卡巴斯基报告一个针对使用钉钉和微信的 macOS 用户进行攻击的后门程序

[sxlog]

2024 年 6 月，我们发现了一个针对企业通讯软件钉钉和社交网络及消息平台微信的 macOS 版本 HZ Rat 后门程序。我们找到的样本几乎完全复制了 Windows 版本后门的功能，只在有效载荷上有所不同，该有效载荷是从攻击者的服务器以 shell 脚本的形式接收的。我们注意到，一些版本的后门使用本地 IP 地址连接 C2，这让我们认为这一威胁可能是针对性的。这也表明攻击者可能意图利用该后门在受害者网络中进行横向移动。
最早的样本于 2023 年 7 月被上传至 VirusTotal，在研究时尚未被任何厂商检测出，与其他后门样本类似。安装程序形式上是合法应用程序“OpenVPN Connect”的包装程序

程序会尝试获取以下信息：
系统和设备信息，包括：本地 IP 地址；蓝牙设备信息；可用的 Wi-Fi 网络、无线网卡和设备所连接的网络信息；硬件规格；数据存储信息；

应用程序列表；
微信中的用户信息；
钉钉中的用户和组织信息；
来自 Google 密码管理器的用户名/网站值对。

在研究期间，发现有四个控制服务器处于活动状态并返回恶意命令。如前所述，在指定的 IP 地址中还有一些私有地址。此类样本可能用于控制受害者网络内的一台已感染计算机，该计算机作为代理将连接重定向到 C2 服务器。通常，这有助于隐藏网络上恶意软件的存在，因为只有具有代理的设备会与 C2 通信。

据 VirusTotal 显示，以上提到的安装包曾经从一家中国游戏开发商 MiHoYo 的域名下载： hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip。

研究人员发现的 macOS 版 HZ Rat 显示了幕后攻击者仍然活跃。调查期间，恶意软件仅收集用户数。此外，在研究期间，尚未发现两个后门命令（写文件到磁盘和将文件发送到服务器）的使用，因此攻击者的完整意图仍不明朗。