러시아 연계 위협 행위자들, Signal Messenger 적극 타겟팅

러시아 연계 위협 행위자들이 Signal 메신저를 표적으로 삼는 활동

• **Google 위협 인텔리전스 그룹(GTIG)**은 러시아 국가 연계 위협 행위자들이 Signal 메신저 계정을 타겟으로 하는 활동을 관찰함. 이는 러시아의 우크라이나 재침공과 관련된 민감한 정부 및 군사 통신에 접근하려는 전시 요구에 의해 촉발된 것으로 보임. 이러한 전술과 방법은 앞으로 더 많은 위협 행위자와 지역으로 확산될 가능성이 있음.

• Signal은 군인, 정치인, 기자, 활동가 등 감시와 첩보 활동의 일반적인 표적들 사이에서 인기가 높아, 민감한 정보를 가로채려는 적대자들에게 고가치 표적이 됨. 이 위협은 WhatsApp과 Telegram 같은 다른 인기 메신저 앱에도 확장됨.

• Signal 팀과의 협력을 통해 최신 Signal 버전에는 유사한 피싱 캠페인에 대한 보호 기능이 강화됨. 최신 버전으로 업데이트할 것을 권장함.

Signal의 "연결된 기기" 기능을 악용한 피싱 캠페인

• 러시아 연계 행위자들은 Signal 계정을 손상시키기 위해 "연결된 기기" 기능을 악용함. 이 기능은 여러 기기에서 Signal을 동시에 사용할 수 있게 함. 악의적인 QR 코드를 통해 피해자의 계정을 행위자 제어 Signal 인스턴스에 연결하려 함.

• 원격 피싱 작전에서는 악의적인 QR 코드가 Signal 리소스로 위장되어 사용됨. 우크라이나 군대에서 사용하는 특수 애플리케이션으로 위장한 피싱 페이지에 QR 코드가 포함되기도 함.

UNC5792: 수정된 Signal 그룹 초대

• UNC5792는 Signal 계정을 손상시키기 위해 "그룹 초대" 페이지를 수정하여 악의적인 URL로 리디렉션함. 이는 피해자의 Signal 계정을 행위자 제어 기기에 연결하려는 시도임.

UNC4221: 맞춤형 Signal 피싱 키트

• UNC4221은 우크라이나 군인들이 사용하는 Signal 계정을 표적으로 삼음. 이 그룹은 Kropyva 애플리케이션을 모방한 피싱 키트를 운영하며, 신뢰할 수 있는 연락처로부터의 Signal 그룹 초대로 위장함.

러시아 및 벨라루스의 Signal 메시지 탈취 노력

• 여러 지역 위협 행위자들이 Android 및 Windows 기기에서 Signal 데이터베이스 파일을 탈취하려는 능력을 운영함. APT44는 WAVESIGN이라는 Windows Batch 스크립트를 사용하여 Signal 메시지를 주기적으로 쿼리하고 Rclone을 사용하여 탈취함.

전망과 영향

• 여러 위협 행위자들이 Signal을 표적으로 삼는 것은 보안 메시징 애플리케이션에 대한 위협이 증가하고 있음을 경고함. 이러한 위협은 피싱 및 악성 소프트웨어 배포와 같은 원격 사이버 작전뿐만 아니라, 표적의 잠금 해제된 기기에 대한 접근을 확보할 수 있는 근접 접근 작전도 포함됨.

• 보안 메시징 애플리케이션을 사용하는 개인은 스크린 잠금 활성화, 운영 체제 업데이트, Google Play Protect 활성화, QR 코드 및 웹 리소스 주의, 이중 인증 사용 등을 통해 자신을 보호해야 함.