Експерти з кібербезпеки виявили масштабну кампанію цільових атак, організовану північнокорейським хакерським угрупованням Elusive Comet. Зловмисники використовують маловідому функцію Remote Control у популярній платформі відеоконференцій Zoom для отримання несанкціонованого доступу до систем жертв та викрадення криптовалютних активів.
Складна схема соціальної інженерії
Атака реалізується через багатоетапний процес соціальної інженерії. Хакери створили фіктивну інвестиційну компанію Aureon Capital та розгорнули масштабну інфраструктуру прикриття, що включає понад 30 фальшивих профілів у соціальних мережах та декілька професійно оформлених корпоративних веб-сайтів. Зловмисники надсилають цільові фішингові листи, маскуючись під венчурних інвесторів та запрошуючи потенційних жертв взяти участь у підкастах.
Технічні особливості експлуатації Zoom
Критичним елементом атаки є використання легітимної функції Remote Control платформи Zoom. Після приєднання жертви до відеоконференції, атакуючі, що використовують системне ім’я “Zoom”, надсилають запит на віддалений доступ до комп’ютера. Особливу небезпеку становить те, що такий запит візуально не відрізняється від стандартних системних повідомлень Zoom, що суттєво підвищує ймовірність його підтвердження користувачем.
Механізми компрометації та наслідки
Після отримання доступу зловмисне програмне забезпечення працює у двох режимах: як інфостілер для миттєвого викрадення конфіденційних даних та як RAT для забезпечення постійного доступу до системи. Основними цілями атакуючих є: дані браузерних сесій, облікові дані з менеджерів паролів та seed-фрази криптовалютних гаманців. За оцінками Security Alliance, фінансові збитки від цієї кампанії вже перевищили кілька мільйонів доларів.
Рекомендації щодо захисту
Для мінімізації ризиків експерти рекомендують:
– Деактивувати функцію Remote Control на рівні облікового запису
– Вимкнути можливість спільного використання буфера обміну
– Критично оцінювати будь-які запити на віддалений доступ
– Відключити пакет спеціальних можливостей Zoom за відсутності необхідності
Виявлена кампанія підкреслює критичну важливість постійного навчання персоналу основам кібербезпеки та впровадження суворих політик щодо використання засобів віддаленої комунікації. Організаціям необхідно регулярно проводити аудит налаштувань безпеки корпоративних додатків та оновлювати протоколи реагування на інциденти відповідно до нових векторів атак.
