卡巴斯基研究员 Sergey Puzan表示,这些文件“几乎完全复制了 Windows 版后门的功能,仅在于有效载荷有所不同,该载荷以来自攻击者服务器的 shell 脚本的形式接收” 。
卡巴斯基安全研究人员发现,钉钉和微信等中国即时通讯应用的用户是苹果 macOS 版后门HZ RAT的目标。
HZ RAT于 2022 年 11 月首次由德国网络安全公司 DCSO 记录,该恶意软件通过自解压 zip 档案或恶意 RTF 文档进行分发,据推测是使用Royal Road RTF 武器化器构建的。
涉及 RTF 文档的攻击链旨在通过利用公式编辑器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 来部署在受感染主机上执行的 Windows 版本的恶意软件。
另一方面,第二种分发方法伪装成合法软件(如 OpenVPN、PuTTYgen 或 EasyConnect)的安装程序,除了实际安装诱饵程序外,还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。
HZ RAT 的功能相当简单,它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送心跳信息。
鉴于该工具的功能有限,人们怀疑该恶意软件主要用于凭证收集和系统侦察活动。
证据表明,早在 2020 年 6 月,该恶意软件的首次迭代就已在野外被发现。根据 DCSO 的说法,该活动本身被认为至少从 2020 年 10 月开始活跃。
卡巴斯基发现的最新样本于 2023 年 7 月上传到 VirusTotal,它冒充了 OpenVPN Connect(“OpenVPNConnect.pkg”),一旦启动,就会与后门中指定的 C2 服务器建立联系,运行与 Windows 版本类似的四个基本命令:
- 执行 shell 命令(例如系统信息、本地 IP 地址、已安装应用程序列表、来自钉钉、Google 密码管理器和微信的数据)
- 将文件写入磁盘
- 发送文件到 C2 服务器
- 检查受害者的可用性
它于 2023 年 7 月被上传到 VirusTotal,在研究时,与其他后门样本一样,没有被任何供应商检测到。安装程序采用合法“OpenVPN Connect”应用程序的包装器形式,而 MacOS 软件包目录 除了原始客户端外还包含两个文件:exe和 init。
Puzan 表示:“该恶意软件试图从微信获取受害者的微信 ID、电子邮件和电话号码。至于钉钉,攻击者对更详细的受害者数据感兴趣:用户所在组织和部门的名称、用户名、公司电子邮件地址和电话号码。”
获取微信数据
获取钉钉数据
对攻击基础设施的进一步分析显示,除位于美国和荷兰的两台 C2 服务器外,几乎所有 C2 服务器都位于中国。
除此之外,据说包含 macOS 安装包(“OpenVPNConnect.zip”)的 ZIP 存档是先前从一家名为 miHoYo 的中国视频游戏开发商的域中下载的,该开发商以《原神》和《崩坏》而闻名。
目前尚不清楚该文件是如何上传到相关域名(“vpn.mihoyo[.]com”)的,以及服务器是否在过去某个时间点受到攻击。该活动的范围也尚不确定,但经过这么多年,后门仍在使用,这一事实表明该活动取得了一定程度的成功。
Puzan 表示:“我们发现的 macOS 版本的 HZ Rat 表明,此前攻击背后的黑客仍然活跃。该恶意软件仅收集用户数据,但之后可能会被用来在受害者的网络中横向移动,一些样本中存在的私有 IP 地址就表明了这一点。”
转自军哥网络安全读报
暂无评论内容