Meerdere Rusland-uitgelijnde dreigingsactoren zijn waargenomen gericht op individuen van belang via het privacy-gerichte berichten-app-signaal om ongeautoriseerde toegang tot hun accounts te krijgen.
“De meest nieuwe en veelgebruikte techniek die ten grondslag ligt aan Russisch-uitgelijnde pogingen om signaalaccounts te compromitteren, is het misbruik van de legitieme ‘gekoppelde apparaten’-functie van de app waarmee signaal op meerdere apparaten tegelijkertijd kan worden gebruikt,” zei de Google Threat Intelligence Group (Gtig) zei in een rapport.
In de aanvallen van de dreigingsinformatieteams van de tech-reus hebben de dreigingsacteurs, waaronder een die het volgt als UNC5792, hun toevlucht genomen tot kwaadaardige QR-codes die, wanneer gescand, het account van een slachtoffer zullen koppelen aan een acteur-gecontroleerde signaalinstantie.
Als gevolg hiervan worden toekomstige berichten synchroon aan zowel het slachtoffer als de dreigingsacteur in realtime afgeleverd, waardoor dreigingsactoren een aanhoudende manier worden gegeven om de gesprekken van het slachtoffer af te luisteren. Google zei dat UAC-0195 gedeeltelijk overlapt met een hackgroep die bekend staat als UAC-0195.
Van deze QR -codes is bekend dat ze zich voordoen als groepsuitnodigingen, beveiligingswaarschuwingen of legitieme instructies voor het koppelen van apparaten van de signaalwebsite. Als alternatief bleken de kwaadaardige apparaat-knopende QR-codes te zijn ingebed in phishingpagina’s die beweren dat ze gespecialiseerde toepassingen zijn die door het Oekraïense leger worden gebruikt.
“UNC5792 heeft gemodificeerde Signal Group-uitnodigingen georganiseerd op acteur-gecontroleerde infrastructuur die is ontworpen om identiek te lijken op een legitieme signaalgroep-uitnodiging,” zei Google.
Een andere bedreigingsacteur die verband houdt met de targeting van signaal is UNC4221 (AKA UAC-0185), die gericht is op signaalrekeningen die door Oekraïens militair personeel worden gebruikt door middel van een aangepaste phishing-kit die is ontworpen om bepaalde aspecten van de Kropyva-toepassing na te bootsen die door de strijdkrachten wordt gebruikt van Oekraïne voor artillerie begeleiding.
Ook wordt een lichtgewicht JavaScript -payload nagesynchroniseerd Pinpoint die basisgebruikersinformatie en geolocatiegegevens via phishingpagina’s kan verzamelen.
Buiten UNC5792 en UNC4221 zijn sommige van de andere tegenstanders die hun bezienswaardigheden op signaal hebben getraind, zandworm (aka apt44), dat een Windows -batchscript met de naam Wavesign heeft gebruikt; Turla, dat een lichtgewicht PowerShell -script heeft beheerd; en UNC1151, die het robocopie -hulpprogramma heeft gebruikt om signaalberichten van een geïnfecteerde desktop te exfiltreren.
De openbaarmaking van Google komt iets meer dan een maand nadat het Microsoft Threat Intelligence-team de Russische dreigingsacteur die bekend staat als Star Blizzard toeschreef aan een speer-phishing-campagne die gebruik maakt van een vergelijkbare apparaat-koppelingsfunctie als WhatsApp-accounts.
Vorige week hebben Microsoft en Volexity ook aangetoond dat meerdere Russische dreigingsacteurs een techniek gebruiken met de naam Device Code Phishing om in te loggen op de accounts van slachtoffers door zich te richten op hen via berichten -apps zoals WhatsApp, Signal en Microsoft -teams.
“De operationele nadruk op signaal van meerdere dreigingsactoren in de afgelopen maanden dient als een belangrijke waarschuwing voor de groeiende dreiging om berichtentoepassingen te beveiligen die zeker op korte termijn zal intensiveren,” zei Google.
“Zoals weerspiegeld in brede inspanningen om signaalaccounts in gevaar te brengen, is deze dreiging voor het beveiligen van berichtentoepassingen niet beperkt tot externe cyberactiviteiten zoals phishing en malware-levering, maar omvat ook kritisch van dichtbij toegankelijke activiteiten waarbij een dreigingsacteur een korte toegang tot een kan krijgen Het ontgrendelde apparaat van Target. “
De openbaarmaking volgt ook de ontdekking van een nieuwe vergiftigingscampagne voor zoekmachineoptimalisatie (SEO) die gebruik maakt van nep-downloadpagina’s die zich voordoen als populaire applicaties zoals Signal, Line, Gmail en Google Translate om achterdeuruitvoerbare bestanden te leveren die zijn gericht op Chinees sprekende gebruikers.
“De uitvoerbare bestanden die via nep-downloadpagina’s worden geleverd, volgen een consistent uitvoeringspatroon met tijdelijke bestandsuitwinning, procesinjectie, beveiligingsaanpassingen en netwerkcommunicatie,” zei Hunt.io, het toevoegen van de monsters die infontealer-achtige functionaliteit hebben geassocieerd met een malware-stam waarnaar wordt verwezen als Microclip.
