Специалисты по кибербезопасности из Security Alliance (SEAL) и Trail of Bits обнаружили новую волну целенаправленных атак, в ходе которых северокорейская хакерская группа Elusive Comet использует малоизвестную функцию Remote Control в Zoom для компрометации систем жертв и хищения криптовалюты.
Механизм социальной инженерии
Злоумышленники реализуют многоэтапную схему атаки, начиная с рассылки фишинговых писем от имени венчурных инвесторов. Они создают фиктивную компанию Aureon Capital и приглашают потенциальных жертв принять участие в подкастах, маскируясь под ведущих, журналистов и представителей венчурных фондов. Для придания легитимности операции хакеры используют около тридцати поддельных аккаунтов в социальных сетях и несколько корпоративных сайтов.
Техническая реализация атаки
Ключевым элементом атаки является эксплуатация функции Remote Control в Zoom. После присоединения жертвы к видеоконференции, злоумышленники, использующие имя пользователя «Zoom», запрашивают удаленный доступ к системе. Особую опасность представляет то, что запрос выглядит как легитимное системное уведомление от самого приложения, что значительно повышает вероятность получения разрешения от неосторожного пользователя.
Последствия компрометации
После получения доступа к системе, вредоносное ПО Elusive Comet функционирует в двух режимах: как инфостилер для немедленного похищения данных и как RAT (троян удаленного доступа) для последующего доступа к системе. Основными целями злоумышленников являются данные браузерных сессий, информация из менеджеров паролей и seed-фразы криптовалютных кошельков. По данным SEAL, финансовые потери от подобных атак уже исчисляются миллионами долларов.
Меры защиты и рекомендации
Эксперты рекомендуют администраторам и пользователям Zoom предпринять следующие меры безопасности:
— Отключить функцию Remote Control на уровне учетной записи, группы или пользователя
— Заблокировать опцию общего доступа к буферу обмена
— Проявлять особую бдительность при получении запросов на удаленное управление
— Деактивировать пакет специальных возможностей Zoom при отсутствии необходимости в его использовании
Данный инцидент подчеркивает важность повышения осведомленности пользователей о потенциальных угрозах безопасности в популярных приложениях для видеоконференций. Организациям следует регулярно проводить обучение сотрудников по вопросам кибербезопасности и внедрять строгие политики использования программного обеспечения для удаленной работы.
