HZ RAT后门软件 macOS 版本瞄准中国消息应用用户
钉钉和微信等中国即时通讯应用程序的用户是 Apple macOS 版本名为 HZ RAT 的后门的目标。研究员谢尔盖·普赞(Sergey Puzan)说,这些工件“几乎完全复制了Windows版本的后门程序的功能,仅在有效载荷上有所不同,有效载荷以shell脚本的形式从攻击者的服务器接收。HZ RAT 于 2022 年 11 月由德国网络安全公司 DCSO 首次记录,恶意软件通过自解压 zip 档案或恶意 RTF 文档分发,这些文档可能是使用 Royal Road RTF 武器化器构建的。涉及 RTF 文档的攻击链旨在通过利用方程式编辑器中存在多年的 Microsoft Office 漏洞 (CVE-2017-11882) 来部署在受感染主机上执行的 Windows 版本的恶意软件。另一方面,第二种分发方法伪装成合法软件(如 OpenVPN、PuTTYgen 或 EasyConnect)的安装程序,除了实际安装诱饵程序外,还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。HZ RAT 的功能相当简单,因为它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送检测信号信息。鉴于该工具的功能有限,怀疑该恶意软件主要用于凭据收集和系统侦查活动。有证据表明,早在 2020 年 6 月就已经在野外检测到了该恶意软件的第一次迭代。根据 DCSO 的说法,该活动本身被认为至少自 2020 年 10 月以来一直活跃。卡巴斯基于 2023 年 7 月上传到 VirusTotal 的最新样本,它冒充了 OpenVPN Connect(“OpenVPNConnect.pkg”),一旦启动,它就会与后门中指定的 C2 服务器建立联系,以运行四个基本命令,这些命令类似于其 Windows 对应项 –[*]执行 shell 命令(例如,系统信息、本地 IP 地址、已安装的应用程序列表、来自钉钉、Google 密码管理器和微信的数据)
[*]将文件写入磁盘
[*]将文件发送到 C2 服务器
[*]检查受害者的空闲时间
“恶意软件试图从微信获取受害者的 WeChatID、电子邮件和电话号码,”Puzan 说。“至于钉钉,攻击者对更详细的受害者数据感兴趣:用户工作的组织和部门名称、用户名、公司电子邮件地址和电话号码。”对攻击基础设施的进一步分析表明,除了位于美国和荷兰的两台服务器外,几乎所有的 C2 服务器都位于中国。最重要的是,据说包含 macOS 安装包(“OpenVPNConnect.zip”)的 ZIP 存档是之前从属于名为 miHoYo 的中国视频游戏开发商的域下载的,该域以 Genshin Impact 和 Honkai 而闻名。目前尚不清楚该文件是如何上传到相关域的(“vpn.mihoyo[.]com“),如果服务器在过去某个时间点遭到入侵。该活动的广泛程度也尚不清楚,但即使在这么多年之后,后门仍在被使用的事实表明在某种程度上取得了成功。“我们发现的 HZ Rat 的 macOS 版本表明,之前攻击背后的威胁行为者仍然活跃,”Puzan 说。“该恶意软件仅收集用户数据,但稍后可以用于在受害者的网络中横向移动,正如一些样本中存在的私有 IP 地址所表明的那样。”
页:
[1]