随着远程办公和在线会议的普及,Zoom会议平台成为全球通信的重要工具。然而,正是这种便利也成为网络攻击者,特别是朝鲜支持的高级持续威胁组织(APT)滥用的渠道。近来安全研究人员发现,一支名为BlueNoroff的朝鲜黑客组织利用Zoom会议的技术特点和用户信任,成功入侵受害者系统,展开一系列复杂的网络攻击活动。BlueNoroff由朝鲜政府支持,长期专注于针对金融机构和加密货币领域的网络攻击,其目标和手法随着技术的演进不断升级。通过Zoom会议进行的攻击手法独具匠心,主要依赖社会工程学策略,精准地利用受害者对会议环境的信任和依赖。攻击开始于受害者被诱导加入一个虚假的Zoom会议,会议中常出现音频故障等技术问题,借此制造紧迫感和混乱,驱使受害者执行攻击者提供的恶意指令或安装伪装成修复工具的恶意软件。
典型案例之一涉及Ability AI的创始人Eugene Vyborov,他遭遇了伪造Zoom会议加深度伪造虚拟参与者的攻击。当其音频无法正常连接时,攻击者引导其访问虚假的Zoom帮助页面,并要求他运行终端命令。Vyborov敏锐地察觉异常,选择不配合,随后聊天记录被对方删除,攻击者消失。该事件生动体现了蓝盾(BlueNoroff)利用技术细节和心理因素相结合的社会工程攻击策略。另一例发生在加拿大一家在线赌博公司,受害员工在Zoom会议中遇到音频问题,参与者借机弹出多重警告消息,欺骗其运行伪装成“音频修复工具”的恶意脚本。该脚本下载并执行了后续程序,窃取登录凭证并植入信息窃取者及多功能恶意软件。
这些软件不仅帮助攻击者持久化控制,还窃取浏览器数据和用户钥匙串等敏感信息,导致信息泄露风险骤增。在密码货币领域的攻击尤其引人关注。六月初,一家加密货币基金会的员工接到邀请,加入包含该公司高管深度伪造视频的群组Zoom会议。技术故障被假装发生后,攻击者指引其下载伪造的Zoom扩展。感染后,该员工设备被多达八种恶意程序入侵,包括持久化工具、后门、键盘记录器和加密货币窃取工具等。这种复合型攻击展现了高级APT团伙如何结合精心设计的深度伪造技术与多阶段恶意软件感染手段,极大地提高了攻击成功率和隐蔽性。
通过监测,研究人员发现攻击中使用的伪造Zoom扩展所在的域名背后隐藏着超过200个可能用于类似攻击的域名,显示该攻击策略具有广泛的复制和持续性。攻击组织多次更换名称,例如CageyChameleon、Copernicium、Sapphire Sleet和Stardust Chollima,但行动模式高度一致,均集中于加密资产窃取及金融目标。该系列攻击揭示了远程会议平台安全环境的脆弱性。攻击者通过制造会议中的技术故障,利用用户焦虑和信任,诱导目标执行恶意代码,这种社会工程学攻击方式难以被传统安全防护系统识别。防范此类攻击需用户和组织提升意识,任何涉及远程命令执行的请求都应三思而后行。企业应加强远程工作安全培训,提醒员工警惕突然出现的技术问题及非官方指令。
建议在远程会议环境中限制或禁用执行本地命令或安装扩展插件,确保所有软件来源可信可靠,并优先使用多因素认证防止凭证被滥用。技术防御方面,配合先进的威胁检测系统和行为分析,实时监控异常网络流量及进程活动,可以早期发现潜在攻击行为。针对Zoom平台本身,官方也持续加强安全机制,包括增加会议身份验证强度与防止深度伪造参与者的验证技术。用户应保持平台和设备的最新补丁,避免使用非官方插件和链接。总结来看,BlueNoroff利用Zoom会议的攻击案例凸显出现代网络攻击的新兴趋势,即融合深度伪造技术与社会工程学,针对远程办公环境展开精准打击。面对日益复杂的威胁环境,个人和组织必须保持高度警觉,强化安全策略,同时依赖先进技术手段提升防御能力。
只有这样,才能有效抵御针对远程会议平台的恶意攻击,保障数字通信和资产安全,在数字化时代树立坚固的安全堡垒。
