HZ RAT后门软件 macOS 版本瞄准中国消息应用用户

阅读量53471

发布时间 : 2024-08-28 12:51:23

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/08/macos-version-of-hz-rat-backdoor.html

译文仅供参考,具体内容表达以及含义原文为准。

钉钉和微信等中国即时通讯应用程序的用户是 Apple macOS 版本名为 HZ RAT 的后门的目标。

卡巴斯基研究员谢尔盖·普赞(Sergey Puzan)说,这些工件“几乎完全复制了Windows版本的后门程序的功能,仅在有效载荷上有所不同,有效载荷以shell脚本的形式从攻击者的服务器接收。

HZ RAT 于 2022 年 11 月由德国网络安全公司 DCSO 首次记录,恶意软件通过自解压 zip 档案或恶意 RTF 文档分发,这些文档可能是使用 Royal Road RTF 武器化器构建的。

涉及 RTF 文档的攻击链旨在通过利用方程式编辑器中存在多年的 Microsoft Office 漏洞 (CVE-2017-11882) 来部署在受感染主机上执行的 Windows 版本的恶意软件。

另一方面,第二种分发方法伪装成合法软件(如 OpenVPN、PuTTYgen 或 EasyConnect)的安装程序,除了实际安装诱饵程序外,还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。

HZ RAT 的功能相当简单,因为它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送检测信号信息。

鉴于该工具的功能有限,怀疑该恶意软件主要用于凭据收集和系统侦查活动。

有证据表明,早在 2020 年 6 月就已经在野外检测到了该恶意软件的第一次迭代。根据 DCSO 的说法,该活动本身被认为至少自 2020 年 10 月以来一直活跃。

卡巴斯基于 2023 年 7 月上传到 VirusTotal 的最新样本,它冒充了 OpenVPN Connect(“OpenVPNConnect.pkg”),一旦启动,它就会与后门中指定的 C2 服务器建立联系,以运行四个基本命令,这些命令类似于其 Windows 对应项 –

  • 执行 shell 命令(例如,系统信息、本地 IP 地址、已安装的应用程序列表、来自钉钉、Google 密码管理器和微信的数据)
  • 将文件写入磁盘
  • 将文件发送到 C2 服务器
  • 检查受害者的空闲时间

“恶意软件试图从微信获取受害者的 WeChatID、电子邮件和电话号码,”Puzan 说。“至于钉钉,攻击者对更详细的受害者数据感兴趣:用户工作的组织和部门名称、用户名、公司电子邮件地址和电话号码。”

对攻击基础设施的进一步分析表明,除了位于美国和荷兰的两台服务器外,几乎所有的 C2 服务器都位于中国。

最重要的是,据说包含 macOS 安装包(“OpenVPNConnect.zip”)的 ZIP 存档是之前从属于名为 miHoYo 的中国视频游戏开发商的域下载的,该域以 Genshin Impact 和 Honkai 而闻名。

目前尚不清楚该文件是如何上传到相关域的(“vpn.mihoyo[.]com“),如果服务器在过去某个时间点遭到入侵。该活动的广泛程度也尚不清楚,但即使在这么多年之后,后门仍在被使用的事实表明在某种程度上取得了成功。

“我们发现的 HZ Rat 的 macOS 版本表明,之前攻击背后的威胁行为者仍然活跃,”Puzan 说。“该恶意软件仅收集用户数据,但稍后可以用于在受害者的网络中横向移动,正如一些样本中存在的私有 IP 地址所表明的那样。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66