Medienunternehmen CloudZ RAT stiehlt möglicherweise OTP-Nachrichten mit Pheno-Plugin
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Cisco Talos identifizierte einen Einbruch, bei dem Angreifer den CloudZ Remote Access Trojaner zusammen mit einem benutzerdefinierten Plugin namens Pheno einsetzten. Die Aktivität zielt auf Windows 10 und 11 Systeme ab, die auf Microsoft Phone Link zur Synchronisation mit mobilen Geräten angewiesen sind. Durch den Missbrauch der Phone Link Bridge auf der Workstation können die Angreifer auf SMS-Inhalte und Einmalpasswort-Nachrichten zugreifen, ohne direkt Malware auf dem Telefon zu platzieren. Die Infektionskette verwendet einen Dropper auf Rust-Basis, einen .NET-Loader, geplante Aufgaben für Persistenz und mehrere Nutzlast-Verteilungsmethoden.
Untersuchung
Talos verfolgte den Einbruch bis zu einem gefälschten ScreenConnect-Update, das einen in Rust kompilierten Loader namens systemupdates.exe or Windows-interactive-update.exe. Dieser Loader entschlüsselte und hinterließ eine .NET-Komponente, die dann CloudZ RAT über eine geplante Aufgabe installierte, die regasm.exe. Nach der Installation rief CloudZ das Pheno-Plugin von einem Staging-Server ab und nutzte es, um auf Daten zuzugreifen, die in der Phone Link SQLite-Datenbank gespeichert sind. Ermittler identifizierten auch Infrastruktur zur Befehls- und Steuergewinnung, einschließlich der IP-Adresse 185.196.10.136 und mehreren bösartigen Domains, die mit der Kampagne in Verbindung stehen.
Minderung
Cisco Talos bemerkte, dass ClamAV-Erkennungen wie Win.Packed.Msilheracles and Win.Trojan.CloudZRAT, zusammen mit Snort-Regeln 66408–66410 and 301492, helfen können, die Bedrohung zu identifizieren. Das Blockieren der bekannten bösartigen Domains und der IP-Adresse sowie das Einschränken der Ausführung nicht signierter Binärdateien von Orten wie ProgramData, kann helfen, die Loader-Kette zu stoppen. Organisationen können auch die Exposition verringern, indem sie Microsoft Phone Link deaktivieren oder genau überwachen und die geringsten Privilegien für die Erstellung und Ausführung geplanter Aufgaben durchsetzen.
Antwort
Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host sofort und sammeln Sie Speicher- und Festplattenabbilder für die forensische Analyse. Ermittler sollten das Vorhandensein des SystemWindowsApis geplanten Aufgaben und aller CloudZ-bezogenen Binärdateien bestätigen und dann vom System entfernen. Die identifizierte Infrastruktur zur Befehls- und Steuergewinnung sollte blockiert werden, und potenziell offengelegte Anmeldeinformationen sollten zurückgesetzt werden, insbesondere dort, wo OTP-basierte Authentifizierung möglicherweise abgefangen wurde. Eine umfassendere Systemüberprüfung sollte auch andere Persistenzmethoden untersuchen und PowerShell and regasm.exe Aktivitäten auf verwandten Missbrauch überprüfen.
„graph TB
%% Klassen Definition
classDef technique fill:#ffe699
%% Knotendefinitionen
step1_user_exec[„Technik – T1204.002 Benutzerausführung: Bösartige Datei
Beschreibung: Der Benutzer wird dazu verleitet, eine bösartige ausführbare Datei auszuführen, die als gefälschtes ScreenConnect-Update getarnt ist.“]
class step1_user_exec technique
step2_persistence[„Technik – T1218.009 Systembinar-Proxy-Ausführung: Regsvcs/Regasm
Beschreibung: Bösartiger Code wird über regsvcs oder regasm durch eine geplante Aufgabe ausgeführt, indem vertrauenswürdige .NET-Binärdateien genutzt werden.“]
class step2_persistence technique
step3_obfuscation[„Technik – T1027 Verschleierte Dateien oder Informationen
Beschreibung: Nutzlast ist mit ConfuserEx und XORu2011verschlüsselt um seine wahre Funktion zu verbergen.“]
class step3_obfuscation technique
step4_dynamic_api[„Technik – T1027.007 Dynamische API-Auflösung
Beschreibung: Zur Laufzeit löst die Malware die erforderlichen APIs, um Analysetools zu überprüfen und statische Erkennung zu vermeiden.“]
class step4_dynamic_api technique
step5_indicator_removal[„Technik – T1027.005 Entfernen von Tools-Indikatoren
Beschreibung: Der Code bricht die Ausführung ab, wenn Sicherheitswerkzeuge erkannt werden, und entfernt alle beobachtbaren Indikatoren.“]
class step5_indicator_removal technique
step6_reflective_load[„Technik – T1620 Reflektives Laden von Code
Beschreibung: .NET-Nutzlast wird direkt in den Speicher reflektierend geladen, ohne eine Datei auf der Festplatte zu hinterlassen.“]
class step6_reflective_load technique
step7_process_discovery[„Technik – T1057 Prozesserkennung
Beschreibung: Die Malware zählt laufende Prozesse auf, um Sicherheitswerkzeuge zu lokalisieren und möglicherweise zu deaktivieren.“]
class step7_process_discovery technique
step8_browser_creds[„Technik – T1555.003 Anmeldeinformationen aus Webbrowsern
Beschreibung: Gespeicherte Browser-Passwörter werden extrahiert und zur Exfiltration vorbereitet.“]
class step8_browser_creds technique
step9_steal_cookie[„Technik – T1539 Web-Sitzungscookies stehlen
Beschreibung: Aktive Web-Sitzungscookies werden aus dem Browser erfasst.“]
class step9_steal_cookie technique
step10_use_cookie[„Technik – T1550.004 Verwenden alternativer Authentifizierungsmaterialien: Web-Sitzungscookie
Beschreibung: Gestohlene Cookies werden wiederverwendet, um sich bei Zielwebdiensten zu authentifizieren.“]
class step10_use_cookie technique
step11_browser_info[„Technik – T1217 Browser-Informationsentdeckung
Beschreibung: Zusätzliche Browser-Daten und OTP-Nachrichten werden für weiteren Missbrauch gesammelt.“]
class step11_browser_info technique
step12_bits_jobs[„Technik – T1197 BITS-Aufträge
Beschreibung: BITS-Aufträge laden zusätzliche bösartige Plugins mit bitsadmin, curl oder PowerShell herunter.“]
class step12_bits_jobs technique
step13_exfil_encrypted[„Technik – T1048.002 Exfiltration über asymmetrisches verschlüsseltes Nichtu2011C2-Protokoll
Beschreibung: Gesammelte Daten werden über einen verschlüsselten TCP-Socket gesendet, der nicht Teil eines Standard-C2-Kanals ist.“]
class step13_exfil_encrypted technique
step14_c2_web[„Technik – T1071.001 Anwendungsprotokoll: Webprotokolle
Beschreibung: Befehls- und Steuerungsverkehr verwendet HTTP/S mit drehenden Benutzeru2011Agenten und Antiu2011Caching-Headern.“]
class step14_c2_web technique
%% Verbindungen
step1_user_exec –>|führt_zu| step2_persistence
step2_persistence –>|führt_zu| step3_obfuscation
step3_obfuscation –>|führt_zu| step4_dynamic_api
step4_dynamic_api –>|führt_zu| step5_indicator_removal
step5_indicator_removal –>|führt_zu| step6_reflective_load
step6_reflective_load –>|führt_zu| step7_process_discovery
step7_process_discovery –>|führt_zu| step8_browser_creds
step8_browser_creds –>|führt_zu| step9_steal_cookie
step9_steal_cookie –>|führt_zu| step10_use_cookie
step10_use_cookie –>|führt_zu| step11_browser_info
step11_browser_info –>|führt_zu| step12_bits_jobs
step12_bits_jobs –>|führt_zu| step13_exfil_encrypted
step13_exfil_encrypted –>|führt_zu| step14_c2_web
„
Angriffsfluss
Erkennungen
Download oder Upload via Powershell (via cmdline)
Anzeigen
LOLBAS Schtasks (via cmdline)
Anzeigen
LOLBAS Bitsadmin (via cmdline)
Anzeigen
Verdächtige CURL-Nutzung (via cmdline)
Anzeigen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomains (via DNS)
Anzeigen
Erkennung der Ausführung geplanter Aufgaben und Prozessabfragen in der CloudZ RAT-Infektion [Windows Powershell]
Anzeigen
Erkennung des .NET Loaders, der regasm.exe zur Persistenz nutzt [Windows Prozess-Erstellung]
Anzeigen
Simulation der Ausführung
Voraussetzung: Der Vor-Check von Telemetrie und Basis muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete genaue Telemetrie zu erzeugen.
-
Angriffs-Narrativ & Befehle:
Der Angreifer hat ein Benutzerkonto mit niedrigen Privilegien kompromittiert und möchte Persistenz etablieren, während er bestätigt, dass der CloudZ .NET Loader aktiv ist. Sie:- Erstellen eine geplante Aufgabe die ein PowerShell-Skript startet (
C:Tempcloudz.ps1). - Führen Sie sofort aus die Aufgabe mit
schtasks /runum sicherzustellen, dass das Skript läuft. - Innerhalb des Skripts, alle Prozesse auflisten mit
Get‑CimInstance Win32_Processum die Anwesenheit des .NET-Loaders zu testen. - Der PowerShell-Prozess und der
schtasksBefehl erzeugen beide Sysmon EventID 1 Aufzeichnungen, derenKommandozeileFelder genau die Zeichenfolgen enthalten, die die Regel überprüft, was einen Alarm verursacht.
- Erstellen eine geplante Aufgabe die ein PowerShell-Skript startet (
-
Regressionstest-Skript:
#------------------------------------------------- # CloudZ-Stil Persistenz- und Verifikationsskript #------------------------------------------------- $taskName = "CloudZ_Persistence" $scriptPath = "C:Tempcloudz.ps1" # 1️⃣ Schreiben Sie die PowerShell-Nutzlast, die Prozesse abfragt @" # CloudZ Nutzlast – Prozessenumerierung Get-CimInstance Win32_Process | Out-Null "@ | Set-Content -Path $scriptPath -Encoding ASCII # 2️⃣ Registrieren Sie eine geplante Aufgabe, die die Nutzlast ausführt $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$scriptPath`"" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Force # 3️⃣ Führen Sie die Aufgabe sofort aus (erzeugt schtasks /run) schtasks /run /tn "$taskName" # 4️⃣ Kurze Pause für die Protokollierung Start-Sleep -Seconds 5 -
Säuberungsbefehle:
# Entfernen Sie geplante Aufgabe Unregister-ScheduledTask -TaskName "CloudZ_Persistence" -Confirm:$false # Löschen Sie das Nutzlastskript Remove-Item -Path "C:Tempcloudz.ps1" -Force # Optional: Stoppen Sie Sysmon (stellen Sie die ursprüngliche Konfiguration wieder her), falls erforderlich # & "$env:ProgramFilesSysinternalsSysmon.exe" -u