it

Windows Phone Link, CloudZ RAT에 의해 악용되어 자격 증명 및 OTP를 탈취

발행: (2026년 5월 6일 PM 05:34 GMT+9)
6 분 소요
원문: The Hacker News

Source: The Hacker News

Windows Phone Link

Overview

사이버 보안 연구원들은 CloudZ 원격 액세스 도구(RAT)와 Pheno라는 문서화되지 않은 플러그인을 함께 활용한 침입에 대한 세부 정보를 공개했습니다. 이 공격의 목표는 Microsoft Phone Link 애플리케이션을 악용하여 피해자의 자격 증명 및 잠재적으로 일회용 비밀번호(OTP)를 탈취하는 것이었습니다.

Cisco Talos 연구원인 Alex Karkins와 Chetan Raghuprasad에 따르면, CloudZ RAT와 Pheno 플러그인은 Phone Link가 제공하는 PC‑to‑phone 브리지를 탈취하도록 특별히 설계되었으며, 이를 통해 공격자는 전화에 악성코드를 설치하지 않고도 활성 Phone Link 프로세스를 모니터링하고 SMS 및 OTP와 같은 민감한 모바일 데이터를 가로챌 수 있습니다.

Phone Link (Windows 10 및 Windows 11에 내장) 은 사용자가 Wi‑Fi 및 Bluetooth를 통해 컴퓨터를 Android 기기 또는 iPhone과 페어링할 수 있게 합니다. 페어링이 완료되면 사용자는:

  • 전화 걸기 및 받기
  • 메시지 보내기 및 받기
  • 알림 해제
  • PC와 동기화된 기타 전화 데이터 접근

정당한 크로스‑디바이스 동기화 기능은 자격 증명 도난 및 2단계 인증 우회에 악용될 수 있는 의도치 않은 공격 표면을 만들기도 합니다.

공격 세부 정보

초기 접근 및 지속성

  • 아직 확인되지 않은 초기 접근 방법이 사용되어 가짜 ConnectWise ScreenConnect 실행 파일을 배포했습니다.
  • 가짜 실행 파일은 .NET 로더를 다운로드하고 실행했습니다.
  • 내장된 PowerShell 스크립트가 악성 .NET 로더를 실행하는 예약 작업을 생성하여 지속성을 확보했습니다.

로더 및 트로이목 배포

  • 중간 로더는 탐지를 피하기 위해 하드웨어 및 환경 검사를 수행했습니다.
  • 이후 손상된 시스템에 모듈식 CloudZ 트로이목을 배포했습니다.
  • 트로이목은 내장된 구성을 복호화하고, C2 서버와 암호화된 소켓을 열어 자격 증명 탈취 및 플러그인 배포를 위한 Base64 인코딩 명령을 대기했습니다.

Pheno 플러그인 작동

Pheno 플러그인은 피해자 머신에서 Microsoft Phone Link 애플리케이션을 정찰하고, 수집된 데이터를 스테이징 폴더의 출력 파일에 기록합니다. CloudZ는 이 데이터를 스테이징 폴더에서 읽어 C2 서버로 전달합니다.

데이터 추출

공격자는 Phone Link가 동기화된 전화 데이터를 저장하는 SQLite 데이터베이스에 접근하여, 모바일 기기를 직접 손상시키지 않고도 SMS 메시지, OTP 및 기타 민감한 정보를 가져올 수 있었습니다.

CloudZ Command Set

  • pong – 하트비트 응답 전송
  • PING! – 하트비트 요청 발행
  • CLOSE – 트로이 목마 프로세스 종료
  • INFO – 시스템 메타데이터 수집
  • RunShell – 셸 명령 실행
  • BrowserSearch – 웹 브라우저 데이터 탈취
  • GetWidgetLog – Phone Link 로그 및 데이터 탈취
  • plugin – 플러그인 로드
  • savePlugin – 플러그인을 디스크에 저장 (C:\ProgramData\Microsoft\whealth\)
  • sendPlugin – 플러그인을 C2 서버에 업로드
  • RemovePlugins – 배포된 모든 플러그인 모듈 제거
  • Recovery – 복구 또는 재연결 활성화
  • DW – 다운로드 및 파일‑쓰기 작업 수행
  • FM – 파일‑관리 작업 수행
  • Msg – C2 서버에 메시지 전송
  • Error – C2 서버에 오류 보고
  • rec – 화면 녹화

시각적 일러스트레이션

공격 일러스트레이션

Conclusion

이 침입은 정당한 크로스‑디바이스 동기화 기능이 어떻게 악용되어 자격 증명 절도와 2단계 인증 우회를 위한 새로운 경로를 만들 수 있는지를 보여줍니다. Phone Link 애플리케이션을 악용함으로써 공격자는 전화기를 직접 손상시킬 필요 없이 민감한 모바일 데이터를 수집할 수 있습니다. 이 활동은 최소 2026년 1월부터 관찰되었으며 아직 알려진 위협 행위자나 그룹에 의해 귀속되지 않았습니다.

0 조회
#Windows Phone Link #CloudZ RAT #credential theft #OTP stealing #remote access tool #cybersecurity #threat intelligence #Pheno plugin
원문 보기
Share:
Back to Blog

관련 글

더 보기 »