俄罗斯APT通过伪造Signal群聊邀请链接进行钓鱼攻击

关键要点

俄罗斯的高级持续性威胁APT组织利用伪造的Signal群聊邀请链接，诱骗用户授权恶意设备访问其账户，从而监视未来的沟通。这些攻击主要针对军事人员、政治家、记者和其他高风险群体，因为Signal的高安全性使其成为恶意攻击的目标。攻击者利用QR码进行钓鱼攻击，试图将受害者的Signal账户与控制的设备联系起来。Google研究人员指出，这类威胁不仅针对Signal，还扩展到其他流行的消息应用，如WhatsApp和Telegram。

版权：sergey causelove / Shutterstock

俄罗斯的高级持续性威胁 (APT) 组织正日益增加针对Signal消息应用用户的钓鱼攻击，试图让用户授权攻击者控制的设备访问他们的账户和加密通信。 这些攻击通常伪装成Signal群聊邀请，实际上则利用了设备链接功能。

快喵加速器苹果版

Google的威胁情报组研究人员在最新报告中表示：“Signal在军事人员、政治家、记者、活动家和其他高风险社群等监视和间谍活动的常见目标中的受欢迎程度，使该安全消息应用成为敌人试图截获敏感信息的高价值目标。”

“更广泛地说，这种威胁也延伸到其他流行的消息应用，例如WhatsApp和Telegram，这些应用也正被俄罗斯相关的威胁组织使用类似的技术进行积极攻击。”

尽管目前观察到的大多数攻击主要集中在与乌克兰有关的目标上，但Google的研究人员预计，其他威胁组织未来将采用类似技术，特别是因为其他安全消息应用也具有类似的设备链接功能。 Signal团队在最新版本中增加了一些功能，以帮助防范此类攻击，因此建议用户尽快更新到最新版本。

Signal攻击利用设备链接作为后门

Signal是一个开源的消息应用，使用端到端加密E2EE保护文本消息以及语音和视频通话。事实上，Signal的开发人员被认为是E2EE领域的先驱，其Signal加密协议经过了学术研究者的独立审计，已被包括Meta的WhatsApp、谷歌的Allo已停用、谷歌消息和微软的Skype在私密对话模式下等其他应用所采纳。

安全审计、代码质量和应用及协议的开源性质使Signal赢得了许多安全研究人员、记者、政治活动家、政治家和军人，以及当然，还有犯罪团伙的信任。这使得该应用成为压迫性政府、执法机构、商业监视公司和情报机构的目标。

端到端加密意味着两个设备之间的通信使用直接由设备交换的密钥进行加密，这意味着消息在发件人与收件人之间始终受到保护，即使它们通过作为中继的中央服务器传递。这意味着服务器可能知道用户A向用户B发送了一条消息，但却不知道消息内容。

在完全E2EE的实现中，这让某些功能如群聊或在多个设备间同步聊天变得更加复杂，因为用户的辅助设备在技术上算是多对等加密通信中的另一个“终端”，但Signal开发人员提出了解决这些问题的方案。

QR码成为钓鱼Signal用户的手段

这些功能现在通过扫描QR码来实现，QR码中包含在群组内不同设备间交换密钥或授权新设备登录账户所需的加密信息。QR码实际上是特殊链接的表示，Signal应用能够通过sgnl// URI协议处理这些链接。

由于攻击者知道用户可能习惯于扫描QR码或点击按钮以加入群组聊天，他们[设计了钓鱼页面来模拟相同的体验](https