俄罗斯APT组织利用恶意二维码劫持Signal账户

近日，谷歌威胁情报小组（Google Threat Intelligence Group, GTIG）发布报告称，多个与俄罗斯相关的威胁组织正针对Signal通讯应用发起攻击，目标是俄罗斯情报机构感兴趣的个人用户。专家预测，这种针对Signal的攻击手法将在近期广泛传播，并可能扩展到乌克兰以外的地区。

俄罗斯黑客利用了Signal的“关联设备”功能，通过精心制作的二维码将受害者的账户与攻击者控制的设备关联，从而进行间谍活动。

GTIG在报告中提到：“俄罗斯黑客最常用且新颖的攻击手段是滥用Signal的合法‘关联设备’功能，该功能允许用户在多个设备上同时使用Signal。由于关联新设备通常需要扫描二维码，攻击者制作了恶意二维码，一旦受害者扫描，其账户便会与攻击者控制的Signal实例关联。如果成功，未来的消息将实时同步发送给受害者和攻击者，从而为窃听安全对话提供了一种持久的手段，而无需完全控制设备。”

在一些钓鱼攻击中，攻击者将恶意二维码伪装成合法的Signal资源，例如群组邀请、安全警报，或来自Signal网站的合法设备配对说明。在某些针对性攻击中，攻击者将二维码嵌入精心设计的钓鱼页面，伪装成乌克兰军队使用的专用应用程序。

其中，APT44（Sandworm）组织利用战场设备将捕获的Signal账户链接到其服务器，以便进一步利用。另一个名为UNC5792的网络间谍组织（部分与CERT-UA追踪的UAC-0195组织重叠）被发现修改Signal群组邀请，诱骗收件人将其账户与攻击者控制的设备关联。UNC5792将虚假Signal邀请中的JavaScript替换为恶意URI，诱导受害者关联设备。

此外，代号为UNC4221的俄罗斯APT组织使用一款模仿Kropyva炮兵制导应用的钓鱼工具包，针对乌克兰军方的Signal账户发起攻击。报告指出：“与UNC5792使用的社会工程手法类似，UNC4221也将其设备关联功能伪装成来自可信联系人的Signal群组邀请。”该组织还利用PINPOINT JavaScript载荷，通过浏览器API收集用户数据和地理位置。

研究人员还披露，俄罗斯和白俄罗斯相关的威胁组织能够通过脚本、恶意软件和命令行工具，从Android和Windows设备中窃取Signal数据库文件。报告总结道：“正如广泛针对Signal账户的攻击所反映的那样，这种对安全通讯应用的威胁不仅限于远程网络操作（如钓鱼和恶意软件分发），还包括近距离访问操作，即攻击者可短暂访问目标未锁定的设备。同样重要的是，这种威胁不仅限于Signal，还扩展到其他广泛使用的通讯平台，包括WhatsApp和Telegram。这些平台在近几个月也成为多个俄罗斯相关组织的攻击目标。”