サイバーセキュリティ研究者の**Cisco Talos**は、**CloudZ**リモートアクセスツール（RAT）と、これまで文書化されていなかった**Pheno**という名前のプラグインを使用した侵入キャンペーンの詳細を明らかにし、認証情報窃取を支援しました。 「CloudZ RATとPhenoプラグインの機能によると、これは被害者の認証情報と、場合によってはワンタイムパスワード（OTP）を窃取することを目的としていました」と、**Cisco Talos**の研究者であるAlex Karkins氏とChetan Raghuprasad氏は分析で述べています。  ### Phone Linkの乗っ取りによる2FAの回避 この攻撃の新規性は、**CloudZ**がカスタム**Pheno**プラグインを使用して、**Microsoft Phone Link**アプリケーション経由で確立されたPCと電話機の間のブリッジを乗っ取る点にあります。これにより、プラグインはアクティブな**Phone Link**プロセスを監視し、モバイルデバイス自体にマルウェアを展開することなく、SMSメッセージやワンタイムパスワード（OTP）などの機密性の高いモバイルデータを傍受できる可能性があります。 この発見は、正規のクロスデバイス同期機能が、認証情報窃取や二要素認証（2FA）のバイパスのための攻撃ベクトルを意図せず作成する可能性があることを浮き彫りにしています。重要なのは、モバイルデバイスを直接侵害する必要性を排除することです。 ### キャンペーンの詳細 **Cisco Talos**によると、このマルウェアは少なくとも2026年1月以来活動していますが、その活動はまだ既知の脅威アクターやグループに起因するものではありません。 **Windows 10**および**Windows 11**に組み込まれている**Phone Link**は、ユーザーがWi-FiおよびBluetooth経由でコンピューターとAndroidまたはiPhoneデバイスをペアリングできるようにし、通話の発信、メッセージの送信、通知の管理を可能にします。 攻撃者は、**CloudZ** RATと**Pheno**を使用してこのアプリケーションを悪用しようとしていることが観察されており、被害者のシステムで**Phone Link**の活動を確認し、プログラムが同期された電話データを保存するために使用するSQLiteデータベースファイルにアクセスしています。 ### 攻撃チェーン 報告によると、攻撃チェーンは、まだ特定されていない初期アクセス方法から始まり、足がかりを得て偽の**ConnectWise ScreenConnect**実行可能ファイルをドロップします。この実行可能ファイルは、.NETローダーをダウンロードして実行する責任を負います。初期ドロッパーは、埋め込まれたPowerShellスクリプトを使用して、悪意のある.NETローダーを実行するスケジュールされたタスクを作成することにより、永続性を確立します。 中間ローダーは、検出を回避するためにハードウェアと環境のチェックを実行してから、モジュール式の**CloudZ**トロイの木馬を展開します。実行されると、.NETコンパイルされたトロイの木馬は、埋め込まれた構成を復号化し、コマンドアンドコントロール（C2）サーバーへの暗号化されたソケット接続を確立し、認証情報を外部に送信し、追加のプラグインを展開するためのBase64エンコードされた指示を待ちます。 ### CloudZコマンドセット **CloudZ**がサポートするコマンドの一部は次のとおりです。 * pong: ハートビート応答を送信 * PING!: ハートビート要求を発行 * CLOSE: トロイの木馬プロセスを終了 * INFO: システムメタデータを収集 * RunShell: シェルコマンドを実行 * BrowserSearch: ウェブブラウザデータを外部に送信 * GetWidgetLog: Phone Linkの偵察ログとデータを外部に送信 * plugin: プラグインをロード * savePlugin: プラグインをステージングディレクトリ（"C:\ProgramData\Microsoft\whealth\"）にディスクに保存 * sendPlugin: プラグインをC2サーバーにアップロード * RemovePlugins: デプロイされたすべてのプラグインモジュールを削除 * Recovery: 回復または再接続を有効にする * DW: ダウンロードとファイル書き込み操作を実行 * FM: ファイル管理操作を実行 * Msg: C2サーバーにメッセージを送信 * Error: C2サーバーにエラーを報告 * rec: 画面を記録 ### Phenoプラグインの機能 「攻撃者は**Pheno**という名前のプラグインを使用して、被害者のマシン上の**Windows Phone Link**アプリケーションの偵察を実行しました」と**Talos**は述べています。「プラグインは、被害者のマシン上の**Microsoft Phone Link**アプリケーションの偵察を実行し、偵察データをステージングフォルダ内の出力ファイルに書き込みます。CloudZはステージングフォルダからPhone Linkアプリケーションデータを読み戻し、C2サーバーに送信します。」