Trail of Bitsのリサーチャーによると、あるソーシャルエンジニアリングキャンペーンがZoomのリモート操作機能を悪用し、被害者のコンピュータを遠隔操作してマルウェアをインストールしていたことが確認されました。
この攻撃はTrail of BitsのCEOを標的にしており、CEOは不審な点に気付き被害を免れました。リサーチャーは、この攻撃の背後にいるのは ”ELUSIVE COMET” と呼ばれる脅威アクターであるとしています。
リサーチャーは次のように説明しています。「2つのXアカウントから、当社のCEOに対して ”Bloomberg Crypto”シリーズへの出演依頼が届きましたが、この時点で明らかに怪しいと感じました。攻撃者はメールでのやりとりを拒否し、Bloombergとは明らかに無関係なCalendlyページでのスケジュール調整を求めてきました。技術に対してではなく、その一連の依頼方法に対する違和感が、今回の攻撃を見抜くカギでした。ELUSIVE COMETの手口は、2025年2月に発生した15億ドル規模のBybitへのハッキングと酷似しています。これらのキャンペーンはコードの脆弱性を利用するのではなく、正規の業務フローを逆手に取るアプローチが特徴です。」
Zoomミーティングに参加した被害者に対して、攻撃者はコンピュータのリモート操作を求めます。また、攻撃者が自身の表示名を「Zoom」に変更することで、まるでアプリケーションからのシステム通知のように見せかけています。
リサーチャーは、攻撃の流れを以下のように説明しています。
-
攻撃者が正規のビジネス会議を装ってZoomミーティングを設定する
-
画面共有中に、リモート操作の許可を求める
-
表示名を「Zoom」に変更し、システム通知のように装う
-
許可されれば、マルウェアのインストール、データの窃取、暗号資産の不正送金などが可能になる
今回の攻撃ではZoomが使われましたが、同じことは他のリモート会議ツールでもできます。したがって、セキュリティ意識向上トレーニングを通じて、こうしたソーシャルエンジニアリング攻撃の兆候を従業員が見抜けるようにすることが重要です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Trail of Bitsの記事を参照してください。
原典:Stu Sjouwerman著 2025年4月25日発信 https://blog.knowbe4.com/social-engineering-campaign-abuses-zoom-to-install-malware