SOC Prime Bias: Критично

06 May 2026 14:15
newspaper icon Блог Cisco Talos

Медіакомпанія CloudZ RAT потенційно викрадає OTP повідомлення за допомогою плагіна Pheno

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Медіакомпанія CloudZ RAT потенційно викрадає OTP повідомлення за допомогою плагіна Pheno
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Cisco Talos ідентифікував вторгнення, у якому зловмисники розгорнули троян для віддаленого доступу CloudZ разом із кастомним плагіном під назвою Pheno. Діяльність націлена на системи Windows 10 та 11, які використовують Microsoft Phone Link для синхронізації з мобільними пристроями. Зловмисники, зловживаючи мостом Phone Link на робочій станції, можуть отримати доступ до вмісту SMS та повідомлень з одноразовими паролями без необхідності встановлення зловмисного програмного забезпечення безпосередньо на телефон. Ланцюг зараження використовує дропер, розроблений на Rust, завантажувач .NET, стійкість за допомогою запланованих завдань та кілька методів доставки корисного навантаження.

Розслідування

Talos відстежив вторгнення до підробленого оновлення ScreenConnect, яке доставило завантажувач, скомпільований на Rust, під назвою systemupdates.exe or Windows-interactive-update.exe. Цей завантажувач розшифрував і скинув компонент .NET, який потім встановив CloudZ RAT через заплановане завдання, що запускало regasm.exe. Після встановлення CloudZ отримав плагін Pheno з проміжного сервера і використовував його для доступу до даних, що зберігаються в SQLite-базі Phone Link. Дослідники також ідентифікували інфраструктуру командного та контрольного управління, включаючи IP-адресу 185.196.10.136 та декілька шкідливих доменів, пов’язаних із кампанією.

Пом’якшення

Cisco Talos зазначає, що виявлення ClamAV, такі як Win.Packed.Msilheracles and Win.Trojan.CloudZRAT, разом із правилами Snort 66408–66410 and 301492, можуть допомогти ідентифікувати загрозу. Блокування відомих шкідливих доменів та IP-адрес, обмеження виконання непідписаних бінарних файлів з таких місць, як ProgramData, можуть допомогти зупинити ланцюг завантажувача. Організації також можуть зменшити небезпеку, відключивши або ретельно контролюючи Microsoft Phone Link та забезпечивши найменший привілей щодо створення та виконання запланованих завдань.

Відповідь

Якщо ця діяльність буде виявлена, негайно ізолюйте уражений вузол і зберіть пам’ять і образи диска для судової експертизи. Дослідники повинні підтвердити наявність SystemWindowsApis запланованого завдання і будь-яких пов’язаних з CloudZ бінарних файлів, а потім видалити їх з системи. Ідентифікована інфраструктура командного та контрольного управління повинна бути заблокована, а потенційно піддалась компрометації облікові дані повинні бути скинуті, особливо там, де може бути перехоплена аутентифікація на основі OTP. Більш широкий огляд системи також повинен перевірити інші методи стійкості і аудіювати активність PowerShell and regasm.exe для схожої діяльності.

