Hackers Exploit Signal's Linked Devices Feature to Hijack Accounts via Malicious QR Codes
- 공격 개요
- 러시아 연계 위협 그룹들이 Signal 메신저의 연결된 장치 기능을 악용하여 계정 탈취 시도
- 피해자의 계정을 위협 행위자가 제어하는 Signal 인스턴스에 연결해 실시간 메시지 감청
- 주요 공격 그룹: UNC5792, UNC4221(UAC-0185), Sandworm(APT44), Turla, UNC1151
- 공격 기법 및 경로
- 악성 QR 코드 사용
- 그룹 초대, 보안 경고 또는 장치 페어링 안내로 위장한 QR 코드 제공
- 피싱 페이지에 QR 코드를 삽입하여 사용자 유인
- 우크라이나 군용 앱(Kropyva) 모방 페이지에서 Signal 계정 탈취 시도
- 악성 코드 및 도구 활용
- PINPOINT: 사용자 정보 및 위치 정보 수집용 경량 자바스크립트 페이로드
- WAVESIGN: Sandworm이 사용한 Windows 배치 스크립트
- PowerShell 스크립트: Turla가 신속한 메시지 탈취에 사용
- Robocopy 유틸리티: UNC1151이 데스크톱에서 Signal 메시지 탈취에 활용
- 악성 QR 코드 사용
- 공격 대상 및 피해
- 우크라이나 군인 및 정부 관계자
- 언론인 및 인권운동가 등 고위험 사용자
- 암호화폐 및 군사 관련 커뮤니티 사용자 타깃
- 사용자의 메시지, 위치 정보 및 로그인 자격 증명 탈취
- 방어 및 대응 방안
- Signal 보안 업데이트 적용
- Android 및 iOS용 최신 버전 업데이트 권장
- QR 코드 스캔 시 출처 확인 및 의심 링크 경계
- 사용자 행동 권장사항
- 출처가 불분명한 초대 링크나 보안 경고 무시
- 앱 다운로드 시 공식 앱스토어 사용
- 기기 잠금 설정 강화 및 두 단계 인증 활성화
- 조직 차원의 보안 조치
- 피싱 이메일 및 악성 코드 탐지 솔루션 도입
- 직원 대상 보안 교육 및 피싱 훈련 정기 시행
- 연결된 장치 목록 주기적 검토 및 불필요한 연결 해제
- Signal 보안 업데이트 적용
- 결론
- Signal과 같은 보안 메신저조차 공격 표적이 되는 만큼 사용자의 경각심 필요
- QR 코드 기반 공격은 사회공학 기법과 결합되어 탐지 회피가 용이하므로 사용자 교육 필수
- 기업 및 기관은 중요한 통신 도구에 대한 보안 점검을 강화하고 최신 패치를 유지해야 함
- 보안 메시징 앱에 대한 위협은 계속 증가할 것으로 예상되므로 지속적 모니터링 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Eclipse Jarsigner를 악용한 XLoader 악성코드 유포 캠페인 분석 (0) | 2025.02.24 |
|---|---|
| PCI DSS 4.0의 DMARC 필수 준수 요구사항 및 대응 전략 (0) | 2025.02.24 |
| 북한 해커 조직의 프리랜서 개발자 대상 악성코드 배포 캠페인 분석 (1) | 2025.02.24 |
| 북한 해킹 조직의 Dropbox 및 PowerShell 스크립트 악용 공격 분석 (0) | 2025.02.24 |
| BlackLock 랜섬웨어, Windows, VMware ESXi 및 Linux 환경 공격 (0) | 2025.02.24 |