Tin tức bảo mật mới ghi nhận một chiến dịch sử dụng CloudZ RAT và plugin Pheno để khai thác cơ chế đồng bộ của Microsoft Phone Link, từ đó trích xuất SMS, OTP và thông báo di động ngay trên máy tính Windows. Cách tiếp cận này cho thấy một mối đe dọa mạng không cần cài mã độc trực tiếp lên điện thoại vẫn có thể truy cập dữ liệu nhạy cảm đã được đồng bộ.
CloudZ RAT Và Cách Lạm Dụng Microsoft Phone Link
Microsoft Phone Link là ứng dụng hợp pháp giúp phản chiếu thông báo, tin nhắn và nhật ký cuộc gọi từ điện thoại lên máy tính Windows. Trong chiến dịch này, CloudZ cùng plugin Pheno tận dụng cầu nối đó để truy cập dữ liệu vốn không được thiết kế để rời khỏi thiết bị di động.
Theo báo cáo của Cisco Talos, hoạt động xâm nhập được ghi nhận ít nhất từ tháng 1/2026. Tác nhân đã triển khai CloudZ RAT và plugin Pheno chưa từng được mô tả trước đó trên máy nạn nhân. Báo cáo gốc có thể tham khảo tại Cisco Talos.
Chuỗi Lây Nhiễm Của Cuộc Tấn Công Mạng
Chuỗi lây nhiễm bắt đầu từ một tệp giả cập nhật cho công cụ hỗ trợ từ xa ScreenConnect. Khi nạn nhân chạy tệp này, nó thả một .NET loader có nhiệm vụ vượt qua nhiều cơ chế kiểm tra bảo mật trước khi triển khai CloudZ RAT.
Từ thời điểm đó, kẻ tấn công có thể khám phá máy, đánh cắp dữ liệu trình duyệt và kích hoạt plugin Pheno để tìm dấu vết của Phone Link. Đây là một dạng hệ thống bị xâm nhập theo hướng lạm dụng thành phần hợp lệ thay vì khai thác trực tiếp điện thoại.
Kỹ Thuật Né Phát Hiện
CloudZ được xây dựng để tồn tại lâu nhất có thể trên máy bị nhiễm. Mã độc này kiểm tra môi trường phân tích bằng cách theo dõi mẫu thời gian thực thi và dò tìm các công cụ như Wireshark, Fiddler, Procmon và Sysmon.
Ngoài ra, CloudZ tạo động các hàm nhạy cảm ngay trong bộ nhớ, làm tăng độ khó cho quá trình phân tích và đảo ngược. Đây là điểm đáng chú ý trong bối cảnh phát hiện xâm nhập và giám sát hành vi cần dựa thêm vào telemetry thay vì chỉ dựa trên file hash.
Pheno Plugin Và Cơ Chế Thu Thập Dữ Liệu
Pheno là thành phần mới đáng chú ý nhất trong chuỗi lỗ hổng CVE theo nghĩa khai thác sai cơ chế hợp lệ của hệ thống, dù không gắn với một CVE cụ thể. Plugin này quét toàn bộ tiến trình đang chạy để tìm các từ khóa liên quan đến Phone Link, gồm YourPhone, PhoneExperienceHost và Link to Windows.
Nếu tìm thấy tiến trình phù hợp, Pheno ghi lại PID và đường dẫn tệp vào một file staging được đặt theo tên máy tính của nạn nhân. Sau đó, nó tìm trong file staging từ khóa proxy để xác nhận Phone Link đang chuyển tiếp lưu lượng giữa PC và điện thoại.
Khi điều kiện được xác nhận, plugin ghi trạng thái Maybe connected để báo cho CloudZ rằng có thể truy xuất dữ liệu di động. Cơ chế này cho thấy cách một mối đe dọa có thể dựa vào trạng thái ứng dụng hợp lệ để thu thập thông tin xác thực.
Truy Cập Cơ Sở Dữ Liệu Đồng Bộ
Từ đó, CloudZ có thể truy cập cơ sở dữ liệu SQLite cục bộ của Phone Link, thường là tệp PhoneExperiences-*.db. Tệp này lưu SMS đã đồng bộ, nhật ký cuộc gọi và thông báo ứng dụng.
Do cơ sở dữ liệu có thể chứa OTP từ ngân hàng và nhà cung cấp email, kẻ tấn công có khả năng vượt qua xác thực hai lớp mà không cần giữ thiết bị vật lý của nạn nhân. Đây là điểm trọng yếu của rủi ro bảo mật trong mô hình đồng bộ dữ liệu.
Ảnh Hưởng Hệ Thống Và Duy Trì Truy Cập
Rust-compiled dropper của CloudZ cài một Scheduled Task tên SystemWindowsApis chạy khi hệ thống khởi động dưới tài khoản SYSTEM. Cấu hình này giúp mã độc tự khởi động lại sau mỗi lần reboot.
CloudZ cũng dùng tiện ích hợp lệ của Windows là regasm.exe như một living-off-the-land binary để thực thi payload. Việc dùng công cụ hợp lệ giúp mã độc hòa lẫn vào hoạt động bình thường của hệ thống và làm khó quá trình phát hiện tấn công.
