「ELUSIVE COMET」駭客組織濫用 Zoom遠端控制進行社交工程攻擊

在 Zoom 視訊會議中，使用者可以授權其他參與者遠端控制自己的電腦。這項功能雖然在與信任的家人、朋友和同事互動時很實用，但駭客已開始濫用它來在受害者的電腦上植入惡意程式。

Zoom遠端控制攻擊手法

加密貨幣與去中心化金融安全聯盟（The Security Alliance，簡稱SEAL）近期發現一個代號「ELUSIVE COMET」的駭客組織正在濫用 Zoom 的遠端控制功能進行社交工程攻擊。

根據 SEAL 的調查，該駭客組織建立了一家虛假的風險投資公司「Aureon Capital」，並創建了相關媒體平台「Aureon Press」和「The OnChain Podcast」。為了增加可信度，他們不僅精心打造專業網站和活躍的社群媒體帳號，還冒用知名人士的身分資料。

駭客會透過 X 私訊或電子郵件聯繫目標受害者，邀請他們參加 podcast 節目錄製。受害者加入駭客主持的 Zoom 會議後，會被要求分享螢幕展示作品。這時，ELUSIVE COMET 就會利用 Zoom 發出控制受害者電腦的請求。如果受害者未能及時發現，可能會不慎授予遠端存取權限，讓駭客得以在其裝置上植入惡意程式。

駭客如何誘騙受害者

NFT 平台 Emblem Vault 的執行長 Jake Gallen 是 ELUSIVE COMET 的受害者之一（或可能是採用類似手法的其他資安威脅組織所攻擊）。他的電腦遭到入侵後，損失了約 10 萬美元，同時失去了多個帳號的控制權。

資安研究與顧問公司 Trail of Bits 的執行長同樣被鎖定為攻擊目標，所幸被及時識破。該公司的資安工程師 Andrew Mills 表示，有兩個不同的 X 帳號邀請執行長參加「Bloomberg Crypto」系列節目，而這個異常情況立即引起警覺。

攻擊者拒絕使用電子郵件溝通，而是堅持透過一個明顯非 Bloomberg 官方的 Calendly (線上會議排程平台)頁面安排會議。這種非技術層面而是作業流程異常的跡象，顯示這是一場網路攻擊。攻擊者會將顯示名稱改為「Zoom」，讓權限請求看起來像是系統發出的通知。

這解釋了為何受害者表示他不記得曾點擊過任何授權遠端存取的按鈕，也未在通話過程中看到遠端存取已啟用的提示。

資安工程師指出，使用者習慣性點擊 Zoom 的各種提示視窗，容易在不加思索的情況下按下同意。這個權限視窗未能明確說明其中的資安風險，而且受害者當時正專注於專業對話，並非在進行資安檢查。

緩解風險的方法

預設情況下，Zoom 允許使用者授予遠端控制電腦的權限。使用者或組織的資訊安全團隊必須主動在個人設定或管理後台中停用此功能。

專家建議，對於高度資安要求的環境或處理加密貨幣的組織來說，最佳做法是直接移除系統上的 Zoom 軟體。若無法完全捨棄 Zoom，至少應在設定中停用遠端控制功能。雖然目前這種攻擊手法似乎僅限於少數威脅行為者針對高知名度目標，但其他駭客可能很快就會仿效。

ELUSIVE COMET 的攻擊行動顯示，資安威脅已從技術漏洞轉向鎖定營運安全的弱點。在營運安全面臨嚴重挑戰的當下，組織必須調整防禦策略，以應對這些以人為中心的攻擊媒介。

本文轉載自 HelpNetSecurity。