近年来，随着外交局势的紧张和网络战争的加剧，网络安全问题逐渐成为全球关注的焦点。特别是关于国家级的APT（高级持续性威胁）组织的活动，愈加引起各国政府和网络安全领域的专业人士的重视。根据谷歌威胁情报小组（GTIG）的最新报告，多达数个与俄罗斯有关的威胁组织正在对Signal通讯应用发动攻击。这些攻击的目标主要是与俄罗斯情报机构相关的用户，众多网络安全专家认为，这种攻击方式将在未来一段时间内广泛传播，甚至可能扩展到其他国家及地区，尤其是乌克兰以外的地方。

Signal作为一个以隐私和安全为主题的即时通讯应用，其“关联设备”功能被黑客所滥用是此轮攻击的核心内容。攻击者通过设计恶意二维码，将无辜的用户账户与自身控制的设备进行关联，从而进一步实施间谍和监听活动。GTIG在其报告中提到，俄罗斯黑客开始普遍使用Signal的合法功能——“关联设备”功能，借此实现恶意目的。根据该应用的设定，用户在添加新设备时，需要扫描二维码。攻击者通过伪装创建恶意二维码，一旦用户扫描之后，其Signal账户便会与攻击者所控制的设备产生关联。此后，双方之间的所有通讯内容都将实时同步，这为攻击者提供了一个持久的监听手段，而实际上并无需完全控制受害者的设备。

在实际攻击案例中，恶意二维码往往伪装成合法的Signal资源，诸如群组邀请、安全警报，或Signal官网提供的设备配对说明等。在某些专门设计的钓鱼攻击中，攻击者还巧妙地将二维码嵌入到其精心构造的虚假登陆页面中，伪装成正规软件的应用程序，通过这些方法骗取用户的信任并引导其进行关联设置。

随着攻击程序的不断进化，多个俄罗斯APT组织的具体攻击手法也逐渐浮出水面。例如，代号为APT44（Sandworm）的组织通过战场设备捕获的Signal账户直接链接至其服务器，从而实现进一步的信息渗透。另一个名为UNC5792的网络间谍组织，部分成员与CERT-UA追踪的UAC-0195组织存在重叠，他们通过修改Signal的群组邀请，诱骗收件人将其账户与攻击者控制的设备关联。在这类攻击中，UNC5792非常巧妙地将虚假Signal邀请中的JavaScript代码替换为恶意URI，达到动机不纯的目的。

除了上述两大APT组织外，研究人员还检测到代号为UNC4221的俄罗斯APT组织正在使用一款模拟Kropyva炮兵制导应用的钓鱼工具包，专门针对乌克兰军方的Signal用户实施攻击。报告中指出，UNC4221使用的社会工程手段与UNC5792高度相似，其企图通过伪装成可信联系人的Signal群组邀请来引导受害者进行设备关联。此外，该组织还通过名为PINPOINT的JavaScript载荷，利用浏览器API收集目标用户的个人数据及其地理位置信息。

随着威胁范围进一步扩大，研究调查显示，俄罗斯及白俄罗斯的相关威胁组织已经开始通过多种渠道，包括脚本、恶意软件及命令行工具，从Android和Windows设备中获取Signal的数据库文件。这些攻击不仅限于对于Signal应用的滥用，攻击者在进行近距离操作时，如果能短暂接触到目标的未锁定设备，也会对通讯内容进行窃取。专家表示，对安全通讯应用的威胁绝不仅仅局限于Signal，它还将波及到其他广泛使用的通讯平台，如WhatsApp和Telegram等，这些平台在过去几个月也相继成为多起攻击事件的目标。

总结来说，针对Signal的此次攻击事件再一次警示了互联网用户，特别是依赖于安全通讯的用户，在信息安全和数据保护领域依然存在诸多隐患。使用诸如Signal等安全软件的目标用户应当加强警惕，提高防范意识，尤其是在接收到可疑二维码或邮件链接时，务必保持一定的警惕性，慎重处理，以降低遭受网络攻击的风险。同时，网络安全厂商也应当努力加大对网络威胁的技术研发和应急处理能力，以应对日益复杂的网络安全形势。网络安全领域的每一个参与者都需尽自己的努力，共同维护一个更加安全的网络环境。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！