Elusive Comet」と名付けられたハッキング・グループが、Zoomのリモート・コントロール機能を悪用したソーシャル・エンジニアリング攻撃で暗号通貨ユーザーを標的にし、ユーザーを騙してマシンへのアクセスを許可させている。
Zoomのリモートコントロール機能は、会議参加者が他の参加者のコンピュータを操作することを可能にする。
このソーシャル・エンジニアリング・キャンペーンに遭遇したサイバーセキュリティ会社Trail of Bitsによると、犯人は、15億ドルの巨額なBybit暗号強奪事件でLazarusハッキング・グループが使用したテクニックを模倣しているという。
「ELUSIVE COMETの手法は、2月に行われた15億ドルのBybitハッキングの背後にあるテクニックを反映したもので、攻撃者はコードの脆弱性を悪用するのではなく、正当なワークフローを操作した」とTrail of Bitsのレポートは説明している。
ズーム・ベースのインタビュー・スキーム
Trail of Bitsは、この新たなキャンペーンについて、脅威行為者がXのダイレクトメッセージを通じてCEOにソーシャル・エンジニアリング攻撃を試みた後に知った。
この攻撃は、Zoomを介した「Bloomberg Crypto」インタビューへの招待から始まり、X上の偽のパペットアカウント、または電子メール(bloombergconferences[@]gmail.com)を介して、価値の高いターゲットに送信されます。
偽アカウントは、暗号に特化したジャーナリストやブルームバーグ・アウトレットになりすまし、ソーシャルメディア・プラットフォーム上のダイレクト・メッセージを通じてターゲットに接触します。
ソースはこちら:トレイル・オブ・ビット
招待状は、ZoomミーティングをスケジュールするためのCalendlyリンクを通じて送信される。CalendlyとZoomの招待状/リンクの両方が本物であるため、期待通りに機能し、ターゲットの疑念を低下させる。
ソースはこちら:トレイル・オブ・ビット
Zoom通話中、攻撃者は画面共有セッションを開始し、ターゲットにリモートコントロール要求を送信する。
この段階で使用されるトリックは、攻撃者がZoomの表示名を「Zoom」に変更することで、被害者が目にするプロンプトには「Zoom is requesting remote control of your screen」と表示され、アプリからの正当なリクエストのように見せかけるというものです。
ソースはこちら:ビットの軌跡
しかし、このリクエストを承認すると、攻撃者は被害者のシステムを完全にリモートで入力制御できるようになり、機密データを盗んだり、マルウェアをインストールしたり、ファイルにアクセスしたり、暗号トランザクションを開始したりできるようになります。
攻撃者は、後で悪用されたり切断されたりするために、ステルス性のあるバックドアを埋め込むことによって、持続的なアクセスを確立するために迅速に行動する可能性があり、被害者が侵害に気づくチャンスはほとんどありません。
「この攻撃が特に危険なのは、許可ダイアログが他の無害なZoomの通知と似ていることだ」とTrail of Bitsは言う。
“Zoomのプロンプトで “承認 “をクリックすることに慣れているユーザーは、その意味を理解することなく、コンピュータの完全な制御を許可してしまうかもしれない。
この脅威から身を守るため、Trail of Bits社は、このツール群を使用することで可能となる、アクセシビリティへのアクセスを防止するプライバシー設定ポリシー制御(PPPC)プロファイルをシステム全体に導入することを提案している。
同社は、セキュリティ・クリティカルな環境や貴重なデジタル資産を扱う組織に対しては、すべてのシステムからZoomを完全に削除することを推奨している。
「特に機密性の高いデータや暗号通貨取引を扱う組織の場合、Zoomクライアントを完全に削除することによるリスク低減は、ブラウザベースの代替ツールを使用することによる些細な不便さを上回ることが多い」とTrail of Bitsは説明している。
Comments