Мошенники маскируют бэкдор под Zoom-встречу: легитимные сервисы становятся оружием кибератак

information security

В последние месяцы специалисты по информационной безопасности фиксируют тревожную тенденцию: злоумышленники всё чаще используют официальные коммерческие инструменты для проникновения в корпоративные сети. Новая кампания, построенная на имитации хорошо знакомых брендов, наглядно демонстрирует, как доверие пользователя и легитимность программного обеспечения становятся слабым звеном защиты.

Описание

Исследователи обнаружили активную атаку, в которой приманкой служит приглашение на конференцию в Zoom. Жертве демонстрируют экран, имитирующий ожидание в комнате встречи, где якобы уже присутствуют три участника. Затем появляется сообщение, что клиент Zoom устарел, и пользователю предлагают обновить его через Microsoft Store. После нажатия кнопки "Установить" на компьютер загружается не Zoom, а файл ZoomWorkplacesSetup.exe. Однако на самом деле это установщик Zoho Assist - легитимной программы для удалённого управления устройствами, работающей в режиме unattended (без присутствия человека).

Особенность Zoho Assist Unattended Agent в том, что после установки он позволяет злоумышленнику подключаться к компьютеру в любое время, даже когда пользователь за ним не сидит. Это полноценный бэкдор, но при этом он не считается вредоносным ПО, поскольку использует официальный цифровой сертификат и подписан разработчиком. Подобная тактика позволяет обходить сигнатурные методы обнаружения: антивирусы видят знакомую программу и не блокируют её.

При анализе конфигурации агента выяснилось, что он привязан к учётной записи на почту info@ceda-rock.com. Именно с этим доменом, как сообщили исследователи, злоумышленники провели операцию подмены бренда. Домен ceda-rock.com был зарегистрирован всего за девять дней до атаки. Он очень похож на реально существующий сайт cedarock.com - американской компании, занимающейся производством гранита. На подставном сайте мошенники разместили копию страницы и даже ссылку на профиль в LinkedIn, чтобы придать себе вес при регистрации в Zoho. Таким образом атакующие создали видимость легитимной организации, получили учётную запись на коммерческом сервисе и развернули агент удалённого доступа.

Почему такая атака проходит незамеченной? Дело в эффекте "наложения брендов". Сначала жертва видит знакомый интерфейс Zoom, затем доверяет Microsoft Store, а в конце попадает в экосистему Zoho. Каждый шаг снижает бдительность. Злоумышленник не использует вредоносный код, он лишь злоупотребляет возможностями легального ПО. После установки агента оператор получает полный контроль над экраном, может просматривать файлы, воровать учётные данные и перемещаться по сети.

Для защиты специалисты рекомендуют несколько мер. Во-первых, блокировать установку приложений из внешних источников, особенно если они запрашивают права на удалённый доступ. Во-вторых, внедрять строгие списки разрешённых программ. В-третьих, обучать сотрудников распознавать сценарии социальной инженерии, связанные с устаревшим программным обеспечением. Но самое важное - мониторинг внешних угроз, связанных с подделкой доменов вашей компании. Если злоумышленники зарегистрировали похожий домен и используют его для атаки, то без внешнего мониторинга вы можете не узнать об этом до тех пор, пока ущерб не станет очевидным.

Подобные инциденты становятся всё более распространёнными. Ранее эксперты описывали случаи применения ScreenConnect и ConnectWise в кампаниях, замаскированных под уведомления государственных органов. Коммерческие инструменты удалённого администрирования не считаются опасными, поэтому их трафик редко блокируют межсетевые экраны. Однако, как показывает практика, именно эта "белая" природа делает их наиболее эффективным оружием в руках злоумышленников. Защита сегодня требует не только внутренних контролей, но и постоянного анализа того, как ваш бренд используется в фишинговых схемах и как новые домены могут имитировать вашу репутацию.

Вывод прост: доверие пользователя к знакомым названиям - самый ценный ресурс для мошенников. И пока компании не начнут активно отслеживать появление подставных ресурсов, любая легитимная платформа может стать входной дверью для атакующего.

Индикаторы компрометации

Domains

  • ceda-rock.com

URLs

  • zm-usmeeting9.s3.us-east-2.amazonaws.com/zoom.us-pwd=Q7wE4r4tp7/index.html

MD5

  • 4207272b05d5cd9a0736daccbe9b8c65

SHA1

  • 1f5d4574b956dfcf9c7d4c2d85c42cdb5a042fd6

SHA256

  • 96d17638013a8d1d2029c5ecc97a0c583039f243e88afb7a6f3adc8b30c0061c

Комментарии: 0