HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国国内情报机构警告称，疑似国家支持的威胁行为者正通过 Signal 等即时通讯应用，针对高级别人士进行网络钓鱼攻击。 此类攻击结合社会工程学手段与通讯应用的合法功能，窃取德国及欧洲各国政客、军官、外交官和调查记者的相关数据。 该安全警示基于德国联邦宪法保卫局（BfV）与联邦信息安全办公室（BSI）搜集的情报编制。 两家机构通报称：“此次攻击行动的典型特征是，攻击者既未使用恶意软件，也未利用即时通讯服务的技术漏洞。” 警示内容显示，攻击者会直接联系目标对象，伪装成即时通讯应用的客服团队或客服聊天机器人。 “攻击目的是秘密获取受害者的一对一聊天记录、群组聊天记录以及通讯录信息。” 此类攻击分为两种模式：一种是完全劫持账号，另一种是将受害者账号与攻击者设备绑定，以监控聊天活动。 第一种攻击模式中，攻击者伪装成 Signal 客服，发送虚假安全警示以制造紧迫感。 随后诱骗目标泄露 Signal PIN 码或短信验证码，攻击者便可将该账号注册至自己控制的设备上。进而劫持账号并将受害者踢出账号。 攻击者通过私信伪装成 Signal 客服（来源：BSI） 第二种攻击模式中，攻击者通过合理的借口诱骗目标扫描二维码。攻击者滥用 Signal 合法的设备关联功能，该功能本用于将账号绑定至电脑、平板、手机等多台设备。 最终受害者账号会与攻击者控制的设备绑定，攻击者可悄无声息地获取聊天记录与通讯录信息。 用于绑定新设备的二维码（来源：BSI） 尽管 Signal 会在 “设置> 关联设备” 中列出所有绑定账号的设备，但用户极少核查该列表。 此类攻击已在 Signal 平台被观测到，警示公告同时提醒，WhatsApp 也具备类似功能，可能被以相同方式滥用。 去年，谷歌威胁研究人员通报称，俄罗斯国家背景的威胁组织（如沙虫组织）已使用二维码绑定攻击技术。 乌克兰计算机应急响应小组（CERT-UA）也将类似的 WhatsApp 账号攻击事件归咎于俄罗斯黑客。 但此后包括网络犯罪分子在内的多个威胁组织，已在如“GhostPairing”等攻击行动中采用该技术劫持账号，实施诈骗活动。 德国当局建议用户切勿回复自称客服账号发来的 Signal 消息，因该通讯平台不会主动直接联系用户。 建议收到此类消息的用户直接屏蔽并举报相关账号。 作为额外安全防护措施，Signal 用户可在 “设置> 账号” 中开启 “注册锁定” 功能。该功能开启后，任何尝试使用用户手机号注册 Signal 的操作，均需输入用户自行设置的 PIN 码。 没有PIN码，在另一台设备上注册Signal账户将失败。因该验证码是注册必需信息，丢失 PIN 码可能导致用户无法登录自身账号。 同时强烈建议用户定期在 “设置> 关联设备” 中核查 Signal 账号的绑定设备列表，移除未知设备。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织APT28正利用Signal聊天软件针对乌克兰政府目标发起攻击，部署两种此前未公开的恶意软件家族BeardShell和SlimAgent。需明确的是，这并非Signal自身的安全漏洞，而是因全球政府广泛使用该平台，攻击者将其作为钓鱼攻击的新渠道。 乌克兰计算机应急响应小组（CERT-UA）最早于2024年3月发现此类攻击，但当时未能完全揭示感染途径细节。2025年5月，ESET向CERT-UA通报某gov.ua政府邮箱账户遭未授权访问，触发新一轮事件响应。调查发现，攻击者通过Signal发送恶意文档（Акт.doc），该文档利用宏功能加载名为Covenant的内存驻留后门。 Covenant作为恶意软件加载器，会下载DLL文件（PlaySndSrv.dll）和携带shellcode的WAV音频（sample-03.wav），进而加载用C++编写的BeardShell恶意软件。攻击者通过劫持Windows注册表的COM组件实现持久化控制。BeardShell的核心功能包括： 下载PowerShell脚本 使用chacha20-poly1305算法解密脚本 执行脚本并将结果回传至命令控制（C2）服务器（通过Icedrive API实现通信） 在2024年的攻击中还发现名为SlimAgent的屏幕截图工具，该工具调用Windows API（包括EnumDisplayMonitors、CreateCompatibleDC等）截取屏幕，使用AES和RSA加密图像后暂存本地，疑似等待其他载荷将其回传至APT28服务器。 