資安研究人員揭露了一起利用 CloudZ 遠端存取工具(RAT)及一個先前未被記錄的外掛程式 Pheno 來協助竊取憑證的入侵事件。
Cisco Talos 的研究人員 Alex Karkins 和 Chetan Raghuprasad 在週二的分析中表示:「根據 CloudZ RAT 和 Pheno 外掛程式的功能,其目的是竊取受害者的憑證,以及潛在的一次性密碼(OTPs)。」
此攻擊的新穎之處在於,CloudZ 使用客製化的 Pheno 外掛程式,透過濫用微軟 Phone Link 應用程式來劫持已建立的電腦到手機橋接,讓該外掛程式能夠監控作用中的 Phone Link 程序,並在無需於手機部署惡意軟體的情況下,潛在地攔截 SMS 和一次性密碼(OTPs)等敏感的手機資料。
這些發現展示了合法的跨裝置同步功能如何可能暴露意想不到的攻擊途徑,以竊取憑證並協助繞過雙因素驗證。更重要的是,它省去了入侵手機裝置本身的必要。
根據這家資安公司稱,該惡意軟體自至少 2026 年 1 月起就被用於一次活躍的入侵行動中。此活動尚未歸因於任何已知的威脅行為者或群組。
Phone Link 內建於 Windows 10 和 Windows 11 中,為使用者提供了一種透過 Wi-Fi 和藍牙將其電腦與 Android 裝置或 iPhone 配對的方式,讓使用者能夠撥打或接聽電話、收發訊息以及關閉通知。
觀察到未知的威脅行為者正試圖利用 CloudZ RAT 和 Pheno 來利用該應用程式,以確認受害者環境中的 Phone Link 活動,進而存取該程式用來儲存同步手機資料的 SQLite 資料庫檔案。
據稱,此攻擊鏈採用了一種尚未確定的初始存取方法來獲得立足點,並部署一個偽裝成 ConnectWise ScreenConnect 的可執行檔,該檔案負責下載並執行一個 .NET 載入器。初始的投放程式還利用嵌入的 PowerShell 腳本,透過設定一個執行惡意 .NET 載入器的排程任務來建立持久性。
中間的載入器旨在執行硬體和環境檢查以規避偵測,並在機器上部署模組化的 CloudZ 木馬程式。一旦執行,這個以 .NET 編譯的木馬程式會解密嵌入的組態,與命令與控制(C2)伺服器建立加密的 Socket 連線,並等待 Base64 編碼的指令,使其能夠滲透憑證並植入額外的外掛程式。
CloudZ 支援的部分指令包括:
Talos 表示:「攻擊者使用了一個名為 Pheno 的外掛程式,在受害者機器上對 Windows Phone Link 應用程式進行偵察。該外掛程式對受害者機器上的微軟 Phone Link 應用程式進行偵察,並將偵察資料寫入暫存資料夾中的輸出檔案。CloudZ 從暫存資料夾讀取 Phone Link 應用程式資料,並將其發送至 C2 伺服器。」
