Hackers compromise Signal accounts by exploiting the device-linking feature

ロシアの脅威勢力は、メッセージングアプリ「Signal」の合法的な「Linked Devices」機能を悪用し、関心のあるアカウントに不正アクセスするフィッシングキャンペーンを展開している。

過去1年間、研究者は、攻撃者が制御するデバイスに自分のSignalアカウントをリンクさせるためにターゲットをだますために複数の方法を使用するロシアの国家と連携したグループに起因するフィッシングオペレーションを観察しました。

デバイスリンク型フィッシング

Google Threat Intelligence Group (GTIG)は、本日のレポートの中で、Signalのデバイスリンク機能を悪用したフィッシングは、”Signalのアカウントを侵害しようとするロシア系グループの試みを支える、最も斬新で広く使用されている手法 “であると述べている。

脅威行為者は、悪意のあるQRコードを作成し、潜在的な被害者を騙してスキャンさせ、Signalメッセージを攻撃者のデバイスと同期させることで、この機能を活用している。

これは単純なトリックで、ターゲットのデバイスを完全に侵害する必要はなく、安全な会話を監視することができます。

GTIGの研究者は、この方法がターゲットのタイプによって適応されることを観察しました。より広範なキャンペーンでは、攻撃者は悪意のあるコードを正規のアプリリソース(Signalのグループ招待など)に見せかけたり、正規のSignalウェブサイトからのデバイスペアリング指示に見せかけたりします。

標的型攻撃の場合、脅威者は、「最終的な標的が使用する特殊なアプリケーション」など、潜在的な被害者が関心を持つように設計されたフィッシングページに悪意のあるQRコードを追加します。

さらにGTIGは、悪名高いロシアのハッカーグループSandworm(Seashell Blizzard/APT44)が、悪意のあるQRコードを使って、派兵された軍隊が戦場で捕獲したデバイスのSignalアカウントにアクセスしていたことに注目しました。

GTIGがロシアのスパイ活動の疑いで観測したデバイスリンク機能に基づくもう1つのトリックは、ターゲットのSignalアカウントを攻撃者がコントロールするデバイスに接続する悪意のあるURLにリダイレクトするよう、正規のグループ招待ページを変更することです。

この手法は、社内でUNC5792として追跡されている活動クラスターで確認されており、ウクライナのコンピュータ緊急対応チーム(CERT-UA)がUAC-0195と呼ぶ行為者と類似しています。

「これらの活動において、UNC5792は、正規のSignalグループ招待と同一に見えるように設計された、アクターが管理するインフラ上で修正されたSignalグループ招待をホストしています。

偽の招待状には、正規のリダイレクトJavaScriptコードが悪意のあるブロックに置き換えられており、グループに参加するためのURI(”sgnl://signal.group/”)の代わりに、新しいデバイスをリンクするためのSignalのURI(”sgnl://linkdevice uuid”)が含まれていました。

ターゲットがグループへの招待を受け入れると、Signalアカウントと攻撃者がコントロールするデバイスが接続される。

カスタムフィッシングキット

GTIGがUNC4221、CERT-UAがUAC-0185として追跡している、ロシアに関連した別の脅威行為者は、ウクライナの軍関係者のSignalアカウントを標的とするために特別に作成されたフィッシングキットを使用していました。

このフィッシング・キットは、ウクライナ軍が大砲の誘導、地雷原のマッピング、兵士の位置確認などに使用しているKropyvaソフトウェアになりすましています。

これらの攻撃におけるデバイスリンクの手口は、操作のための正規のSignal指示になりすますために作成された二次的なインフラストラクチャ(signal-confirm[.]site)によって隠蔽されています。

攻撃者はまた、Kropyvaをテーマとしたフィッシングを使用して悪意のあるデバイスリンクQRコードを配布し、メッセージングサービスを装ったドメインでホストされる偽のSignalセキュリティアラートで誘い込む古い作戦も行っていました。

GTIGによると、WAVESIGNバッチスクリプト、Infamous Chiselマルウェア、PowerShellスクリプト、およびRobocopyコマンドラインユーティリティを使用して、AndroidおよびWindows上のSignalアプリのデータベースファイルからメッセージを検索し、収集するロシアとベラルーシの両方の努力を観察したという。

研究者は、ロシアの脅威行為者がここ数カ月で関心を示したメッセージングアプリはSignalだけではないことを強調し、重要な外交官のWhatsAppアカウントを標的としたColdriverキャンペーンを指摘しています。

この種のデバイスリンク侵害は、新たにリンクされたデバイスの脅威を監視する技術的なソリューションがないため、発見することも防御することも難しいと研究者は指摘する。

研究者らは、「成功した場合、侵害が長期間気付かれない危険性が高い」と述べている。

Signalのユーザーには、Googleが観測したフィッシング攻撃に対する保護が改善されたアプリケーションの最新バージョンにアップデートすることが勧められている。

その他の推奨事項としては、長く複雑なパスワードを使用してモバイルデバイスの画面ロックを有効にすること、リンクされているデバイスのリストを定期的に確認すること、QRコードとやり取りする際に注意を払うこと、2要素認証を有効にすることなどが挙げられる。