信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

隨著MacOS市場份額和用戶的不斷增長，特別是在企業(yè)高價值個人用戶（例如管理和研發(fā)人員）中廣泛使用，黑客們也開始將目光投向這一曾被認為較為安全的平臺。近日，卡巴斯基曝光了一個針對MacOS平臺上的釘釘和微信用戶的大規(guī)模間諜活動。

卡巴斯基的研究人員Sergey Puzan發(fā)現(xiàn)，一種名為HZ RAT的后門惡意軟件已經(jīng)針對蘋果MacOS系統(tǒng)進行了專門設(shè)計，這一版本幾乎完全復(fù)制了HZ RAT在Windows系統(tǒng)上的功能，僅在負載（payload）形式上有所不同，MacOS版本通過攻擊者服務(wù)器發(fā)送的shell腳本來接收指令。

一個簡單但極其危險的后門間諜程序

HZ RAT首次由德國網(wǎng)絡(luò)安全公司DCSO于2022年11月發(fā)現(xiàn)并記錄，該惡意軟件通常通過自解壓zip壓縮包或使用Royal Road RTF武器化工具生成的惡意RTF文檔傳播。這些攻擊鏈通過RTF文檔部署Windows版本的惡意軟件，利用微軟Office中存在多年的Equation Editor漏洞（CVE-2017-11882）執(zhí)行代碼。

HZ RAT的另一種傳播方式是偽裝成合法軟件的安裝程序，如OpenVPN、PuTTYgen或EasyConnect。這些偽裝的軟件除了正常安裝外，還會執(zhí)行一個Visual Basic腳本（VBS），該腳本負責啟動RAT（遠程訪問工具）。

HZ RAT雖然功能相對簡單，但卻不容小覷。它能夠連接到命令與控制（C2）服務(wù)器接收進一步指令，這些指令包括執(zhí)行PowerShell命令和腳本、向系統(tǒng)寫入任意文件、將文件上傳到服務(wù)器，以及發(fā)送心跳信息。這些功能表明，HZ RAT可能主要用于憑據(jù)竊取和系統(tǒng)偵察活動。

研究顯示，HZ RAT的早期版本至少可以追溯到2020年6月。DCSO表示，這一惡意軟件的攻擊活動至少自2020年10月起便已開始。

MacOS版本的新威脅

卡巴斯基在2023年7月上傳至VirusTotal的最新樣本中發(fā)現(xiàn)，惡意軟件偽裝成OpenVPN Connect的安裝包（"OpenVPNConnect.pkg"），一旦啟動便與C2服務(wù)器建立聯(lián)系，并執(zhí)行四個與Windows版本類似的基本命令：

執(zhí)行shell命令（如系統(tǒng)信息、本地IP地址、已安裝應(yīng)用列表、釘釘、Google密碼管理器和微信的數(shù)據(jù)）

●向磁盤寫入文件

●將文件發(fā)送到C2服務(wù)器

●檢查受害者的可用性

“惡意軟件試圖從微信中獲取受害者的WeChatID、電子郵件和電話號碼，”Puzan表示，“至于釘釘，攻擊者對更詳細的受害者數(shù)據(jù)感興趣，如用戶所在的組織和部門名稱、用戶名、公司電子郵件地址以及電話號碼。”

攻擊活動仍在持續(xù)

進一步的分析顯示，幾乎所有C2服務(wù)器都位于中國，除兩臺服務(wù)器分別位于美國和荷蘭之外。此外，MacOS安裝包的ZIP壓縮包曾被下載自中國知名游戲開發(fā)公司米哈游（miHoYo）的域名，miHoYo因開發(fā)了《原神》和《崩壞》系列游戲而聞名。目前尚不清楚該文件是如何上傳到該公司域名的，也無法確定其服務(wù)器是否曾遭到入侵。

HZ RAT推出MacOS版本表明，之前的攻擊者仍然活躍。盡管目前這些惡意軟件的主要目的是收集用戶數(shù)據(jù)，但考慮到樣本中包含的私有IP地址，未來它可能被用于在受害者網(wǎng)絡(luò)中進行橫向移動。

通過系統(tǒng)偵察、憑據(jù)收集，黑客可進一步入侵用戶網(wǎng)絡(luò)，獲取高價值信息，如企業(yè)機密和個人隱私數(shù)據(jù)。