近日，谷歌威脅情報小組（Google Threat Intelligence Group, GTIG）發布報告稱，多個與俄羅斯相關的威脅組織正針對Signal通訊應用發起攻擊，目標是俄羅斯情報機構感興趣的個人用戶。專家預測，這種針對Signal的攻擊手法將在近期廣泛傳播，并可能擴展到烏克蘭以外的地區。

Signal“關聯設備”功能被濫用

俄羅斯黑客利用了Signal的“關聯設備”功能，通過精心制作的二維碼將受害者的賬戶與攻擊者控制的設備關聯，從而進行間諜活動。

GTIG在報告中提到：“俄羅斯黑客最常用且新穎的攻擊手段是濫用Signal的合法‘關聯設備’功能，該功能允許用戶在多個設備上同時使用Signal。由于關聯新設備通常需要掃描二維碼，攻擊者制作了惡意二維碼，一旦受害者掃描，其賬戶便會與攻擊者控制的Signal實例關聯。如果成功，未來的消息將實時同步發送給受害者和攻擊者，從而為竊聽安全對話提供了一種持久的手段，而無需完全控制設備。”

惡意二維碼偽裝成Signal資源

在一些釣魚攻擊中，攻擊者將惡意二維碼偽裝成合法的Signal資源，例如群組邀請、安全警報，或來自Signal網站的合法設備配對說明。在某些針對性攻擊中，攻擊者將二維碼嵌入精心設計的釣魚頁面，偽裝成烏克蘭軍隊使用的專用應用程序。

APT組織具體手法曝光

其中，APT44（Sandworm）組織利用戰場設備將捕獲的Signal賬戶鏈接到其服務器，以便進一步利用。另一個名為UNC5792的網絡間諜組織（部分與CERT-UA追蹤的UAC-0195組織重疊）被發現修改Signal群組邀請，誘騙收件人將其賬戶與攻擊者控制的設備關聯。UNC5792將虛假Signal邀請中的JavaScript替換為惡意URI，誘導受害者關聯設備。

此外，代號為UNC4221的俄羅斯APT組織使用一款模仿Kropyva炮兵制導應用的釣魚工具包，針對烏克蘭軍方的Signal賬戶發起攻擊。報告指出：“與UNC5792使用的社會工程手法類似，UNC4221也將其設備關聯功能偽裝成來自可信聯系人的Signal群組邀請。”該組織還利用PINPOINT JavaScript載荷，通過瀏覽器API收集用戶數據和地理位置。

威脅范圍擴大至其他通訊平臺

研究人員還披露，俄羅斯和白俄羅斯相關的威脅組織能夠通過腳本、惡意軟件和命令行工具，從Android和Windows設備中竊取Signal數據庫文件。報告總結道：“正如廣泛針對Signal賬戶的攻擊所反映的那樣，這種對安全通訊應用的威脅不僅限于遠程網絡操作（如釣魚和惡意軟件分發），還包括近距離訪問操作，即攻擊者可短暫訪問目標未鎖定的設備。同樣重要的是，這種威脅不僅限于Signal，還擴展到其他廣泛使用的通訊平臺，包括WhatsApp和Telegram。這些平臺在近幾個月也成為多個俄羅斯相關組織的攻擊目標。”