缓解ELUSIVE COMET Zoom远程控制攻击 - Trail of Bits博客

Trail of Bits博客
2025年4月17日
攻击、漏洞利用、应用安全、操作安全

内容目录

• 我们与ELUSIVE COMET的遭遇
• 新的ELUSIVE COMET IoCs
• 理解Zoom的远程控制功能
• 为何此攻击能成功（即使对安全专业人员）
• Trail of Bits的防御态势
• 分层防御方法
• 使用PPPC配置文件的系统级防护
• 通过TCC数据库监控进行主动防御
• 通过卸载Zoom实现最大保护
• 额外安全建议
• 构建针对人为中心攻击的弹性安全

当我们的CEO收到参加“Bloomberg Crypto”节目的邀请时，他立即识别出这是一场复杂的社会工程学攻击的典型特征。这个看似合法的媒体机会，实际上是ELUSIVE COMET的最新行动——该威胁行为者通过精心构建的社会工程学攻击，窃取了数百万美元的加密货币。

本文详细介绍了我们与ELUSIVE COMET的遭遇，解释了其针对Zoom远程控制功能的攻击方法，并提供了组织可以实施的具体防御措施。

我们与ELUSIVE COMET的遭遇

两个独立的Twitter账户联系我们的CEO，邀请其参加“Bloomberg Crypto”系列节目——这一情景立即触发了警报。攻击者拒绝通过电子邮件沟通，并通过明显非官方Bloomberg属性的Calendly页面安排日程。这些操作异常（而非技术指标）揭示了攻击的本质。

ELUSIVE COMET的方法论反映了2月份15亿美元Bybit黑客事件背后的技术，攻击者操纵合法工作流程而非利用代码漏洞。这强化了我们的观点：区块链行业已进入操作安全失败的时代，人为中心攻击比技术漏洞带来更大风险。

新的ELUSIVE COMET IoCs

除了SEAL咨询中先前发布的IoCs外，我们还识别了与该威胁行为者基础设施相关的新账户：

• X: @KOanhHa
• X: @EditorStacy
• 电子邮件: bloombergconferences[@]gmail.com
• Zoom URL: https://us06web[.]zoom[.]us/j/84525670750
• Calendly URL: calendly[.]com/bloombergseries
• Calendly URL: calendly[.]com/cryptobloomberg

组织应更新监控系统和阻止列表以包含这些新指标。

理解Zoom的远程控制功能

ELUSIVE COMET的主要攻击向量利用Zoom的远程控制功能——这是一个允许会议参与者在获得许可后控制另一用户计算机的合法功能。当参与者请求远程控制时，对话框仅显示“$PARTICIPANT正在请求远程控制您的屏幕”。

攻击通过简单而有效的社交工程技巧利用此功能：

1. 攻击者安排看似合法的业务通话
2. 在屏幕共享期间，他们请求远程控制访问
3. 他们将显示名称改为“Zoom”，使请求看起来像系统通知
4. 如果获得访问权限，他们可以安装恶意软件、窃取数据或进行加密货币盗窃

此攻击特别危险之处在于权限对话框与其他无害Zoom通知的相似性。习惯于点击Zoom提示中“批准”的用户可能在未意识到后果的情况下授予对其计算机的完全控制。

为何此攻击能成功（即使对安全专业人员）

ELUSIVE COMET活动通过复杂的社会证明、时间压力和界面操纵组合成功利用正常业务工作流程：

• 合法上下文：攻击发生在看似正常的业务交互过程中
• 界面模糊性：权限对话框未清晰传达安全影响
• 习惯利用：习惯于批准Zoom提示的用户可能自动操作
• 注意力分散：受害者专注于专业对话而非安全分析

这种方法针对操作安全边界而非技术漏洞。

Trail of Bits的防御态势

我们与ELUSIVE COMET的遭遇强化了我们对深度防御策略的信念，该策略同时解决技术和操作安全领域：

端点保护：配置为“主动”安全态势的CrowdStrike Falcon Complete，具有积极的云和基于传感器的ML预防设置。此配置能够实时行为检测可疑进程活动——特别是未经授权尝试访问系统辅助功能——即使恶意软件先前未知或无文件。

操作系统安全：强制公司范围内升级到最新主要macOS版本。Apple通过每个主要OS发布持续缩小攻击面，引入缓解漏洞类而非仅修补单个错误的功能。

认证强化：所有Google Workspace账户强制安全密钥认证。每位员工在入职时收到YubiKey，零例外允许较弱认证方法（TOTP、SMS等）。

密码管理：公司范围内部署1Password，为所有员工预安装浏览器扩展。扩展的域匹配逻辑防止在不匹配域上自动填充凭据（例如g00gle.com与google.com）。

