กลุ่มผู้ไม่หวังดีที่เชื่อมโยงกับรัสเซียพุ่งเป้าโจมตี Signal Messenger อย่างหนัก

กิจกรรมของกลุ่มผู้ไม่หวังดีที่เชื่อมโยงกับรัสเซียซึ่งกำลังพุ่งเป้าไปที่ Signal Messenger

• Google Threat Intelligence Group (GTIG) ตรวจพบกิจกรรมที่กลุ่มผู้ไม่หวังดีซึ่งเชื่อมโยงกับรัฐรัสเซียพุ่งเป้าไปที่บัญชี Signal Messenger โดยดูเหมือนว่าถูกขับเคลื่อนจากความต้องการในภาวะสงครามเพื่อเข้าถึงการสื่อสารของภาครัฐและกองทัพที่มีความอ่อนไหว ซึ่งเกี่ยวข้องกับการรุกรานยูเครนอีกครั้งของรัสเซีย ยุทธวิธีและวิธีการเหล่านี้มีแนวโน้มจะแพร่กระจายไปยังผู้ไม่หวังดีรายอื่นและภูมิภาคอื่นมากขึ้นในอนาคต

• Signal ได้รับความนิยมสูงในหมู่ทหาร นักการเมือง นักข่าว และนักเคลื่อนไหว ซึ่งเป็นกลุ่มเป้าหมายทั่วไปของการเฝ้าระวังและการสอดแนม จึงกลายเป็นเป้าหมายมูลค่าสูงสำหรับฝ่ายตรงข้ามที่ต้องการดักข้อมูลที่มีความอ่อนไหว ภัยคุกคามนี้ยังขยายไปถึงแอปส่งข้อความยอดนิยมอื่น ๆ เช่น WhatsApp และ Telegram

• ด้วยความร่วมมือกับทีม Signal ทำให้ใน Signal เวอร์ชันล่าสุดมีการเสริมการป้องกันจากแคมเปญฟิชชิงลักษณะคล้ายกันให้แข็งแกร่งขึ้น และแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุด

แคมเปญฟิชชิงที่ใช้ประโยชน์จากฟีเจอร์ "อุปกรณ์ที่เชื่อมต่อ" ของ Signal

• กลุ่มที่เชื่อมโยงกับรัสเซียใช้ประโยชน์จากฟีเจอร์ "อุปกรณ์ที่เชื่อมต่อ" เพื่อเจาะบัญชี Signal ฟีเจอร์นี้ทำให้สามารถใช้ Signal พร้อมกันได้หลายอุปกรณ์ พวกเขาพยายามเชื่อมโยงบัญชีของเหยื่อเข้ากับอินสแตนซ์ Signal ที่ผู้โจมตีควบคุมผ่าน QR โค้ดที่เป็นอันตราย

• ในปฏิบัติการฟิชชิงระยะไกล มีการใช้ QR โค้ดอันตรายโดยปลอมตัวเป็นทรัพยากรของ Signal และบางครั้ง QR โค้ดดังกล่าวก็ถูกรวมอยู่ในหน้าฟิชชิงที่ปลอมเป็นแอปพลิเคชันเฉพาะทางที่กองทัพยูเครนใช้งาน

UNC5792: คำเชิญเข้ากลุ่ม Signal ที่ถูกแก้ไข

• UNC5792 แก้ไขหน้า "คำเชิญเข้ากลุ่ม" เพื่อรีไดเร็กต์ไปยัง URL ที่เป็นอันตรายสำหรับเจาะบัญชี Signal ซึ่งเป็นความพยายามในการเชื่อมโยงบัญชี Signal ของเหยื่อเข้ากับอุปกรณ์ที่ผู้โจมตีควบคุม

UNC4221: ชุดฟิชชิง Signal แบบปรับแต่งเฉพาะ

• UNC4221 พุ่งเป้าไปที่บัญชี Signal ที่ทหารยูเครนใช้งาน กลุ่มนี้ใช้ชุดฟิชชิงที่เลียนแบบแอปพลิเคชัน Kropyva และปลอมเป็นคำเชิญเข้ากลุ่ม Signal ที่มาจากผู้ติดต่อที่เชื่อถือได้

ความพยายามขโมยข้อความ Signal ในรัสเซียและเบลารุส

• ผู้ไม่หวังดีหลายรายในภูมิภาคมีความสามารถในการขโมยไฟล์ฐานข้อมูลของ Signal จากอุปกรณ์ Android และ Windows โดย APT44 ใช้สคริปต์ Windows Batch ชื่อ WAVESIGN เพื่อคิวรีข้อความ Signal เป็นระยะ และขโมยข้อมูลออกไปด้วย Rclone

แนวโน้มและผลกระทบ

• การที่ผู้ไม่หวังดีหลายกลุ่มพุ่งเป้าไปที่ Signal เป็นสัญญาณเตือนว่าภัยคุกคามต่อแอปส่งข้อความที่เน้นความปลอดภัยกำลังเพิ่มขึ้น ภัยคุกคามเหล่านี้ไม่เพียงรวมถึงปฏิบัติการไซเบอร์ระยะไกล เช่น ฟิชชิงและการกระจายมัลแวร์ แต่ยังรวมถึงปฏิบัติการที่ต้องเข้าถึงอุปกรณ์ของเป้าหมายในระยะใกล้ ซึ่งสามารถเข้าถึงเครื่องที่ปลดล็อกอยู่ได้ด้วย

• ผู้ใช้แอปส่งข้อความที่เน้นความปลอดภัยควรป้องกันตนเองด้วยการเปิดใช้การล็อกหน้าจอ อัปเดตระบบปฏิบัติการ เปิดใช้ Google Play Protect ระมัดระวัง QR โค้ดและทรัพยากรบนเว็บ และใช้การยืนยันตัวตนสองชั้น