防范ELUSIVE COMET Zoom远程控制攻击的技术实践

我们的遭遇经历

当我们的CEO收到参加"Bloomberg Crypto"节目的邀请时，他立即识别出这是精心设计的社会工程攻击。攻击者通过两个Twitter账号联系，拒绝使用电子邮件沟通，并引导至非官方的Calendly页面进行日程安排。

新发现的攻击指标(IoCs)

新增与ELUSIVE COMET攻击基础设施关联的账户：

• X: @KOanhHa
• X: @EditorStacy
• 邮箱: bloombergconferences[@]gmail.com
• Zoom会议链接: https://us06web[.]zoom[.]us/j/84525670750

Zoom远程控制功能解析

攻击者利用Zoom合法的远程控制功能：

1. 安排看似正常的商务会议
2. 在屏幕共享时请求远程控制权限
3. 将显示名改为"Zoom"伪装系统通知
4. 获得权限后安装恶意软件或窃取数据

攻击成功的关键因素

• 合法业务场景掩护
• 权限对话框未明确安全风险
• 用户习惯性点击"同意"
• 受害者注意力集中在业务对话

深度防御技术方案

终端防护配置

• CrowdStrike Falcon Complete启用24/7威胁狩猎
• 采用"Active"安全策略和云端ML防护
• 实时检测可疑进程行为

系统级防护措施

1
2
3

create_zoom_pppc_profile.bash  # 创建系统级PPPC配置文件
disable_zoom_accessibility.bash  # 每15分钟检查移除Zoom权限
uninstall_zoom.bash  # 每周彻底卸载Zoom

PPPC配置核心优势

• 系统级禁用Zoom辅助功能权限
• 适用于所有用户账户
• 通过代码签名精准定位官方Zoom应用
• 用户无法通过常规方式覆盖

TCC数据库动态监控

• 每15分钟扫描并重置已有权限
• 生成安全日志用于攻击检测
• 允许临时授权后自动清理

彻底移除方案

• 完全卸载Zoom客户端
• 清除所有残留组件和缓存
• 强制使用浏览器参会

扩展安全建议

1. 建立媒体采访标准化流程
2. 部署Material Security等邮件安全工具
3. 配置DMARC/SPF/DKIM邮件防护
4. 创建无责安全报告文化

构建弹性防御体系

通过组合技术控制(PPPC配置、TCC监控、应用卸载)与操作安全意识，组织可有效防御此类人机交互攻击。对于处理加密货币等敏感业务的环境，建议完全禁用Zoom远程控制功能。