HZ RAT最初由德国网络安全公司DCSO于2022年11月发现，通过自解压zip档案或恶意 RTF文档传播。利用微软Office中的方程编辑器漏洞（CVE-2017-11882），攻击链通过RTF文档来部署Windows版本的恶意软件。另一种传播方式则是伪装成正版合法软件的安装程序（如OpenVPN、PuTTYgen或 EasyConnect），除了安装诱饵程序外，还执行Visual Basic脚本来启动RAT。

针对macOS用户的HZ RAT的功能相对简单，主要是连接到命令和控制（C2）服务器以接收进一步的指令，包括执行PowerShell命令和脚本、写入任意文件到系统、上传文件到服务器以及发送检测信号信息。

由于该工具的功能有限，安全研究人员怀疑该恶意软件主要用于凭据收集和系统侦察活动。证据表明，该恶意软件的早期版本可追溯到2020年6月份，并且该活动自2020年10月份以来一直活跃。

最近，卡巴斯基又发现了一种新的样本，该样本伪装成OpenVPN Connect（"OpenVPNConnect.pkg"），在启动时与C2服务器建立联系，执行四个基本命令，包括：

执行shell命令（例如，系统信息，本地IP 地址，已安装的应用程序列表，来自钉钉、Google 密码管理器和微信的数据）；

写入文件到磁盘；

发送文件到C2服务器；

检查受害者的可用性。

卡巴斯基研究员Sergey Puzan发现，该恶意软件试图从微信中获取受害者的微信号、电子邮件和电话号码；对于钉钉，攻击者则对受害者的一些详细数据感兴趣（比如组织名称、部门名称、用户名、企业电子邮件地址和电话号码）。

进一步分析攻击基础设施后，安全研究人员发现，除两个C2服务器位于美国和荷兰，其余都位于中国。值得注意的是，包含macOS安装包的"OpenVPNConnect.zip"文件之前是从中国游戏开发商miHoYo（知名游戏《原神》的开发商）的域名下载的。目前尚不清楚该文件是如何上传到该域名的，亦不知晓其服务器是否曾被入侵。

安全研究人员警告，HZ RAT的macOS版本表明攻击者仍然很活跃，尽管该恶意软件目前只在收集用户数据，但非常有可能会被用于进一步的攻击。

资讯来源：Kaspersky、thehackernews

转载请注明出处和本文链接

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！