通信平台选择：主要使用Google Meet而非Zoom，因其基于浏览器的安全模型。基于浏览器的通信工具继承浏览器自身的安全模型，限制对系统资源的访问。

限制性应用控制：当需要Zoom时，它被包装额外安全控制并定期从系统中移除。通过威胁情报和我们自己的安全研究，我们识别在攻击中经常被滥用的高风险应用。

最重要的是，我们的安全团队已将Zoom远程控制功能识别为不必要的风险，并部署技术控制以防止其在我们的系统上运行。通过专门针对启用远程控制的辅助功能权限，我们关闭了ELUSIVE COMET利用的攻击向量，而不中断合法视频会议功能。

分层防御方法

为保护组织免受此攻击向量影响，我们建议使用我们的工具实施多层保护：

ELUSIVE COMET缓解工具索引

使用PPPC配置文件的系统级防护

隐私偏好策略控制（PPPC）配置文件通过防止Zoom在macOS系统级请求或接收辅助功能权限提供最强保护。这直接解决了漏洞，因为Zoom的远程控制功能需要辅助功能权限才能运行——没有这些权限，远程控制能力完全禁用，中和ELUSIVE COMET的主要攻击向量。

PPPC配置文件提供多个安全优势：

• 应用于系统上所有用户，包括新用户账户
• 安装后普通用户无法移除
• 强制执行组织安全控制，无论用户偏好
• 使用代码签名验证专门针对官方Zoom应用

配置文件通过在系统级明确拒绝Zoom辅助功能权限工作，创建用户无法通过正常方式覆盖的权限边界。此方法特别有效，因为它不依赖用户警惕性或培训——它只是使易受攻击功能在技术上无法启用。

当组织范围内部署时，这些配置文件确保即使用户在高风险业务对话中承受压力时也能保持一致保护。通过专门关注移除远程控制功能所需的辅助功能权限，此保护不干扰合法Zoom视频会议功能，同时仍防止ELUSIVE COMET利用的特定攻击向量。

通过TCC数据库监控进行主动防御

虽然PPPC配置文件为新权限请求提供主动保护，但它们不自动撤销用户已授予Zoom的权限。这就是主动TCC数据库监控变得关键的地方——它作为“权限重置”机制，持续清理可能被利用的现有辅助功能授权。

disable_zoom_accessibility.bash脚本通过直接与macOS的透明、同意和控制（TCC）框架接口方法性地：

• 检测授予Zoom的现有辅助功能权限
• 重置这些权限，无论何时或如何授予
• 通过日志记录创建安全遥测以检测潜在攻击尝试

此方法提供超越PPPC配置文件单独提供的独特安全优势：

• 移除在安全态势强化前授予的权限
• 确保即使先前授权Zoom的用户也无法被利用
• 每15分钟运行时，创建持续验证不存在任何权限
• 某些组织可能偏好要求用户为合法用例明确重新授权远程访问，然后自动移除权限

对于具有多样化用户群体的安全团队，这代表务实的中间立场。脚本允许临时、有意识地使用功能，同时防止可能在用途之间被利用的持久访问，而非完全阻止远程控制功能（可能偶尔必要）。

当权限移除事件在正常操作期间出现在日志中时，这是强烈指示用户正尝试合法使用远程控制功能（需要调查和潜在教育）或攻击尝试正在进行。此可见性创建有价值的安全遥测，帮助在成功前识别策略违规和潜在攻击尝试。

通过卸载Zoom实现最大保护

对于高安全环境或处理加密货币的组织，最直接的方法是完全从系统中移除Zoom。此消除策略基于简单原则：未安装的软件无法被利用。对于处理特别敏感数据或加密货币交易的组织，通过完全消除Zoom客户端减少的风险通常超过使用基于浏览器替代方案的轻微不便：

• 移除ELUSIVE COMET依赖的应用
• 确保无剩余组件可能在攻击中被利用
• 移除所有潜在持久机制包括偏好和缓存数据
• 保证用户不能意外暴露自己于此风险

当结合鼓励基于浏览器会议参与的策略时，使用uninstall_zoom.bash清除Zoom提供对抗ELUSIVE COMET攻击方法的最强保护。

额外安全建议

除了特定Zoom缓解措施外，我们推荐这些额外防御措施：

培训用户识别视频通话中的社会工程学策略：虽然这主要是Zoom权限模型的技术问题，用户意识仍然重要。培训员工识别视频通话中不寻常的权限请求——特别是请求系统控制的那些。

跨通信渠道实施全面IoCs监控：部署如Material Security或Sublime Security的电子邮件安全工具，使能够搜索整个组织以查找来自已知威胁行为者的通信。

**为媒体露面和外