SOC Prime Bias: Kritisch

06 May 2026 11:15 UTC

Medienunternehmen CloudZ RAT stiehlt möglicherweise OTP-Nachrichten mit Pheno-Plugin

Author Photo
SOC Prime Team linkedin icon Folgen
Medienunternehmen CloudZ RAT stiehlt möglicherweise OTP-Nachrichten mit Pheno-Plugin
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Cisco Talos identifizierte einen Einbruch, bei dem Angreifer den CloudZ Remote Access Trojaner zusammen mit einem benutzerdefinierten Plugin namens Pheno einsetzten. Die Aktivität zielt auf Windows 10 und 11 Systeme ab, die auf Microsoft Phone Link zur Synchronisation mit mobilen Geräten angewiesen sind. Durch den Missbrauch der Phone Link Bridge auf der Workstation können die Angreifer auf SMS-Inhalte und Einmalpasswort-Nachrichten zugreifen, ohne direkt Malware auf dem Telefon zu platzieren. Die Infektionskette verwendet einen Dropper auf Rust-Basis, einen .NET-Loader, geplante Aufgaben für Persistenz und mehrere Nutzlast-Verteilungsmethoden.

Untersuchung

Talos verfolgte den Einbruch bis zu einem gefälschten ScreenConnect-Update, das einen in Rust kompilierten Loader namens systemupdates.exe or Windows-interactive-update.exe. Dieser Loader entschlüsselte und hinterließ eine .NET-Komponente, die dann CloudZ RAT über eine geplante Aufgabe installierte, die regasm.exe. Nach der Installation rief CloudZ das Pheno-Plugin von einem Staging-Server ab und nutzte es, um auf Daten zuzugreifen, die in der Phone Link SQLite-Datenbank gespeichert sind. Ermittler identifizierten auch Infrastruktur zur Befehls- und Steuergewinnung, einschließlich der IP-Adresse 185.196.10.136 und mehreren bösartigen Domains, die mit der Kampagne in Verbindung stehen.

Minderung

Cisco Talos bemerkte, dass ClamAV-Erkennungen wie Win.Packed.Msilheracles and Win.Trojan.CloudZRAT, zusammen mit Snort-Regeln 66408–66410 and 301492, helfen können, die Bedrohung zu identifizieren. Das Blockieren der bekannten bösartigen Domains und der IP-Adresse sowie das Einschränken der Ausführung nicht signierter Binärdateien von Orten wie ProgramData, kann helfen, die Loader-Kette zu stoppen. Organisationen können auch die Exposition verringern, indem sie Microsoft Phone Link deaktivieren oder genau überwachen und die geringsten Privilegien für die Erstellung und Ausführung geplanter Aufgaben durchsetzen.

Antwort

Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host sofort und sammeln Sie Speicher- und Festplattenabbilder für die forensische Analyse. Ermittler sollten das Vorhandensein des SystemWindowsApis geplanten Aufgaben und aller CloudZ-bezogenen Binärdateien bestätigen und dann vom System entfernen. Die identifizierte Infrastruktur zur Befehls- und Steuergewinnung sollte blockiert werden, und potenziell offengelegte Anmeldeinformationen sollten zurückgesetzt werden, insbesondere dort, wo OTP-basierte Authentifizierung möglicherweise abgefangen wurde. Eine umfassendere Systemüberprüfung sollte auch andere Persistenzmethoden untersuchen und PowerShell and regasm.exe Aktivitäten auf verwandten Missbrauch überprüfen.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Der Vor-Check von Telemetrie und Basis muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete genaue Telemetrie zu erzeugen.

  • Angriffs-Narrativ & Befehle:
    Der Angreifer hat ein Benutzerkonto mit niedrigen Privilegien kompromittiert und möchte Persistenz etablieren, während er bestätigt, dass der CloudZ .NET Loader aktiv ist. Sie:

    1. Erstellen eine geplante Aufgabe die ein PowerShell-Skript startet (C:Tempcloudz.ps1).
    2. Führen Sie sofort aus die Aufgabe mit schtasks /run um sicherzustellen, dass das Skript läuft.
    3. Innerhalb des Skripts, alle Prozesse auflisten mit Get‑CimInstance Win32_Process um die Anwesenheit des .NET-Loaders zu testen.
    4. Der PowerShell-Prozess und der schtasks Befehl erzeugen beide Sysmon EventID 1 Aufzeichnungen, deren Kommandozeile Felder genau die Zeichenfolgen enthalten, die die Regel überprüft, was einen Alarm verursacht.
  • Regressionstest-Skript:

    #-------------------------------------------------
    # CloudZ-Stil Persistenz- und Verifikationsskript
    #-------------------------------------------------
    $taskName = "CloudZ_Persistence"
    $scriptPath = "C:Tempcloudz.ps1"
    
    # 1️⃣ Schreiben Sie die PowerShell-Nutzlast, die Prozesse abfragt
    @"
    # CloudZ Nutzlast – Prozessenumerierung
    Get-CimInstance Win32_Process | Out-Null
    "@ | Set-Content -Path $scriptPath -Encoding ASCII
    
    # 2️⃣ Registrieren Sie eine geplante Aufgabe, die die Nutzlast ausführt
    $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$scriptPath`""
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Force
    
    # 3️⃣ Führen Sie die Aufgabe sofort aus (erzeugt schtasks /run)
    schtasks /run /tn "$taskName"
    
    # 4️⃣ Kurze Pause für die Protokollierung
    Start-Sleep -Seconds 5
  • Säuberungsbefehle:

    # Entfernen Sie geplante Aufgabe
    Unregister-ScheduledTask -TaskName "CloudZ_Persistence" -Confirm:$false
    
    # Löschen Sie das Nutzlastskript
    Remove-Item -Path "C:Tempcloudz.ps1" -Force
    
    # Optional: Stoppen Sie Sysmon (stellen Sie die ursprüngliche Konfiguration wieder her), falls erforderlich
    # & "$env:ProgramFilesSysinternalsSysmon.exe" -u