Руските киберпрестъпници злоупотребяват с функцията „свързани устройства“ на Signal, за да извършват операции за дистанционно фиширане и доставка на зловреден софтуер.
Руските киберпрестъпни групи, включително Sandworm и Turla, все по-често се насочват към приложението за криптирани съобщения Signal, за да подслушват украински войници и други лица, които представляват интерес за руските разузнавателни служби.
Злонамерените участници използват функцията „свързани устройства“ на Signal, която позволява Signal да се използва на множество устройства след сканиране на QR код.
„Ако това е успешно, бъдещите съобщения ще бъдат доставяни синхронно както на жертвата, така и на извършителя на заплахата в реално време, без да е необходимо компрометиране на цялото устройство“, казва Google Threat Intelligence Group (GTIG) в последното си изследване.
Въпреки че наблюдаваните атаки са предизвикани от военни искания след руската инвазия в Украйна, GTIG очаква атаките да се засилят и да бъдат възприети от други киберпрестъпни групи.
Освен това експлойтите на Signal могат да бъдат използвани и за атакуване на други услуги за криптирани съобщения, включително WhatsApp и Telegram. Групи за заплахи, свързани с Русия, активно се насочват към двете приложения, използвайки подобни техники.
За да компрометират акаунтите на Signal, използвайки функцията за свързване на устройства, руските киберпрестъпници UNC5792 хостват модифицирани покани за участие в групи на Signal в своята инфраструктура. Тези покани са били проектирани така, че да изглеждат идентични с легитимните покани за участие в групи на Signal.
GTIG казва, че във всяка фалшива покана за участие в група кодът на JavaScript, който обикновено пренасочва потребителя към присъединяване към група на Signal, е бил заменен със злонамерен блок, съдържащ унифициран идентификатор на ресурса (URI).
Той се използва от Signal за свързване на ново устройство към Signal, като подвежда жертвите да свържат акаунтите си в Signal с устройство, контролирано от UNC5792.
Друг колектив, UNC4221, също се е опитал да маскира своята функционалност за свързване на устройства като покана за участие в група на Signal от доверен контакт. Изследователите са наблюдавали различни варианти на този комплект за фишинг.
„Като основен компонент на своето насочване към Signal, UNC4221 използваше и лек полезен товар на JavaScript, проследен като PINPOINT, за да събира основна информация за потребителя и данни за геолокация, използвайки API за геолокация на браузъра“, отбелязва GTIG.
Освен при операции за отдалечен фишинг и доставка на зловреден софтуер, зловредните QR кодове се използват и при операции за близък достъп.
APT44, известна също като Sandworm, е работила, за да даде възможност на руските военни сили да свържат акаунти Signal на устройства, заловени на бойното поле, обратно към контролирана от Sandworm инфраструктура за последваща експлоатация.
В допълнение към целенасочените усилия са наблюдавани руски и беларуски групи, включително Infamous Chisel, Turla, Sandworm и UNC1151, които се опитват да откраднат файлове с бази данни на Signal от устройства с Android и Windows.
Sandworm, например, е наблюдавана да използва WAVESIGN, лек Windows Batch script, за периодично запитване за Signal съобщения от базата данни Signal на жертвата и да ексфилтрира тези най-нови съобщения с помощта на Rclone, казва GTIG,
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
