Penggodam Korea Utara Mengeksploitasi Ciri Zum untuk Mencuri Berjuta-juta dalam Matawang Kripto
Kempen jenayah siber baharu dan mengganggu menyasarkan peniaga dan pelabur mata wang kripto, menggunakan platform persidangan video Zoom yang biasa sebagai vektor serangan. Laporan daripada Perikatan Keselamatan (SEAL) bukan untung dan firma keselamatan siber Trail of Bits telah mendedahkan operasi licik yang didalangi oleh penggodam Korea Utara, yang terkenal dengan serangan tanpa henti mereka terhadap sektor kripto. Kempen ini, yang digelar "Elusive Comet," mendedahkan betapa canggihnya ancaman kejuruteraan sosial—dan cara alat perniagaan harian boleh menjadi senjata di tangan yang salah.
Isi kandungan
Umpan Phishing Menyamar sebagai Peluang Perniagaan
Pendekatan penyerang adalah meyakinkan dan halus. Menyamar sebagai pemodal teroka atau hos podcast, penggodam ini mula-mula menjangkau dengan apa yang kelihatan sebagai cadangan perniagaan yang sah. Mangsa sering dihubungi melalui pautan Calendly, menjemput mereka untuk menjadualkan mesyuarat Zoom untuk membincangkan pelaburan yang sepatutnya atau penampilan podcast. Komunikasi awal direka bentuk untuk muncul sebagai peluang dan bukannya ancaman, merendahkan pertahanan sasaran dan membina rasa tergesa-gesa dengan menangguhkan butiran mesyuarat sehingga saat akhir.
Sebaik sahaja mangsa menyertai panggilan Zoom yang dijadualkan, penyerang bergerak. Mereka meminta mangsa berkongsi skrin mereka—pertanyaan biasa dalam perbincangan perniagaan. Tetapi kemudian, memanfaatkan ciri Kawalan Jauh Zoom, penggodam meminta kawalan ke atas komputer mangsa. Pusingan yang mengelirukan menjadikan permintaan ini lebih berbahaya: penyerang menukar nama paparan Zum mereka kepada "Zum", menyamarkan dialog kebenaran supaya kelihatan seperti pemberitahuan sistem standard yang tidak berbahaya.
Satu Klik untuk Jumlah Kompromi
Satu klik ini boleh menyerahkan kawalan penuh tetikus dan papan kekunci mangsa. Penyerang dengan cepat menggunakan perisian hasad infostealer atau trojan akses jauh (RAT) yang mencari mesin untuk sesi penyemak imbas, kata laluan yang disimpan, frasa benih dompet crypto dan maklumat sensitif lain. Log SEAL mengaitkan "berjuta-juta dolar" dalam dana yang dicuri dengan taktik ini, dengan menyatakan bahawa penjenayah bergantung pada rangkaian profil media sosial palsu dan laman web yang digilap untuk memberikan kredibiliti kepada muslihat mereka.
Trail of Bits mengalami serangan secara langsung. Ketua Pegawai Eksekutif firma itu menerima mesej daripada profil X (dahulunya Twitter) yang mendakwa sebagai pengeluar Bloomberg, mendesak keras untuk temu bual Zoom saat akhir mengenai mata wang kripto. Apabila diteliti lebih dekat, pautan mesyuarat Zoom membawa kepada akaun gred pengguna, bukan akaun korporat yang sah. Penyerang secara konsisten enggan berkomunikasi melalui e-mel, mendesak Zoom, di mana mereka boleh melancarkan eksploitasi mereka.
Ciri Cacat Menjadikan Vektor Serangan
Punca serangan adalah ciri Kawalan Jauh Zoom, yang direka untuk kerja kolaboratif tetapi boleh disalahgunakan jika pengguna tidak berwaspada. Walaupun hos boleh melumpuhkan fungsi ini pada peringkat akaun, kumpulan atau pengguna, ia selalunya dibiarkan hidup secara lalai dalam tetapan korporat. Dialog kebenaran tidak mempunyai sebarang tanda pembezaan untuk menunjukkan permintaan pihak ketiga, menjadikannya mudah untuk pengguna terpedaya dengan gesaan yang kelihatan seperti rutin.
Trail of Bits memberi amaran bahawa jenis serangan ini amat berkesan kerana ia bergantung pada tingkah laku manusia, bukan pepijat perisian. Ramai profesional sudah terbiasa dengan cepat meluluskan pemberitahuan Zum, dan penyerang mengeksploitasi kebiasaan ini untuk memintas bahkan pertahanan pengguna yang berpengalaman. Firma itu menarik garis langsung dari kempen ini kepada insiden berprofil tinggi baru-baru ini, seperti penggodaman Bybit $1.5 bilion, yang juga bergantung pada memanipulasi aliran kerja yang sah daripada mengeksploitasi kelemahan kod.
Melindungi Terhadap Ancaman Komet Yang Sukar
Implikasi yang lebih luas membimbangkan: apabila industri blockchain semakin matang, penyerang mengalihkan tumpuan mereka daripada eksploitasi teknikal kepada kelemahan manusia. Keselamatan operasi—melindungi proses dan keputusan pengguna—telah menjadi sama pentingnya dengan mempertahankan daripada kelemahan perisian.
Sebagai tindak balas, Trail of Bits telah mengambil langkah yang tegas, melumpuhkan keupayaan kawalan jauh Zoom dan menyekat kebenaran kebolehaksesan yang memungkinkan serangan sedemikian, tanpa mengganggu penggunaan persidangan video biasa. Mereka menggesa organisasi dan individu dalam sektor kripto untuk melakukan perkara yang sama, menyemak tetapan Zum mereka dan mendidik pengguna tentang bahaya menerima permintaan perkongsian skrin dan alat kawalan jauh secara membuta tuli.
Dengan berjuta-juta sudah hilang dan penyerang terus memperhalusi kaedah mereka, mesejnya jelas: jangan sekali-kali menganggap alat persidangan video sebagai bebas risiko. Jika anda berdagang, melabur atau bekerja dalam industri kripto, fikir dua kali sebelum menerima permintaan mesyuarat yang tidak dijangka—dan jangan sekali-kali meluluskan gesaan alat kawalan jauh tanpa kepastian mutlak kesahihannya. Ancaman mungkin kelihatan seperti perniagaan seperti biasa, tetapi pertaruhannya tidak pernah lebih tinggi.