控制的设备,以便任何传入的消息都可以在链接的设备上同时访问。
这些攻击利用了 Signal 应用程序的一项功能“已链接设备”,该功能允许用户在多个设备上安全地连接和同步他们的帐户。但是,每个威胁组织用来让目标在不知不觉中链接其帐户的策略略有不同。
UNC5782 的伎俩是通过与目标个人分享恶意二维码来发送邀请,要求他们加入 Signal 群组。虽然邀请看起来与 Signal 的群组邀请相同,但威胁行为者已经对其进行了修改,以便任何通过社会工程扫描二维码的人最终都会将其帐户链接到 UNC592 控制的设备。
另一个威胁组织 UNC4221 正在使用一个定制的网络钓鱼工具包,该工具包冒充乌克兰军方用于炮兵制导的应用程序 Kropyava 的一部分,试图对感兴趣的 Signal Messenger 用户进行社会工程。威胁行为者建立了以 Kropyva 为主题的网络钓鱼网站,其中直接嵌入了二维码。它还建立了网络钓鱼网站,假装包含合法的设备链接 Signal 说明,以鼓励诈骗受害者扫描他们的恶意二维码。
广泛的威胁行为者利益
谷歌将 UNC4221 和 UNC5782 确定为几个俄罗斯和白俄罗斯组织中的两个,这些组织以 Signal Messenger 为目标,以监视相关人员。并非所有 UNC4221 和 UNC578 的攻击都涉及设备链接。俄罗斯臭名昭著的 Sandworm 网络破坏组织(Google 将其跟踪为 APT44)一直在使用恶意软件工具的组合从目标的 Signal 数据库或本地存储文件中窃取 Signal 消息。同样,美国政府与俄罗斯联邦安全局 (FSB) 有联系的威胁行为者 Turla 也在使用轻量级 PowerShell 脚本执行相同的作,该脚本在获得目标环境的访问权限后部署。据谷歌称,该地区另一个针对 Signal Messenger 的威胁行为者是与白俄罗斯相关的 UNC1151,它使用 Robocopy Windows 文件复制工具复制和存储 Signal 消息和附件以备将来盗窃。
针对 Signal 的一系列活动表明,攻击者对间谍和情报收集者(包括政治家、军事人员、活动家、隐私倡导者和记者)使用的安全消息传递应用程序产生了更广泛的兴趣。这些应用程序的安全功能,包括文本、语音和视频的端到端加密,以及最少的数据收集实践,使其成为高危个人和社区的热门工具。谷歌的布莱克写道,它还使该应用程序成为“寻求拦截敏感信息的对手的高价值目标,这些信息可以满足一系列不同的情报要求”。
Signal 并不是唯一的目标。布莱克说,俄罗斯团体也以同样的方式针对 Telegram 和 WhatsApp 用户。他指出了最近一份 关于俄罗斯集团 Star Blizzard(又名 Coldriver、Blue Charlie、Callisto 和 UNC4057)攻击的 Microsoft 报告,这些攻击针对属于现任和前任政府官员和外交官的 WhatsApp 账户。
值得注意的是,针对 WhatsApp 的攻击也会影响企业。尽管 WhatsApp(如 Signal、Telegram 和其他信使应用程序)主要以消费者为中心,但全球许多企业都在使用该应用程序。WhatsApp 甚至有一个商业版本,它将其定位为企业可以用来与客户互动、加速销售和提供客户支持的工具。
信息来源:https://www.darkreading.com/mobile-security/russian-groups-target-signal-messenger-in-spy-campaign
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件