首页
社区
课程
招聘
[分享]针对钉钉、微信,卡巴斯基披露以macOS用户为目标的后门程序
发表于: 2024-8-29 18:06 2728

[分享]针对钉钉、微信,卡巴斯基披露以macOS用户为目标的后门程序

2024-8-29 18:06
2728

近日,卡巴斯基安全研究人员发现了一种针对中国即时通讯应用的macOS版本的后门程序,名为HZ RAT。该后门程序的功能与其Windows版本几乎完全一样,只在payload上有所不同,以shell脚本形式从攻击者的服务器接收。



HZ RAT最初由德国网络安全公司DCSO于2022年11月发现,通过自解压zip档案或恶意 RTF文档传播。利用微软Office中的方程编辑器漏洞(CVE-2017-11882),攻击链通过RTF文档来部署Windows版本的恶意软件。另一种传播方式则是伪装成正版合法软件的安装程序(如OpenVPN、PuTTYgen或 EasyConnect),除了安装诱饵程序外,还执行Visual Basic脚本来启动RAT。



针对macOS用户的HZ RAT的功能相对简单,主要是连接到命令和控制(C2)服务器以接收进一步的指令,包括执行PowerShell命令和脚本、写入任意文件到系统、上传文件到服务器以及发送检测信号信息。


由于该工具的功能有限,安全研究人员怀疑该恶意软件主要用于凭据收集和系统侦察活动。证据表明,该恶意软件的早期版本可追溯到2020年6月份,并且该活动自2020年10月份以来一直活跃。


最近,卡巴斯基又发现了一种新的样本,该样本伪装成OpenVPN Connect("OpenVPNConnect.pkg"),在启动时与C2服务器建立联系,执行四个基本命令,包括:

执行shell命令(例如,系统信息,本地IP 地址,已安装的应用程序列表,来自钉钉、Google 密码管理器和微信的数据);

写入文件到磁盘;

发送文件到C2服务器;

检查受害者的可用性。



卡巴斯基研究员Sergey Puzan发现,该恶意软件试图从微信中获取受害者的微信号、电子邮件和电话号码;对于钉钉,攻击者则对受害者的一些详细数据感兴趣(比如组织名称、部门名称、用户名、企业电子邮件地址和电话号码)。


进一步分析攻击基础设施后,安全研究人员发现,除两个C2服务器位于美国和荷兰,其余都位于中国。值得注意的是,包含macOS安装包的"OpenVPNConnect.zip"文件之前是从中国游戏开发商miHoYo(知名游戏《原神》的开发商)的域名下载的。目前尚不清楚该文件是如何上传到该域名的,亦不知晓其服务器是否曾被入侵。



安全研究人员警告,HZ RAT的macOS版本表明攻击者仍然很活跃,尽管该恶意软件目前只在收集用户数据,但非常有可能会被用于进一步的攻击。



编辑:左右里

资讯来源:Kaspersky、thehackernews

转载请注明出处和本文链接


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2024-8-29 18:29 被Editor编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//