钉钉和微信等中国即时通讯应用程序的用户是 Apple macOS 版本名为 HZ RAT 的后门的目标。
卡巴斯基研究员谢尔盖·普赞(Sergey Puzan)说,这些工件“几乎完全复制了Windows版本的后门程序的功能,仅在有效载荷上有所不同,有效载荷以shell脚本的形式从攻击者的服务器接收。
HZ RAT 于 2022 年 11 月由德国网络安全公司 DCSO 首次记录,恶意软件通过自解压 zip 档案或恶意 RTF 文档分发,这些文档可能是使用 Royal Road RTF 武器化器构建的。
涉及 RTF 文档的攻击链旨在通过利用方程式编辑器中存在多年的 Microsoft Office 漏洞 (CVE-2017-11882) 来部署在受感染主机上执行的 Windows 版本的恶意软件。
另一方面,第二种分发方法伪装成合法软件(如 OpenVPN、PuTTYgen 或 EasyConnect)的安装程序,除了实际安装诱饵程序外,还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。
HZ RAT 的功能相当简单,因为它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送检测信号信息。
鉴于该工具的功能有限,怀疑该恶意软件主要用于凭据收集和系统侦查活动。
有证据表明,早在 2020 年 6 月就已经在野外检测到了该恶意软件的第一次迭代。根据 DCSO 的说法,该活动本身被认为至少自 2020 年 10 月以来一直活跃。
卡巴斯基于 2023 年 7 月上传到 VirusTotal 的最新样本,它冒充了 OpenVPN Connect(“OpenVPNConnect.pkg”),一旦启动,它就会与后门中指定的 C2 服务器建立联系,以运行四个基本命令,这些命令类似于其 Windows 对应项 –
- 执行 shell 命令(例如,系统信息、本地 IP 地址、已安装的应用程序列表、来自钉钉、Google 密码管理器和微信的数据)
- 将文件写入磁盘
- 将文件发送到 C2 服务器
- 检查受害者的空闲时间
“恶意软件试图从微信获取受害者的 WeChatID、电子邮件和电话号码,”Puzan 说。“至于钉钉,攻击者对更详细的受害者数据感兴趣:用户工作的组织和部门名称、用户名、公司电子邮件地址和电话号码。”
对攻击基础设施的进一步分析表明,除了位于美国和荷兰的两台服务器外,几乎所有的 C2 服务器都位于中国。
最重要的是,据说包含 macOS 安装包(“OpenVPNConnect.zip”)的 ZIP 存档是之前从属于名为 miHoYo 的中国视频游戏开发商的域下载的,该域以 Genshin Impact 和 Honkai 而闻名。
目前尚不清楚该文件是如何上传到相关域的(“vpn.mihoyo[.]com“),如果服务器在过去某个时间点遭到入侵。该活动的广泛程度也尚不清楚,但即使在这么多年之后,后门仍在被使用的事实表明在某种程度上取得了成功。
“我们发现的 HZ Rat 的 macOS 版本表明,之前攻击背后的威胁行为者仍然活跃,”Puzan 说。“该恶意软件仅收集用户数据,但稍后可以用于在受害者的网络中横向移动,正如一些样本中存在的私有 IP 地址所表明的那样。”