B
今週中
CloudZ RATと新プラグイン「Pheno」を用いて、Microsoftの「スマートフォン連携(Phone Link)」アプリを悪用する攻撃
📌 一言でいうと
CloudZ RATと新プラグイン「Pheno」を用いて、Microsoftの「スマートフォン連携(Phone Link)」アプリを悪用する攻撃が確認されました。この攻撃はPCとスマートフォンの連携機能をハイジャックし、スマートフォン側にマルウェアをインストールすることなく、SMSやワンタイムパスワード(OTP)などの機密情報を窃取します。これにより、二要素認証(2FA)をバイパスしてアカウントを乗っ取ることが可能になります。
🔍該当判定
- Windows PCで「スマートフォン連携 (Phone Link)」アプリを利用している
- Windows PCとAndroid/iPhoneを連携させ、PC上でSMSの送受信を行っている
- PCでスマホの通知を受け取る設定にしており、そこで2要素認証のコード(OTP)を受信している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なソフトウェアのインストールを避け、エンドポイント保護(EDR)を最新の状態に保つこと。また、SMSベースの二要素認証から、認証アプリや物理セキュリティキーへの移行を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】PCとスマートフォンの連携機能(スマートフォン連携)の利用について
お疲れさまです。情報システム担当です。
Windowsの「スマートフォン連携」アプリを悪用して、スマホに届く認証コード(OTP)やメッセージを盗み出す攻撃が報告されています。
ご協力をお願いしたいこと:
1. 心当たりのない不審なメールの添付ファイルやリンクを開かないでください。
2. SMS(ショートメッセージ)による二要素認証ではなく、可能な限り認証アプリ(Microsoft Authenticator等)を利用してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
Windowsの「スマートフォン連携」アプリを悪用して、スマホに届く認証コード(OTP)やメッセージを盗み出す攻撃が報告されています。
ご協力をお願いしたいこと:
1. 心当たりのない不審なメールの添付ファイルやリンクを開かないでください。
2. SMS(ショートメッセージ)による二要素認証ではなく、可能な限り認証アプリ(Microsoft Authenticator等)を利用してください。
対応期限: 本日中
Subject: [Security Alert] Regarding the use of Windows Phone Link
Dear employees,
It has been reported that attackers are exploiting the Windows "Phone Link" application to steal authentication codes (OTPs) and messages from connected smartphones.
Please take the following actions:
1. Do not open suspicious email attachments or click on unknown links.
2. Use authentication apps (e.g., Microsoft Authenticator) instead of SMS-based two-factor authentication whenever possible.
Deadline: Immediate
Dear employees,
It has been reported that attackers are exploiting the Windows "Phone Link" application to steal authentication codes (OTPs) and messages from connected smartphones.
Please take the following actions:
1. Do not open suspicious email attachments or click on unknown links.
2. Use authentication apps (e.g., Microsoft Authenticator) instead of SMS-based two-factor authentication whenever possible.
Deadline: Immediate
件名: 【共有】CloudZ RATによるMicrosoft Phone Link悪用について
お疲れさまです。CloudZ RATおよび新プラグイン「Pheno」による脅威情報に関する共有です。
■ 概要
CloudZ RATがPhenoプラグインを用いて、Microsoft Phone LinkのPC-スマホ間ブリッジをハイジャックし、スマホ側にマルウェアを配置せずにSMSやOTPを窃取する手法が確認されました。これにより、SMSベースの2FAをバイパスされるリスクがあります。
■ 影響範囲
- Microsoft Phone Linkを利用しているWindows端末および連携済みスマートフォン
■ 対応手順
1. EDR等のエンドポイント監視において、不審なプロセスによるPhone Linkプロセスの監視・干渉を検知するルールを検討してください。
2. 組織的にSMS認証から認証アプリ(TOTP)やFIDO2ベースの認証への移行を推進してください。
■ 参考情報
- Cisco Talos Analysis
対応優先度: 高
対応期限: 今週中
お疲れさまです。CloudZ RATおよび新プラグイン「Pheno」による脅威情報に関する共有です。
■ 概要
CloudZ RATがPhenoプラグインを用いて、Microsoft Phone LinkのPC-スマホ間ブリッジをハイジャックし、スマホ側にマルウェアを配置せずにSMSやOTPを窃取する手法が確認されました。これにより、SMSベースの2FAをバイパスされるリスクがあります。
■ 影響範囲
- Microsoft Phone Linkを利用しているWindows端末および連携済みスマートフォン
■ 対応手順
1. EDR等のエンドポイント監視において、不審なプロセスによるPhone Linkプロセスの監視・干渉を検知するルールを検討してください。
2. 組織的にSMS認証から認証アプリ(TOTP)やFIDO2ベースの認証への移行を推進してください。
■ 参考情報
- Cisco Talos Analysis
対応優先度: 高
対応期限: 今週中
Subject: [Technical Info] Exploitation of Microsoft Phone Link by CloudZ RAT
Dear Security Team,
This is a technical update regarding the CloudZ RAT and its new plugin, "Pheno."
■ Overview
Attackers are using the Pheno plugin to hijack the established PC-to-phone bridge via the Microsoft Phone Link application. This allows them to intercept sensitive mobile data, including SMS and OTPs, without deploying malware on the mobile device, effectively bypassing SMS-based 2FA.
■ Scope
- Windows endpoints utilizing Microsoft Phone Link and their paired mobile devices.
■ Mitigation Steps
1. Review EDR telemetry for unusual process interactions with the Phone Link application.
2. Accelerate the transition from SMS-based MFA to more secure methods such as TOTP apps or FIDO2 security keys.
■ Reference
- Cisco Talos Analysis
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical update regarding the CloudZ RAT and its new plugin, "Pheno."
■ Overview
Attackers are using the Pheno plugin to hijack the established PC-to-phone bridge via the Microsoft Phone Link application. This allows them to intercept sensitive mobile data, including SMS and OTPs, without deploying malware on the mobile device, effectively bypassing SMS-based 2FA.
■ Scope
- Windows endpoints utilizing Microsoft Phone Link and their paired mobile devices.
■ Mitigation Steps
1. Review EDR telemetry for unusual process interactions with the Phone Link application.
2. Accelerate the transition from SMS-based MFA to more secure methods such as TOTP apps or FIDO2 security keys.
■ Reference
- Cisco Talos Analysis
Priority: High
Deadline: End of this week