俄罗斯 APT 组织利用恶意二维码劫持 Signal 账户

近日，俄罗恶意谷歌威胁情报小组（Google Threat Intelligence Group,组织账户 GTIG）发布报告称，多个与俄罗斯相关的利用威胁组织正针对Signal通讯应用发起攻击 ，目标是维码俄罗斯情报机构感兴趣的个人用户。专家预测，劫持这种针对Signal的俄罗恶意攻击手法将在近期广泛传播，并可能扩展到乌克兰以外的组织账户地区 。

Signal“关联设备”功能被滥用

俄罗斯黑客利用了Signal的利用“关联设备”功能
 ，通过精心制作的维码二维码将受害者的模板下载账户与攻击者控制的设备关联，从而进行间谍活动。劫持

GTIG在报告中提到：“俄罗斯黑客最常用且新颖的俄罗恶意攻击手段是滥用Signal的合法‘关联设备’功能 ，该功能允许用户在多个设备上同时使用Signal。组织账户由于关联新设备通常需要扫描二维码，利用攻击者制作了恶意二维码 ，维码一旦受害者扫描
，劫持其账户便会与攻击者控制的Signal实例关联。如果成功
，未来的建站模板消息将实时同步发送给受害者和攻击者，从而为窃听安全对话提供了一种持久的手段，而无需完全控制设备。”

恶意二维码伪装成Signal资源

在一些钓鱼攻击中，攻击者将恶意二维码伪装成合法的Signal资源 ，例如群组邀请 、安全警报 ，或来自Signal网站的合法设备配对说明 。在某些针对性攻击中 ，攻击者将二维码嵌入精心设计的钓鱼页面，伪装成乌克兰军队使用的亿华云专用应用程序。

APT组织具体手法曝光

其中，APT44（Sandworm）组织利用战场设备将捕获的Signal账户链接到其服务器，以便进一步利用。另一个名为UNC5792的网络间谍组织（部分与CERT-UA追踪的UAC-0195组织重叠）被发现修改Signal群组邀请
 ，诱骗收件人将其账户与攻击者控制的设备关联 。UNC5792将虚假Signal邀请中的JavaScript替换为恶意URI ，诱导受害者关联设备。

此外 ，代号为UNC4221的香港云服务器俄罗斯APT组织使用一款模仿Kropyva炮兵制导应用的钓鱼工具包
，针对乌克兰军方的Signal账户发起攻击。报告指出：“与UNC5792使用的社会工程手法类似
，UNC4221也将其设备关联功能伪装成来自可信联系人的Signal群组邀请
 。”该组织还利用PINPOINT JavaScript载荷，通过浏览器API收集用户数据和地理位置。

威胁范围扩大至其他通讯平台

研究人员还披露
，俄罗斯和白俄罗斯相关的威胁组织能够通过脚本、恶意软件和命令行工具 ，从Android和Windows设备中窃取Signal数据库文件 。源码库报告总结道 ：“正如广泛针对Signal账户的攻击所反映的那样
，这种对安全通讯应用的威胁不仅限于远程网络操作（如钓鱼和恶意软件分发），还包括近距离访问操作，即攻击者可短暂访问目标未锁定的设备
。同样重要的是 ，这种威胁不仅限于Signal ，还扩展到其他广泛使用的通讯平台 ，包括WhatsApp和Telegram。云计算这些平台在近几个月也成为多个俄罗斯相关组织的攻击目标。”