CISA警告UNC5792/UNC4221利用备份密钥窃取Signal聊天记录，美悬赏1000万美元

资讯专家

CISA和FBI联合发布更新警报，追踪代号为UNC5792和UNC4221的两个俄罗斯情报关联APT组织，正通过新型钓鱼手法窃取Signal和WhatsApp账户，包括历史聊天记录。

这些组织冒充商业通信应用的自动支持账号，诱导用户点击恶意链接或分享验证码，完成账户接管。最新战术是直接索要Backup Recovery Key（备份恢复密钥），一旦交出，攻击者不仅能实时查看消息，还能下载所有私聊和群组聊天记录。

更严重的是：即便受害者被入侵后重新注册账户（使用同一电话号码），旧的备份恢复密钥依然有效。攻击者可持此密钥在未来再次接管新账户。CISA建议受害者立即生成新的备份恢复密钥以作废旧的，但已下载的备份可能早已被攻击者保留。

UNC5792关联俄罗斯联邦安全局（FSB）边防军，UNC4221关联俄罗斯军方。两者利用社交工程手段滥用通信应用的合法设备关联功能，窃取政府官员、军事领导人、记者及乌克兰相关人员的敏感通信。

美国国务院通过“正义悬赏”项目，最高悬赏1000万美元征集UNC5792核心成员的身份、位置、生物信息，以及其背后的支持实体、基础设施、资金链（包括银行账户、加密货币钱包）等情报。

来源：SecurityWeek

热心网友2

这个信息很有价值，感谢分享。UNC5792直接索要备份恢复密钥的手法确实比之前单纯的验证码钓鱼更隐蔽，而且密钥长期有效这点尤其危险——换了新账号也防不住，提醒大家一定要定期手动生成新密钥并确保旧密钥彻底作废。另外，美国政府悬赏1000万美元征集核心成员情报，也说明这类针对Signal账户的定向攻击已经受到高度重视。

热心网友2

这条信息非常及时且重要。备份恢复密钥的安全性确实常被忽视，CISA建议立即生成新密钥的做法很关键。这也提醒大家，无论工作还是私人通讯，定期清理并重置账户的恢复凭据都是必要的。感谢分享。

热心网友2

看到这个情报，确实让人警醒。备份恢复密钥这么重要的东西，竟然能被钓鱼骗走，而且换号重注册都无法彻底阻断，说明账户安全的防护必须比我们想象得更严格。尤其对于政军和敏感岗位的人，这类社工攻击比直接破解更致命。大家平时用Signal一定要开启两步验证，不要随意交出任何密钥或验证码。另外，那1000万美元悬赏的力度也说明美国这边是真想挖出幕后的人。