CERT-UA将此活动归因于APT28（内部追踪代号UAC-0001），建议潜在目标监控与app.koofr.net、api.icedrive.net的网络交互。该组织长期针对乌克兰及欧美关键机构实施网络间谍活动，具有高度技术能力——2024年11月Volexity曾曝光其利用“最近邻”技术通过附近Wi-Fi网络实施远程入侵。 2025年Signal频成俄乌网络战焦点：攻击者滥用“设备关联”功能劫持账户，利用该平台分发Dark Crystal RAT等恶意软件。 乌克兰政府曾表示失望，称Signal未配合阻断俄罗斯攻击行动。但Signal总裁梅雷迪思·惠特克回应称，平台从未向乌克兰或其他政府提供用户通信数据。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密通讯应用Signal于上周五推出全新“屏幕安全”功能，默认阻止Windows 11系统对聊天窗口进行任何形式的截图操作，此举被视为对微软Windows Recall屏幕记录技术的直接反击。该功能启用后，无论是用户手动截屏还是系统自动抓取，Signal聊天界面将仅显示空白画面，关闭此防护需深入设置界面并手动忽略醒目警告。 Signal首席开发工程师约书亚·伦德在声明中指出：“尽管微软迫于舆论压力对Recall进行安全强化，但该功能仍使Signal等隐私优先应用的屏幕内容暴露于风险中。我们别无选择，只能采取主动防御。”微软此前推迟Recall功能的发布，新增存在性证明加密、防篡改机制，并将截图数据存储于操作系统外的安全飞地，但Signal认为这些改进仍存重大设计缺陷。 争议核心在于Recall作为Windows AI核心功能，每五秒自动截取屏幕内容构建可搜索记忆库。伦德批评微软未向开发者提供应用级防护接口是“明显疏漏”，迫使Signal采取非常规手段：“隐私应用理应获得与浏览器无痕模式同等的系统级保护，但微软仅默认豁免了后者。”目前微软尚未对此置评。 此次对抗凸显AI时代操作系统与应用程序的权限博弈。Signal警告称，具备“广泛权限、脆弱安全机制与数据饥渴症”的AI代理正在打破应用与操作系统间的“血脑屏障”，威胁所有隐私保护类应用的生存基础。技术观察人士指出，这场攻防战或将重塑操作系统生态的权力边界，推动行业建立更精细的隐私权限管理体系。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）发出警告，称有人利用被攻破的 Signal 账户发送恶意软件，对国防工业企业的员工及该国军队成员实施高度定向攻击。 公告称，此类攻击自本月起开始出现，攻击者通过 Signal 发送伪装成会议报告的档案。 由于部分消息来自目标熟悉的现有着，他们打开档案的可能性更高。 档案中包含一个 PDF 文件和一个可执行文件，前者作为诱饵引诱受害者打开，进而触发后者的启动。 可执行文件被归类为 DarkTortilla 加密程序/加载程序，启动后会解密并执行远程访问木马 Dark Crystal RAT（DCRAT）。 攻击概览 来源：CERT-UA CERT-UA 表示，此类活动已被追踪为 UAC-0200，这是一个自 2024 年 6 月以来一直利用 Signal 进行类似攻击的威胁集群。 然而，在最近的攻击中，钓鱼诱饵已更新，以反映乌克兰当前的重要话题，尤其是与军事领域相关的内容。 “自 2025 年 2 月起，诱饵信息的重点已转向无人机、电子战系统和其他军事技术相关话题，”CERT-UA 在其最新公告中解释道。 2025 年 2 月，谷歌威胁情报小组（GTIG）报告称，俄罗斯黑客滥用 Signal 的合法 “已链接设备” 功能，以获取对感兴趣账户的未授权访问权限。 自认为可能是间谍活动和定向钓鱼攻击目标的 Signal 用户，应关闭附件的自动下载功能，并对所有消息保持警惕，尤其是包含文件的消息。 此外，建议定期检查 Signal 上的已链接设备列表，以避免成为攻击的代理。 最后，Signal 用户应将所有平台上的消息传递应用程序更新至最新版本，并启用双因素认证，以增加账户保护。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文