针对钉钉、微信,卡巴斯基披露以macOS用户为目标的后门程序
2024-8-29 17:58:56 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

近日,卡巴斯基安全研究人员发现了一种针对中国即时通讯应用的macOS版本的后门程序,名为HZ RAT。该后门程序的功能与其Windows版本几乎完全一样,只在payload上有所不同,以shell脚本形式从攻击者的服务器接收。

HZ RAT最初由德国网络安全公司DCSO于2022年11月发现,通过自解压zip档案或恶意 RTF文档传播。利用微软Office中的方程编辑器漏洞(CVE-2017-11882),攻击链通过RTF文档来部署Windows版本的恶意软件。另一种传播方式则是伪装成正版合法软件的安装程序(如OpenVPN、PuTTYgen或 EasyConnect),除了安装诱饵程序外,还执行Visual Basic脚本来启动RAT。

针对macOS用户的HZ RAT的功能相对简单,主要是连接到命令和控制(C2)服务器以接收进一步的指令,包括执行PowerShell命令和脚本、写入任意文件到系统、上传文件到服务器以及发送检测信号信息。

由于该工具的功能有限,安全研究人员怀疑该恶意软件主要用于凭据收集和系统侦察活动。证据表明,该恶意软件的早期版本可追溯到2020年6月份,并且该活动自2020年10月份以来一直活跃。

最近,卡巴斯基又发现了一种新的样本,该样本伪装成OpenVPN Connect("OpenVPNConnect.pkg"),在启动时与C2服务器建立联系,执行四个基本命令,包括:

执行shell命令(例如,系统信息,本地IP 地址,已安装的应用程序列表,来自钉钉、Google 密码管理器和微信的数据);

写入文件到磁盘;

发送文件到C2服务器;

检查受害者的可用性。

卡巴斯基研究员Sergey Puzan发现,该恶意软件试图从微信中获取受害者的微信号、电子邮件和电话号码;对于钉钉,攻击者则对受害者的一些详细数据感兴趣(比如组织名称、部门名称、用户名、企业电子邮件地址和电话号码)。

进一步分析攻击基础设施后,安全研究人员发现,除两个C2服务器位于美国和荷兰,其余都位于中国。值得注意的是,包含macOS安装包的"OpenVPNConnect.zip"文件之前是从中国游戏开发商miHoYo(知名游戏《原神》的开发商)的域名下载的。目前尚不清楚该文件是如何上传到该域名的,亦不知晓其服务器是否曾被入侵。

安全研究人员警告,HZ RAT的macOS版本表明攻击者仍然很活跃,尽管该恶意软件目前只在收集用户数据,但非常有可能会被用于进一步的攻击。

编辑:左右里

资讯来源:Kaspersky、thehackernews

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458570779&idx=4&sn=b28c0469bf719b5c5f57c94a2c10a406&chksm=b18de09186fa6987c45cf84003f8c0b22056ff2957db80f569a43681a937cd024a0a9edda2dc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh