Medienunternehmen CloudZ RAT stiehlt möglicherweise OTP-Nachrichten mit Pheno-Plugin
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Cisco Talos identifizierte einen Einbruch, bei dem Angreifer den CloudZ Remote Access Trojaner zusammen mit einem benutzerdefinierten Plugin namens Pheno einsetzten. Die Aktivität zielt auf Windows 10 und 11 Systeme ab, die auf Microsoft Phone Link zur Synchronisation mit mobilen Geräten angewiesen sind. Durch den Missbrauch der Phone Link Bridge auf der Workstation können die Angreifer auf SMS-Inhalte und Einmalpasswort-Nachrichten zugreifen, ohne direkt Malware auf dem Telefon zu platzieren. Die Infektionskette verwendet einen Dropper auf Rust-Basis, einen .NET-Loader, geplante Aufgaben für Persistenz und mehrere Nutzlast-Verteilungsmethoden.
Untersuchung
Talos verfolgte den Einbruch bis zu einem gefälschten ScreenConnect-Update, das einen in Rust kompilierten Loader namens systemupdates.exe or Windows-interactive-update.exe. Dieser Loader entschlüsselte und hinterließ eine .NET-Komponente, die dann CloudZ RAT über eine geplante Aufgabe installierte, die regasm.exe. Nach der Installation rief CloudZ das Pheno-Plugin von einem Staging-Server ab und nutzte es, um auf Daten zuzugreifen, die in der Phone Link SQLite-Datenbank gespeichert sind. Ermittler identifizierten auch Infrastruktur zur Befehls- und Steuergewinnung, einschließlich der IP-Adresse 185.196.10.136 und mehreren bösartigen Domains, die mit der Kampagne in Verbindung stehen.
Minderung
Cisco Talos bemerkte, dass ClamAV-Erkennungen wie Win.Packed.Msilheracles and Win.Trojan.CloudZRAT, zusammen mit Snort-Regeln 66408–66410 and 301492, helfen können, die Bedrohung zu identifizieren. Das Blockieren der bekannten bösartigen Domains und der IP-Adresse sowie das Einschränken der Ausführung nicht signierter Binärdateien von Orten wie ProgramData, kann helfen, die Loader-Kette zu stoppen. Organisationen können auch die Exposition verringern, indem sie Microsoft Phone Link deaktivieren oder genau überwachen und die geringsten Privilegien für die Erstellung und Ausführung geplanter Aufgaben durchsetzen.
Antwort
Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host sofort und sammeln Sie Speicher- und Festplattenabbilder für die forensische Analyse. Ermittler sollten das Vorhandensein des SystemWindowsApis geplanten Aufgaben und aller CloudZ-bezogenen Binärdateien bestätigen und dann vom System entfernen. Die identifizierte Infrastruktur zur Befehls- und Steuergewinnung sollte blockiert werden, und potenziell offengelegte Anmeldeinformationen sollten zurückgesetzt werden, insbesondere dort, wo OTP-basierte Authentifizierung möglicherweise abgefangen wurde. Eine umfassendere Systemüberprüfung sollte auch andere Persistenzmethoden untersuchen und PowerShell and regasm.exe Aktivitäten auf verwandten Missbrauch überprüfen.
Angriffsfluss
Erkennungen
Download oder Upload via Powershell (via cmdline)
Anzeigen
LOLBAS Schtasks (via cmdline)
Anzeigen
LOLBAS Bitsadmin (via cmdline)
Anzeigen
Verdächtige CURL-Nutzung (via cmdline)
Anzeigen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomains (via DNS)
Anzeigen
Erkennung der Ausführung geplanter Aufgaben und Prozessabfragen in der CloudZ RAT-Infektion [Windows Powershell]
Anzeigen
Erkennung des .NET Loaders, der regasm.exe zur Persistenz nutzt [Windows Prozess-Erstellung]
Anzeigen
Simulation der Ausführung
Voraussetzung: Der Vor-Check von Telemetrie und Basis muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete genaue Telemetrie zu erzeugen.
-
Angriffs-Narrativ & Befehle:
Der Angreifer hat ein Benutzerkonto mit niedrigen Privilegien kompromittiert und möchte Persistenz etablieren, während er bestätigt, dass der CloudZ .NET Loader aktiv ist. Sie:- Erstellen eine geplante Aufgabe die ein PowerShell-Skript startet (
C:Tempcloudz.ps1). - Führen Sie sofort aus die Aufgabe mit
schtasks /runum sicherzustellen, dass das Skript läuft. - Innerhalb des Skripts, alle Prozesse auflisten mit
Get‑CimInstance Win32_Processum die Anwesenheit des .NET-Loaders zu testen. - Der PowerShell-Prozess und der
schtasksBefehl erzeugen beide Sysmon EventID 1 Aufzeichnungen, derenKommandozeileFelder genau die Zeichenfolgen enthalten, die die Regel überprüft, was einen Alarm verursacht.
- Erstellen eine geplante Aufgabe die ein PowerShell-Skript startet (
-
Regressionstest-Skript:
#------------------------------------------------- # CloudZ-Stil Persistenz- und Verifikationsskript #------------------------------------------------- $taskName = "CloudZ_Persistence" $scriptPath = "C:Tempcloudz.ps1" # 1️⃣ Schreiben Sie die PowerShell-Nutzlast, die Prozesse abfragt @" # CloudZ Nutzlast – Prozessenumerierung Get-CimInstance Win32_Process | Out-Null "@ | Set-Content -Path $scriptPath -Encoding ASCII # 2️⃣ Registrieren Sie eine geplante Aufgabe, die die Nutzlast ausführt $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$scriptPath`"" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Force # 3️⃣ Führen Sie die Aufgabe sofort aus (erzeugt schtasks /run) schtasks /run /tn "$taskName" # 4️⃣ Kurze Pause für die Protokollierung Start-Sleep -Seconds 5 -
Säuberungsbefehle:
# Entfernen Sie geplante Aufgabe Unregister-ScheduledTask -TaskName "CloudZ_Persistence" -Confirm:$false # Löschen Sie das Nutzlastskript Remove-Item -Path "C:Tempcloudz.ps1" -Force # Optional: Stoppen Sie Sysmon (stellen Sie die ursprüngliche Konfiguration wieder her), falls erforderlich # & "$env:ProgramFilesSysinternalsSysmon.exe" -u