Hesaplarına yetkisiz erişim elde etmek için gizlilik odaklı mesajlaşma uygulama sinyali aracılığıyla ilgilenen bireyleri hedefleyen çok sayıda Rusya’ya uyumlu tehdit aktörünün gözlemlenmiştir.
Google Tehdit İstihbarat Grubu (GTIG), “Sinyal hesaplarından ödün vermeye yönelik Rusça uyumlu girişimleri destekleyen en yeni ve yaygın olarak kullanılan teknik, Sinyalin eş zamanlı olarak birden fazla cihazda kullanılmasını sağlayan meşru ‘bağlantılı cihazlar’ özelliğinin kötüye kullanılmasıdır.” söz konusu bir raporda.
Teknoloji devinin tehdit istihbarat ekiplerinin tespit ettiği saldırılarda, UNC5792 olarak izlediği biri de dahil olmak üzere tehdit aktörleri, tarandığında bir kurbanın hesabını aktör kontrollü bir sinyal örneğine bağlayacak kötü niyetli QR kodlarına başvurdu.
Sonuç olarak, gelecekteki mesajlar hem kurbana hem de tehdit oyuncusuna gerçek zamanlı olarak eşzamanlı bir şekilde teslim edilir, böylece tehdit aktörlerine kurbanın konuşmalarına kulak misafiri olmanın kalıcı bir yolu verir. Google, UAC-0195’in kısmen olarak bilinen bir hackleme grubuyla örtüştüğünü söyledi. UAC-0195.
Bu QR kodlarının, Grup Davetleri, Güvenlik Uyarıları veya Signal Web Sitesinden Meşru Cihaz Eşleştirme Talimatları olarak maskelendiği bilinmektedir. Alternatif olarak, kötü amaçlı cihaz bağlayan QR kodlarının Ukrayna ordusu tarafından kullanılan uzmanlaşmış uygulamalar olduğunu iddia eden kimlik avı sayfalarına gömüldüğü bulunmuştur.
Google, “UNC5792, meşru bir sinyal grubu davetiyle aynı görünmek üzere tasarlanmış aktör kontrollü altyapı üzerine değiştirilmiş sinyal grubu davetiyeleri barındırdı.” Dedi.
Sinyalin hedeflenmesiyle bağlantılı bir başka tehdit oyuncusu UNC4221 (aka UAC-0185), Ukrayna askeri personeli tarafından, Ukrayna’nın silahlı kuvvetleri tarafından topçu rehberliği için kullanılan Kropyva uygulamasının belirli yönlerini taklit etmek için tasarlanmış özel bir kimlik avı kiti aracılığıyla kullanılan sinyal hesaplarını hedeflemiştir.
Ayrıca, kimlik avı sayfaları aracılığıyla temel kullanıcı bilgilerini ve coğrafi konum verilerini toplayabilen pinpoint olarak adlandırılan hafif bir JavaScript yükü kullanılır.
UNC5792 ve UNC421’in dışında, sinyal üzerinde manzaralarını eğiten diğer düşman kolektiflerinden bazıları, Wavesign adlı bir Windows toplu komut dosyası kullanan Sandworm (AKA APT44); Hafif bir PowerShell betiği işleten Turla; ve enfekte olmuş bir masaüstünden sinyal mesajlarını yaymak için robocopy yardımcı programını kullanan UNC1151.
Google’dan yapılan açıklama, Microsoft Tehdit İstihbarat ekibinin Star Blizzard olarak bilinen Rus tehdit oyuncusunu, WhatsApp hesaplarını ele geçirmek için benzer bir cihaz bağlama özelliğini artıran bir mızrak aktı kampanyasına atfetmesinden bir aydan biraz fazla bir süre sonra geliyor.
Geçen hafta Microsoft ve Volexity, birden fazla Rus tehdit aktörünün, WhatsApp, Signal ve Microsoft ekipleri gibi mesajlaşma uygulamaları aracılığıyla onları hedefleyerek kurbanların hesaplarına giriş yapmak için cihaz kodu kimlik avı adı verilen bir teknikten yararlandığını ortaya koydu.
Google, “Son aylarda çoklu tehdit aktörlerinden gelen sinyale operasyonel vurgu, yakın vadede yoğunlaşacağı kesin olan mesajlaşma uygulamalarını güvence altına almak için artan tehdit için önemli bir uyarı sağlıyor.” Dedi.
“Sinyal hesaplarını tehlikeye atmak için geniş kapsamlı çabalara yansıtıldığı gibi, mesajlaşma uygulamalarını güvence altına almak için bu tehdit, kimlik avı ve kötü amaçlı yazılım sunumu gibi uzak siber operasyonlarla sınırlı değildir, ancak bir tehdit aktörünün bir kısa erişim sağlayabileceği yakın erişim operasyonlarını da içerir. Target’ın kilidi açık cihazı. “
Açıklama ayrıca, Çince konuşan kullanıcılara yönelik geri yüklenen yürütülebilir ürünler sunmak için sinyal, hat, gmail ve google çeviri gibi popüler uygulamaları taklit eden sahte indirme sayfaları kullanan yeni bir arama motoru optimizasyonu (SEO) zehirleme kampanyasının keşfini izliyor.
“Sahte indirme sayfaları aracılığıyla sunulan yürütülebilir ürünler, geçici dosya çıkarma, proses enjeksiyonu, güvenlik değişiklikleri ve ağ iletişimi içeren tutarlı bir yürütme modeli izleyin.” Hunt.io söz konusuörneklerin eklenmesi, mikroklip olarak adlandırılan bir kötü amaçlı yazılım suşu ile ilişkili infostealer benzeri işlevsellik sergiler.
