Aktor ancaman Rusia telah meluncurkan kampanye phishing yang mengeksploitasi fitur “perangkat tertaut” yang sah dalam aplikasi pesan sinyal untuk mendapatkan akses yang tidak sah ke akun yang menarik.
Selama setahun terakhir, para peneliti mengamati operasi phishing yang dikaitkan dengan kelompok-kelompok yang selaras dengan negara Rusia yang menggunakan banyak metode untuk menipu target agar menghubungkan akun sinyal mereka ke perangkat yang dikendalikan oleh penyerang.
Phishing terkait perangkat
Dalam sebuah laporan hari ini, Google Ancaman Intelijen (GTIG) mengatakan bahwa menyalahgunakan fitur yang menghubungkan perangkat sinyal adalah “teknik yang paling baru dan banyak digunakan yang mendukung upaya yang selaras dengan Rusia untuk membahayakan akun sinyal.”
Aktor ancaman memanfaatkan fitur ini dengan membuat kode QR berbahaya dan menipu korban potensial untuk memindai mereka untuk memungkinkan pesan sinyal disinkronkan dengan perangkat penyerang.
Ini adalah trik sederhana yang tidak memerlukan kompromi penuh perangkat target untuk memantau percakapan mereka yang aman.
Peneliti GTIG mengamati metode ini diadaptasi oleh jenis target. Dalam kampanye yang lebih luas, penyerang akan menyamarkan kode jahat sebagai sumber daya aplikasi yang sah (misalnya undangan grup sinyal) atau sebagai instruksi pemasangan perangkat dari situs web sinyal yang sah.
Untuk serangan yang ditargetkan, aktor ancaman akan menambahkan kode QR jahat ke halaman phishing yang dirancang untuk menarik bagi korban potensial, seperti “aplikasi khusus yang digunakan oleh target utama operasi.”
Selain itu, GTIG memperhatikan bahwa yang terkenal Cacing Sandworm Grup Peretas Rusia (Seashell Blizzard/APT44) menggunakan kode QR jahat untuk mengakses akun sinyal di perangkat yang ditangkap di medan perang oleh pasukan militer yang dikerahkan.
Trik lain berdasarkan fitur penghubung perangkat yang diamati GTIG dalam dugaan aktivitas spionase Rusia mengubah halaman undangan kelompok yang sah untuk mengarahkan kembali ke URL berbahaya yang menghubungkan akun sinyal target ke perangkat yang dikendalikan oleh penyerang.
Metode ini terlihat dengan cluster aktivitas yang dilacak secara internal sebagai UNC5792, yang memiliki kesamaan dengan aktor yang dimaksud oleh tim tanggap darurat komputer Ukraina (CERT-AA) UAC-0195yang aktivitasnya telah dikaitkan dengan upaya untuk mengkompromikan akun WhatsApp.
“Dalam operasi ini, UNC5792 telah menyelenggarakan undangan grup sinyal yang dimodifikasi pada infrastruktur yang dikendalikan aktor yang dirancang untuk tampil identik dengan undangan kelompok sinyal yang sah” – Grup Intelijen Ancaman Google
Undangan palsu memiliki kode javascript pengalihan yang sah diganti dengan blok berbahaya yang termasuk URI sinyal (pengidentifikasi sumber daya seragam) untuk menghubungkan perangkat baru (“Sgnl: // LinkDevice UUID”) alih -alih yang bergabung dengan grup (“SGNL: //signal.group/ “).
Ketika target menerima undangan untuk bergabung dengan grup, mereka akan menghubungkan akun sinyal mereka dengan perangkat yang dikendalikan penyerang.
Kit phishing khusus
Aktor ancaman terkait Rusia lainnya, yang dilacak oleh GTIG sebagai UNC4221 dan Cert-ua sebagai UAC-0185menggunakan kit phishing yang secara khusus dibuat untuk menargetkan akun sinyal personel militer Ukraina.
Kit phishing menyamar sebagai perangkat lunak Kropyva, yang digunakan oleh pasukan bersenjata Ukraina untuk bimbingan artileri, pemetaan ladang ranjau, atau menemukan tentara.
Trik penghubung perangkat dalam serangan ini ditutupi oleh infrastruktur sekunder (Sinyal-Konfirmasi[.]lokasi) dibuat untuk menyamar sebagai instruksi sinyal yang sah untuk operasi.
Penyerang juga menggunakan phishing bertema Kropyva untuk mendistribusikan kode QR yang menghubungkan perangkat berbahaya, dan operasi yang lebih lama dipikat dengan peringatan keamanan sinyal palsu yang di-host di domain menyamar sebagai layanan pengiriman pesan.
GTIG mengatakan mereka mengamati upaya Rusia dan Belarusia untuk mencari dan mengumpulkan pesan dari file database Aplikasi Signal di Android dan Windows menggunakan skrip Batch WAVERIGN, malware pahat yang terkenal, skrip PowerShell, dan utilitas baris perintah robocopy.
Para peneliti menggarisbawahi sinyal itu bukan satu -satunya aplikasi pesan yang ditunjukkan oleh para aktor ancaman Rusia dalam beberapa bulan terakhir dan menunjuk ke Kampanye Coldriver Itu menargetkan akun WhatsApp dari diplomat bernilai tinggi.
Jenis kompromi penghubung perangkat ini sulit dikenali dan dilindungi karena tidak ada solusi teknis untuk memantau ancaman perangkat yang baru terhubung, catat para peneliti.
Mereka mengatakan bahwa “ketika berhasil, ada risiko tinggi bahwa kompromi dapat tidak diperhatikan untuk waktu yang lama.”
Pengguna sinyal disarankan untuk memperbarui ke versi terbaru dari aplikasi, yang mencakup peningkatan perlindungan terhadap serangan phishing yang diamati Google.
Rekomendasi tambahan termasuk mengaktifkan kunci layar pada perangkat seluler dengan kata sandi yang panjang dan kompleks, secara teratur memeriksa daftar perangkat tertaut, berhati-hati saat berinteraksi dengan kode QR, dan memungkinkan otentikasi dua faktor.
