簡介

• Google 威脅情報小組 (GTIG) 觀察到國家級Threat Actor不斷加強攻擊 Signal Messenger 帳戶的力度。此項活動很可能是出於戰時需求，需要取得與入侵烏克蘭有關的敏感政府和軍事通訊。針對 Signal 的策略預計會變得更加普遍，並傳播到其他Threat Actor和地區。
• Google Signal 作為高價值目標 Signal 在經常成為監視目標的族群中很受歡迎，例如軍事人員、政治人物、記者和行動主義者(Activists)，這使其成為對手的主要目標。這些對手的目的是攔截敏感資訊以滿足各種情報需求。 WhatsApp 和 Telegram 等其他訊息應用程式也成為使用類似技術的攻擊目標。

攻擊方式

濫用 Signal 的「連結設備」功能的網路釣魚活動一種常見的技術涉及濫用 Signal 的「連結設備」功能。Threat Actor建立惡意二維碼，掃描後將受害者的帳戶連結到他們所控制的 Signal 程式。這使得Threat Actor可以即時竊聽受害者的對話，而無需完全破壞設備。

• 惡意二維碼：通常會偽裝成合法的Signal資源，例如群組邀請或安全警報。
• 在更有針對性的攻擊中，這些二維碼被嵌入模仿烏克蘭軍方使用的應用程式的網路釣魚頁面中。
• APT44： 在近距離存取操作中使用了惡意二維碼，使軍隊能夠將捕獲設備上的 Signal 帳戶連結到參與者控制的基礎設施。
• 這種設備連結方法非常有效，因為它很難被發現，並且可以在很長一段時間內不被察覺。

特定Threat Actor和技術

• UNC5792：該組織更改了合法的「群組邀請」頁面，用惡意 URL 取代預期的重定向(redirection)，並將受害者的帳戶連結到被控制的裝置。
• UNC4221：該組織使用客製化的 Signal 網路釣魚工具包，為了模仿烏克蘭武裝部隊而使用的。
• APT44：除了使用惡意二維碼連結裝置外，APT44 還操作 WAVESIGN ，這是 Windows Batch script，可定期從受害者的資料庫中提取訊號訊息。他們還使用 Android 惡意軟體 Infamous Chisel 從 Android 裝置竊取 Signal 資料庫檔案。
• Turla：該組織使用 PowerShell Script來偽裝 Signal Desktop 訊息以進行洩密。
• UNC1151：該組織使用 Robocopy 來儲存 Signal Desktop 使用的檔案目錄的內容，以便日後進行洩密。

如何防範威脅

• 使用強大而複雜的密碼並在所有行動裝置上啟用螢幕鎖定。
• 保持作業系統和訊息應用程式更新。
• 確保在 Android 裝置上啟用了 Google Play Protect。
• 定期審核連結的設備是否有未經授權的設備。
• 與二維碼和網路資源互動時請務必小心謹慎。
• 使用雙因素認證(Two-factor authentication)。
• iPhone 用戶應該考慮啟用鎖定模式。
• 妥協指標該報告包含一份妥協指標 (IOC) 列表，以協助組織識別此活動。