Hành Vi Mạng Và C&C
Để né phát hiện ở lớp mạng, CloudZ luân phiên ba chuỗi User-Agent kiểu trình duyệt trong mỗi yêu cầu, mô phỏng lưu lượng từ Firefox, Safari và Chrome.
Địa chỉ máy chủ điều khiển được lấy từ các trang Pastebin dưới tên tài khoản HELLOHIALL. Cách phân phối hạ tầng này khiến việc chặn bằng bộ lọc tĩnh khó hiệu quả hơn trong các kịch bản phát hiện tấn công.
IOC Liên Quan Đến CloudZ Và Pheno
- Tên dropper: SystemWindowsApis
- Tiến trình liên quan Phone Link: YourPhone
- Tiến trình liên quan Phone Link: PhoneExperienceHost
- Tiến trình liên quan Phone Link: Link to Windows
- File cơ sở dữ liệu: PhoneExperiences-*.db
- Tiện ích LOtL: regasm.exe
- Từ khóa xác nhận kết nối: proxy
- Trạng thái đầu ra của plugin: Maybe connected
Note: Các IP và domain trong tài liệu gốc được làm mờ để tránh tự động phân giải. Chỉ nên phục hồi trong môi trường threat intelligence như MISP, VirusTotal hoặc SIEM nội bộ.
Chỉ Dấu Nhận Diện Và Theo Dõi
Vì chiến dịch này khai thác ứng dụng hợp lệ thay vì chỉ dựa vào file độc hại, việc giám sát nên tập trung vào hành vi bất thường của Microsoft Phone Link, việc truy cập bất thường vào PhoneExperiences-*.db, và thực thi regasm.exe ngoài ngữ cảnh chuẩn.
Các công cụ như ClamAV signatures và Snort rules đã được Cisco Talos công bố để hỗ trợ phát hiện và chặn mối đe dọa này. Tổ chức có thể tham khảo khuyến nghị kỹ thuật trong tài liệu của Cisco Talos và đối chiếu thêm với cơ sở dữ liệu cảnh báo của NVD khi xây dựng rule và kiểm tra bề mặt tấn công.
Điểm Cần Giám Sát Trên Endpoint
- Tiến trình không mong đợi khởi chạy regasm.exe.
- Hoạt động bất thường quanh thư mục dữ liệu của Phone Link.
- Scheduled Task lạ mang tên SystemWindowsApis.
- Truy cập file PhoneExperiences-*.db từ tiến trình không chuẩn.
- Chuỗi User-Agent xoay vòng theo mô hình Firefox, Safari, Chrome.
Trong môi trường không cần đồng bộ điện thoại, việc tắt Phone Link có thể giảm đáng kể nguy cơ bảo mật. Khi tính năng này cần sử dụng, cần giới hạn ứng dụng được phép truy cập, theo dõi hành vi tiến trình và kiểm tra định kỳ các tác vụ khởi động cùng hệ thống.
Khuyến Nghị Kỹ Thuật Cho Phát Hiện Xâm Nhập
Để tăng hiệu quả phát hiện xâm nhập, rule cần kết hợp sự kiện tiến trình, truy cập file và chỉ dấu mạng. Việc chỉ dựa vào hash của payload sẽ không đủ, vì chuỗi này dùng cả loader .NET, công cụ hợp lệ của Windows và cơ chế pull C&C từ nền tảng bên ngoài.
Giám sát hành vi nên ưu tiên các tín hiệu: Phone Link hoạt động ngoài giờ dự kiến, regasm.exe chạy từ đường dẫn lạ, và truy vấn tới dữ liệu đồng bộ SMS/OTP. Đây là những chỉ dấu thực dụng để giảm rủi ro an toàn thông tin trong môi trường Windows có đồng bộ di động.
Lệnh CLI Kiểm Tra Cơ Bản
schtasks /query /fo LIST /v | findstr /i "SystemWindowsApis"
wmic process where "name='regasm.exe'" get ProcessId,ParentProcessId,ExecutablePath
powershell -Command "Get-ChildItem -Path $env:LOCALAPPDATA -Recurse -Filter 'PhoneExperiences-*.db'"
Ví Dụ Rule Phát Hiện Hành Vi
alert tcp any any -> any any (msg:"Suspicious Phone Link related activity"; content:"PhoneExperiences-"; nocase; content:"proxy"; nocase; sid:1000001; rev:1;)
IOC Và Chỉ Dấu Hành Vi Trong Báo Cáo Gốc
- User-Agent giả lập: Firefox, Safari, Chrome
- Tiến trình phân tích bị dò: Wireshark, Fiddler, Procmon, Sysmon
- Khẩu hiệu trạng thái: Maybe connected
- Ứng dụng hợp lệ bị lạm dụng: Microsoft Phone Link
- Cơ chế tồn tại: Scheduled Task dưới SYSTEM
Chiến dịch này thể hiện rõ cách lỗ hổng zero-day không phải lúc nào cũng là điều kiện cần; việc lạm dụng ứng dụng hợp lệ và dữ liệu đồng bộ cũng đủ tạo ra cảnh báo CVE theo nghĩa vận hành an toàn, đặc biệt khi OTP và thông báo di động xuất hiện trên máy Windows.