"graph TB %% Визначення класів classDef technique fill:#ffe699 %% Визначення вузлів step1_user_exec["<b>Техніка</b> – <b>T1204.002 Виконання користувачем: Шкідливий файл</b><br/><b>Опис</b>: Користувач обманутий на запуск шкідливого виконаного файлу, що маскується під підроблене оновлення ScreenConnect."] class step1_user_exec technique step2_persistence["<b>Техніка</b> – <b>T1218.009 Виконання системного об’єкта бінарного проксі: Regsvcs/Regasm</b><br/><b>Опис</b>: Шкідливий код виконується через regsvcs або regasm через заплановане завдання, використовуючи перевірені бінарні файли .NET."] class step2_persistence technique step3_obfuscation["<b>Техніка</b> – <b>T1027 Маскування файлів або інформації</b><br/><b>Опис</b>: Корисне навантаження упаковано за допомогою ConfuserEx і XOR‑зашифровано для приховування справжньої функціональності."] class step3_obfuscation technique step4_dynamic_api["<b>Техніка</b> – <b>T1027.007 Динамічна резолюція API</b><br/><b>Опис</b>: Під час виконання зловмисне ПЗ вирішує необхідні API, перевіряючи наявність інструментів аналізу, щоб уникнути статичного виявлення."] class step4_dynamic_api technique step5_indicator_removal["<b>Техніка</b> – <b>T1027.005 Видалення індикаторів з інструментів</b><br/><b>Опис</b>: При виявленні утиліт безпеки код припиняє виконання, видаляючи будь-які спостережувані індикатори."] class step5_indicator_removal technique step6_reflective_load["<b>Техніка</b> – <b>T1620 Рефлективне завантаження коду</b><br/><b>Опис</b>: Завантажуються .NET корисне навантаження безпосередньо у пам’ять рефлективно, не залишаючи файлу на диску."] class step6_reflective_load technique step7_process_discovery["<b>Техніка</b> – <b>T1057 Виявлення процесів</b><br/><b>Опис</b>: Зловмисне ПЗ перераховує запущені процеси, щоб виявити та, можливо, відключити інструменти безпеки."] class step7_process_discovery technique step8_browser_creds["<b>Техніка</b> – <b>T1555.003 Облікові дані з веб-браузерів</b><br/><b>Опис</b>: Збережені паролі браузера витягнуті та підготовані до ексфільтрації."] class step8_browser_creds technique step9_steal_cookie["<b>Техніка</b> – <b>T1539 Викрадення кукі веб-сесії</b><br/><b>Опис</b>: Активні кукі веб-сесій захоплюються з браузера."] class step9_steal_cookie technique step10_use_cookie["<b>Техніка</b> – <b>T1550.004 Використання альтернативного матеріалу для автентифікації: Кукі веб-сесії</b><br/><b>Опис</b>: Викрадені кукі повторно використовуються для автентифікації до цільових веб-служб."] class step10_use_cookie technique step11_browser_info["<b>Техніка</b> – <b>T1217 Виявлення даних браузера</b><br/><b>Опис</b>: Додаткові дані браузера та повідомлення OTP збираються для подальшого зловживання."] class step11_browser_info technique step12_bits_jobs["<b>Техніка</b> – <b>T1197 Завдання BITS</b><br/><b>Опис</b>: Завдання BITS завантажують додаткові шкідливі плагіни з використанням bitsadmin, curl або PowerShell."] class step12_bits_jobs technique step13_exfil_encrypted["<b>Техніка</b> – <b>T1048.002 Ексфільтрація через асиметрично зашифрований не‑C2 протокол</b><br/><b>Опис</b>: Зібрані дані відправляються через зашифроване з’єднання TCP, яке не є частиною стандартного каналу C2."] class step13_exfil_encrypted technique step14_c2_web["<b>Техніка</b> – <b>T1071.001 Протокол прикладного рівня: Веб-протоколи</b><br/><b>Опис</b>: Трафік командного та контрольного управління використовує HTTP/S з ротацією користувач‑агентів та анти‑кешуючими заголовками."] class step14_c2_web technique %% З’єднання step1_user_exec –>|призводить до| step2_persistence step2_persistence –>|призводить до| step3_obfuscation step3_obfuscation –>|призводить до| step4_dynamic_api step4_dynamic_api –>|призводить до| step5_indicator_removal step5_indicator_removal –>|призводить до| step6_reflective_load step6_reflective_load –>|призводить до| step7_process_discovery step7_process_discovery –>|призводить до| step8_browser_creds step8_browser_creds –>|призводить до| step9_steal_cookie step9_steal_cookie –>|призводить до| step10_use_cookie step10_use_cookie –>|призводить до| step11_browser_info step11_browser_info –>|призводить до| step12_bits_jobs step12_bits_jobs –>|призводить до| step13_exfil_encrypted step13_exfil_encrypted –>|призводить до| step14_c2_web "

Потік Атаки

Виконання Симулації

Передумова: Телеметрія і Перевірка Основи допускання мають бути пройдені.

Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначене для спрацьовування правила виявлення. Команди і наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, що очікується виявлення логікою.

  • Оповіданнята та Команди Нападу:
    Зловмисник порушив обліковий запис користувача з низькими привілеями і хоче встановити стійкість, підтвердивши, що завантажувач CloudZ .NET активний. Він:

    1. Створити заплановане завдання що запускає скрипт PowerShell (C:Tempcloudz.ps1).
    2. Негайно виконати завдання за допомогою schtasks /run щоб забезпечити запуск скрипта.
    3. Усередині скрипта, перерахувати всі процеси за допомогою Get‑CimInstance Win32_Process для тестування на наявність завантажувача .NET.
    4. Процес PowerShell і команда schtasks обидві генерують записи Sysmon EventID 1, чиї поля CommandLine містять точні рядки, які правило виявлення, викликаючи попередження.

  • Сценарій Регресійного Тестування:

    #-------------------------------------------------
# Скрипт стійкості у стилі CloudZ та перевірки
#-------------------------------------------------
$taskName = "CloudZ_Persistence"
$scriptPath = "C:Tempcloudz.ps1"

# 1️⃣ Напишіть корисне навантаження PowerShell, яке запитує процеси
@"
# CloudZ навантаження – перерахування процесів
Get-CimInstance Win32_Process | Out-Null
"@ | Set-Content -Path $scriptPath -Encoding ASCII

# 2️⃣ Зареєструйте заплановане завдання, яке виконує навантаження
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$scriptPath`""
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -Force

# 3️⃣ Негайно виконайте завдання (генерує schtasks /run)
schtasks /run /tn "$taskName"

# 4️⃣ Коротка пауза для дозволу читання журналів
Start-Sleep -Seconds 5

  • Команди Очищення:

    # Видалити заплановане завдання
Unregister-ScheduledTask -TaskName "CloudZ_Persistence" -Confirm:$false

# Видалити скрипт навантаження
Remove-Item -Path "C:Tempcloudz.ps1" -Force

# За бажанням зупинити Sysmon (відновити оригінальну конфігурацію) при необхідності
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно