新しいバージョンの**CloudZ**リモートアクセスツール（RAT）が、これまで確認されていなかった悪意のあるプラグイン**Pheno**を展開し、**Microsoft Phone Link**の接続を乗っ取ってモバイルデバイスから機密コードを窃取しています。 このマルウェアは、少なくとも1月以来活動している侵入で発見されており、研究者は攻撃者の目的が認証情報と一時的なパスコードの窃取であったと考えています。  **Microsoft Phone Link**はWindows 10および11にプリインストールされており、ユーザーはコンピュータから直接、通話の発信、テキストメッセージの送信、モバイル通知（AndroidおよびiOS）の表示が可能です。 このアプリケーションを悪用することで、攻撃者はターゲットのモバイル電話を直接侵害することなく、機密メッセージを傍受できます。 ### Phenoプラグインの詳細 **Cisco Talos**の研究者は本日、**Pheno**がアクティブな**Phone Link**セッションを監視し、SMSおよびワンタイムパスワード（OTP）が含まれている可能性のあるローカルSQLiteデータベースにアクセスすると報告しました。 これにより、攻撃者はモバイルデバイスを侵害する必要なく、機密情報にアクセスできます。 「被害者のマシンでPhone Linkのアクティビティが確認された場合、**CloudZ** RATを使用している攻撃者は、被害者のマシン上のPhone LinkアプリケーションのSQLiteデータベースファイルにアクセスできる可能性があり、SMSベースのOTPメッセージやその他の認証アプリケーションの通知メッセージを侵害する可能性があります」と**Cisco Talos**は報告書で述べています。  *Phenoがアクティブな電話リンクをスキャン。出典: Cisco Talos* ### CloudZ RATの機能 **Pheno**プラグインの機能に加えて、**CloudZ**はWebブラウザに保存されたデータをターゲットにし、ホストシステムをプロファイルし、以下のためのコマンドを実行できます。 * ファイル管理操作（削除、ダウンロード、書き込み） * シェルコマンド実行 * 画面録画の開始 * プラグイン管理（ロード、削除、ディスクへの保存） * RATプロセスの終了 **Cisco**によると、**CloudZ**は3つのハードコードされたユーザーエージェント文字列をローテーションして、HTTPトラフィックが正規のブラウザリクエストのように見えるようにします。各HTTPリクエストには、プロキシ/CDNがC2またはステージングサーバーの詳細をキャッシュするのを防ぐためのアンチキャッシュヘッダーが含まれています。 ### 感染チェーン 研究者はまだ初期アクセスベクトルを特定していませんが、被害者が偽の**ScreenConnect**アップデートを実行すると感染が開始され、Rustベースのローダーがドロップされることを発見しました。その後、.NETローダーが展開され、**CloudZ** RATがインストールされ、スケジュールされたタスクを通じて永続性が確立されます。 .NETローダーには、時間ベースのサンドボックス回避ステップ、**Wireshark**、**Fiddler**、**Procmon**、**Sysmon**などの分析ツールのチェック、VMおよびサンドボックス関連の文字列のチェックなどのアンチ分析チェックも含まれています。  *ローダーの環境チェック。出典: Cisco Talos* ### 緩和策 このような攻撃から身を守るために、ユーザーはSMSベースのOTPサービスを避け、傍受される可能性のあるプッシュ通知を必要としない認証アプリを使用すべきです。より機密性の高い情報については、ハードウェアキーなどのフィッシング耐性のあるソリューションの使用に切り替えることをお勧めします。 **Cisco Talos**は、防御者が環境を保護するために使用できるURL、悪意のあるコンポーネントのハッシュ、ドメイン、IPアドレスを含む、一連の侵害の兆候（IOC）を公開しました。 <div> <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Mythosが見つけたものの99%はまだパッチが適用されていません。</a></h2> <p>AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ます。</p> <p>Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、エクスプロイト可能なものをどのように見つけ、コントロールが保持されていることを証明し、修正ループを閉じるかをご覧ください。</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">参加登録はこちら</a></p> </div> </div>