CloudZリモート・アクセス・ツール(RAT)の新バージョンは、Microsoft Phone Link接続をハイジャックしてモバイル・デバイスから機密コードを盗む、Phenoと呼ばれるこれまでにない悪質なプラグインを展開している。
このマルウェアは、少なくとも1月から活動していた侵入で発見され、研究者は、脅威行為者の目的が認証情報と一時的なパスコードを盗むことであったと考えている。
Microsoft Phone Linkは、Windows 10および11にインストールされており、コンピュータを使って電話をかけたり受けたり、テキストに返信したり、モバイルデバイス(AndroidおよびiOS)で受信した通知を表示したりすることができる。
このアプリケーションを活用することで、脅威者はデバイスを危険にさらすことなく、ターゲットの携帯電話に配信されるセンシティブなメッセージを傍受することができる。
Cisco Talosの研究者は、PhenoがアクティブなPhone Linkセッションを監視し、SMSやワンタイムパスワード(OTP)を含む可能性のあるローカルのSQLiteデータベースにアクセスすることを、本日のレポートで述べています。
これにより、攻撃者はモバイルデバイスを所有することなく、機密情報にアクセスできるようになります。
「被害者のマシン上で Phone Link のアクティビティが確認されると、CloudZ RAT を使用する攻撃者は、被害者のマシン上で Phone Link アプリケーションの SQLite データベースファイルを傍受し、SMS ベースの OTP メッセージやその他の認証アプリケーションの通知メッセージを危険にさらす可能性があります」とCisco Talos は述べています。
出典:Cisco Talos:Cisco Talos
Phenoプラグインに含まれる機能に加えて、CloudZはウェブブラウザに保存されたデータ、ホストシステムのプロファイル、および以下のコマンドの実行をターゲットにすることができます:
- ファイル管理操作(削除、ダウンロード、書き込み)
- シェルコマンドの実行
- 画面録画の開始
- プラグイン管理(ロード、削除、ディスクへの保存)
- RATプロセスの終了
Ciscoの報告によると、CloudZは3つのハードコードされたユーザーエージェント文字列の間でローテーションを行い、HTTPトラフィックを正当なブラウザリクエストに見せかけます。各HTTPリクエストにはアンチキャッシュヘッダが含まれており、プロキシ/CDNがC2やステージングサーバの詳細をキャッシュするのを防ぎます。
研究者らは、最初のアクセスベクターは特定できていないが、被害者が偽のScreenConnectアップデートを実行し、Rustベースのローダーをドロップすることで感染が始まることを発見した。その後、.NET ローダーが展開され、CloudZ RAT がインストールされ、スケジュールされたタスクによって永続性が確立されます。
.NETローダーには、時間ベースのサンドボックス回避ステップ、Wireshark、Fiddler、Procmon、Sysmonなどの解析ツールのチェック、VMやサンドボックス関連の文字列のチェックなど、解析対策チェックも含まれています。
:Cisco Talos
このような攻撃を防御するために、ユーザーは SMS ベースの OTP サービスを避け、傍受される可能性のあるプッシュ通知を必要としない認証アプリを使用する必要があります。より機密性の高い情報については、ハードウェアキーのようなフィッシングに強いソリューションの使用に切り替えることが推奨される。
Cisco Talosは、URL、悪意のあるコンポーネントのハッシュ、ドメイン、IPアドレスなど、侵害の指標となる情報を公開している。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments