Rus tehdit aktörleri, ilgilenilen hesaplara yetkisiz erişim elde etmek için sinyal mesajlaşma uygulamasındaki meşru “bağlantılı cihazlar” özelliğini kullanan kimlik avı kampanyaları başlatıyor.
Geçtiğimiz yıl boyunca, araştırmacılar, hedefleri sinyal hesaplarını saldırgan tarafından kontrol edilen bir cihaza bağlamak için kandırmak için birden fazla yöntem kullanan Rus devlete hizalanmış gruplara atfedilen kimlik avı operasyonlarını gözlemlediler.
Cihaz bağlama kimlik avı
Bugünkü bir raporda, Google Tehdit İstihbarat Grubu (GTIG), Signal’ın Cihaz Bağlama özelliğini kötüye kullanmanın “Rusça tarafından uyumlu sinyal hesaplarını tehlikeye atmaya yönelik en yeni ve yaygın olarak kullanılan teknik” olduğunu söylüyor.
Tehdit aktörleri, kötü niyetli QR kodları oluşturarak ve potansiyel kurbanları saldırganın cihazıyla senkronize etmesine izin vermek için potansiyel kurbanları taramaya yönlendirerek bu özellikten yararlandı.
Güvenli konuşmalarını izlemek için hedefin cihazından tam bir uzlaşmayı gerektirmeyen basit bir numaradır.
GTIG araştırmacıları bu yöntemin hedef türüne göre uyarlandığını gözlemledi. Daha geniş bir kampanyada, saldırgan kötü amaçlı kodu meşru bir uygulama kaynağı (örneğin sinyal grubu davetleri) veya meşru sinyal web sitesinden cihaz eşleştirme talimatları olarak gizleyecektir.
Hedeflenen saldırılar için, tehdit oyuncusu kötü niyetli QR kodlarını, potansiyel kurbanın ilgisini çekecek şekilde tasarlanmış kimlik avı sayfalarına “operasyonun nihai hedefleri tarafından kullanılan özel uygulamalar” gibi ekleyecektir.
Buna ek olarak, GTIG, meşhur Rus hacker grubu Sandworm’un (Seasshell Blizzard/APT44), savaş alanında devredilen cihazlardaki sinyal hesaplarına erişmek için kötü niyetli QR kodları kullandığını fark etti.
GTIG’nin şüpheli Rus casusluk etkinliğinde gözlemlediği cihaz bağlama özelliğine dayanan bir başka hile, yasal bir grup davet sayfasını, hedefin sinyal hesabını saldırgan tarafından kontrol edilen bir cihaza bağlayan kötü amaçlı bir URL’ye yönlendirmek için değiştirmektir.
Bu yöntem, Ukrayna’nın bilgisayar acil müdahale ekibinin (CERT-UA), aktivitesi WhatsApp hesaplarını tehlikeye atma girişimlerine bağlı olan UAC-0195 olarak ifade ettiği bir aktörle benzerliklere sahip olan UNC5792 olarak izlenen bir etkinlik kümesiyle görülmüştür.
“Bu operasyonlarda UNC5792, meşru bir sinyal grubu davetiyle aynı görünmek üzere tasarlanmış aktör kontrollü altyapı üzerinde değiştirilmiş sinyal grubu davetiyeleri barındırdı” – Google Tehdit İstihbarat Grubu
Sahte davetiyeler, gruba katılmak için yeni bir cihaz (“SGNL: // LinkDevice UUid”) (“SGNL:“ SGNL: LinkDevice Uuid ”) bağlamak için Signal’ın URI’sini (Tekdüze Kaynak Tanımlayıcısı) içeren kötü amaçlı bir blokla değiştirildi (“ SGNL: “SGNL:“ SGNL: //signal.group/ ”).
Hedef gruba katılma davetini kabul ettiğinde, sinyal hesaplarını saldırgan kontrollü bir cihaza bağlarlardı.
Özel kimlik avı kiti
GTIG’nin UNC4221 ve CERT-UA olarak izlediği başka bir Rusya bağlantılı tehdit oyuncusu UAC-0185Ukrayna askeri personelinin sinyal hesaplarını hedeflemek için özel olarak oluşturulan bir kimlik avı kiti kullandı.
Kimlik avı kiti, Ukrayna’nın silahlı kuvvetlerinin topçu rehberliği, mayın tarlası haritalaması veya asker bulma için kullandığı Kropyva yazılımını taklit eder.
Bu saldırılardaki cihaz bağlama hilesi, ikincil bir altyapı ile maskelenmiştir (sinyal onaylamak[.]alan) Operasyon için meşru sinyal talimatlarını taklit etmek için oluşturuldu.
Saldırganlar ayrıca, kötü amaçlı cihaz bağlayan QR kodlarını dağıtmak için kropyva temalı kimlik avı kullandılar ve mesajlaşma hizmetini taklit eden alanlarda barındırılan sahte sinyal güvenlik uyarıları ile çekilen eski işlemler.
GTIG, Wavesign toplu komut dosyasını, meşhur keski kötü amaçlı yazılımlarını, Powershell komut dosyalarını ve Robocopy komut satırı yardımcı programını kullanarak Signal App’in Android ve Windows üzerindeki veritabanı dosyalarından mesaj arama ve toplama çabalarını gözlemlediğini söylüyor.
Araştırmacılar, Rus Rus tehdit aktörlerinin son aylara ilgi gösterdiği tek mesajlaşma uygulaması olmadığını ve yüksek değerli diplomatların WhatsApp hesaplarını hedefleyen Coldriver kampanyasına işaret ettiklerinin tek olduğunu vurguluyor.
Araştırmacılar, bu tür cihaz bağlama uzlaşmasını tespit etmek ve korumak zordur çünkü araştırmacılar, yeni bağlantılı cihazların tehdidini izlemek için bir teknik çözüm yoktur.
“Başarılı olduğunda, bir uzlaşmanın uzun süre fark edilmeyeceği yüksek bir risk var.” Diyorlar.
Sinyal kullanıcılarına, Google’ın gözlemlediği kimlik avı saldırılarına karşı daha iyi korumalar içeren uygulamanın en son sürümünü güncellemeleri önerilir.
Ek öneriler arasında mobil cihazlardaki ekran kilidini uzun ve karmaşık bir şifre ile etkinleştirme, düzenli olarak bağlantılı cihazların listesini kontrol etme, QR kodlarıyla etkileşime girerken dikkatli olunması ve iki faktörlü kimlik doğrulamasını etkinleştirme sayılabilir.