Beberapa aktor ancaman yang selaras Rusia telah diamati menargetkan individu yang menarik melalui sinyal aplikasi perpesanan yang berfokus pada privasi untuk mendapatkan akses yang tidak sah ke akun mereka.
“Teknik yang paling baru dan banyak digunakan yang mendukung upaya yang selaras dengan Rusia untuk mengkompromikan akun sinyal adalah penyalahgunaan fitur 'perangkat tertaut' yang sah yang memungkinkan sinyal digunakan pada beberapa perangkat secara bersamaan,” kata Google Ancaman Intelijen (GTIG). Dalam sebuah laporan.
Dalam serangan yang terlihat oleh tim intelijen ancaman raksasa teknologi, aktor ancaman, termasuk yang dilacak sebagai UNC5792, telah menggunakan kode QR jahat yang, ketika dipindai, akan menghubungkan akun korban ke instance sinyal yang dikendalikan aktor.
Akibatnya, pesan di masa depan disampaikan secara serempak kepada korban dan aktor ancaman secara real-time, sehingga memberikan aktor ancaman cara yang terus-menerus untuk menguping percakapan korban. Google mengatakan UAC-0195 tumpang tindih sebagian dengan grup peretasan yang dikenal sebagai UAC-0195.
Kode QR ini dikenal menyamar sebagai undangan grup, peringatan keamanan, atau instruksi pemasangan perangkat yang sah dari situs web sinyal. Atau, kode QR terkait-perangkat berbahaya telah ditemukan tertanam di halaman phishing yang dimaksudkan sebagai aplikasi khusus yang digunakan oleh militer Ukraina.
“UNC5792 telah menyelenggarakan undangan kelompok sinyal yang dimodifikasi pada infrastruktur yang dikendalikan aktor yang dirancang untuk tampak identik dengan undangan kelompok sinyal yang sah,” kata Google.
Aktor ancaman lain yang terkait dengan penargetan sinyal adalah UNC4221 (alias UAC-0185), yang telah menargetkan akun sinyal yang digunakan oleh personel militer Ukraina dengan menggunakan kit phishing khusus yang dirancang untuk meniru aspek-aspek tertentu dari aplikasi Kropyva yang digunakan oleh angkatan bersenjata angkatan bersenjata angkatan bersenjata angkatan bersenjata atau angkatan bersenjata. Ukraina untuk bimbingan artileri.
Juga digunakan adalah payload JavaScript ringan yang dijuluki Pinpoint yang dapat mengumpulkan informasi pengguna dasar dan data geolokasi melalui halaman phishing.
Di luar UNC5792 dan UNC4221, beberapa kolektif permusuhan lainnya yang telah melatih pandangan mereka pada sinyal adalah cacing pasir (alias APT44), yang telah menggunakan skrip batch windows bernama WaveSign; Turla, yang telah mengoperasikan skrip PowerShell yang ringan; dan UNC1151, yang telah menggunakan utilitas robocopy untuk mengeluarkan pesan sinyal dari desktop yang terinfeksi.
Pengungkapan dari Google datang sedikit lebih dari sebulan setelah tim Microsoft Ancaman Intelijen mengaitkan aktor ancaman Rusia yang dikenal sebagai Star Blizzard dengan kampanye phishing tombak yang memanfaatkan fitur penghubung perangkat serupa untuk membajak akun WhatsApp.
Pekan lalu, Microsoft dan Volexity juga mengungkapkan bahwa beberapa aktor ancaman Rusia memanfaatkan teknik yang disebut phishing kode perangkat untuk masuk ke akun korban dengan menargetkan mereka melalui aplikasi pesan seperti WhatsApp, Signal, dan tim Microsoft.
“Penekanan operasional pada sinyal dari beberapa aktor ancaman dalam beberapa bulan terakhir berfungsi sebagai peringatan penting untuk ancaman yang berkembang untuk mengamankan aplikasi pesan yang pasti akan meningkat dalam waktu dekat,” kata Google.
“Seperti yang tercermin dalam upaya luas untuk membahayakan akun sinyal, ancaman untuk mengamankan aplikasi pesan ini tidak terbatas pada operasi cyber jarak jauh seperti phishing dan pengiriman malware, tetapi juga secara kritis mencakup operasi akses dekat di mana aktor ancaman dapat mengamankan akses singkat ke a perangkat Target yang tidak terkunci. “
Pengungkapan ini juga mengikuti penemuan kampanye keracunan Optimasi Mesin Pencari (SEO) baru yang menggunakan halaman unduhan palsu menyamar sebagai aplikasi populer seperti sinyal, lini, Gmail, dan Google Translate untuk mengirimkan executable backdoored yang ditujukan untuk pengguna berbahasa Cina.
“Eksekusi yang disampaikan melalui halaman unduhan palsu mengikuti pola eksekusi yang konsisten yang melibatkan ekstraksi file sementara, injeksi proses, modifikasi keamanan, dan komunikasi jaringan,” kata Hunt.io, menambahkan sampel yang menunjukkan fungsionalitas seperti infostealer yang terkait dengan strain malware yang disebut sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai sebagai seperti sebagai sebagai sebagai malware yang disebut sebagai sebagai sebagai malware yang disebut sebagai sebagai sebagai malware yang disebut sebagai sebagai malware yang disebut sebagai sebagai malware yang disebut sebagai malware yang disebut sebagai malware sebagai infosteal Microclip.
