HackerNews 编译,转载请注明出处:
多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal,针对感兴趣的目标个体,以获得对其账户的未经授权访问。
“俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能,该功能允许多个设备同时使用 Signal,”谷歌威胁情报小组(GTIG)在一份报告中表示。
在这家科技巨头的威胁情报团队发现的攻击中,包括被追踪为 UNC5792 的威胁行为者,他们使用恶意二维码,一旦扫描,就会将受害者的账户链接到行为者控制的 Signal 实例。
因此,未来的消息会同步实时地传递给受害者和威胁行为者,从而让威胁行为者能够持续窃听受害者的对话。谷歌表示,UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。
这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者,恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。
“UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请,设计得与合法的 Signal 群组邀请完全相同,”谷歌表示。
另一个与针对 Signal 的行为者有关的是 UNC4221(也称为 UAC-0185),它通过一个定制的网络钓鱼工具包,模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面,来针对乌克兰军事人员的 Signal 账户。
还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷,可以通过网络钓鱼页面收集基本用户信息和地理位置数据。
除了 UNC5792 和 UNC4221 之外,其他一些将目标对准 Signal 的敌对组织包括 Sandworm(也称为 APT44),它使用了一个名为 WAVESIGN 的 Windows 批处理脚本;Turla,它运行一个轻量级的 PowerShell 脚本;以及 UNC1151,它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。
谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能,以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。
上周,微软和 Volexity 还透露,多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术,通过即时通讯应用(如 WhatsApp、Signal 和 Microsoft Teams)来登录受害者的账户。
“最近几个月,多个威胁行为者对 Signal 的操作重点,为安全即时通讯应用面临的日益增长的威胁发出了重要警告,这种威胁肯定会加剧,”谷歌表示。
“正如在广泛的 effort 中所反映的那样,这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作,还包括关键的 close-access 操作,其中威胁行为者可以短暂访问目标的未锁设备。”
这一披露还紧随发现一种新的搜索引擎优化(SEO)投毒活动,该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面,向说中文的用户传递后门可执行文件。
“通过假下载页面传递的可执行文件遵循一致的执行模式,涉及临时文件提取、进程注入、安全修改和网络通信,”Hunt.io 表示,并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
