HZ RAT最初由德国网络安全公司DCSO于2022年11月发现,通过自解压zip档案或恶意 RTF文档传播。利用微软Office中的方程编辑器漏洞(CVE-2017-11882),攻击链通过RTF文档来部署Windows版本的恶意软件。另一种传播方式则是伪装成正版合法软件的安装程序(如OpenVPN、PuTTYgen或 EasyConnect),除了安装诱饵程序外,还执行Visual Basic脚本来启动RAT。
针对macOS用户的HZ RAT的功能相对简单,主要是连接到命令和控制(C2)服务器以接收进一步的指令,包括执行PowerShell命令和脚本、写入任意文件到系统、上传文件到服务器以及发送检测信号信息。
由于该工具的功能有限,安全研究人员怀疑该恶意软件主要用于凭据收集和系统侦察活动。证据表明,该恶意软件的早期版本可追溯到2020年6月份,并且该活动自2020年10月份以来一直活跃。
最近,卡巴斯基又发现了一种新的样本,该样本伪装成OpenVPN Connect("OpenVPNConnect.pkg"),在启动时与C2服务器建立联系,执行四个基本命令,包括:
执行shell命令(例如,系统信息,本地IP 地址,已安装的应用程序列表,来自钉钉、Google 密码管理器和微信的数据);
写入文件到磁盘;
发送文件到C2服务器;
检查受害者的可用性。
卡巴斯基研究员Sergey Puzan发现,该恶意软件试图从微信中获取受害者的微信号、电子邮件和电话号码;对于钉钉,攻击者则对受害者的一些详细数据感兴趣(比如组织名称、部门名称、用户名、企业电子邮件地址和电话号码)。
进一步分析攻击基础设施后,安全研究人员发现,除两个C2服务器位于美国和荷兰,其余都位于中国。值得注意的是,包含macOS安装包的"OpenVPNConnect.zip"文件之前是从中国游戏开发商miHoYo(知名游戏《原神》的开发商)的域名下载的。目前尚不清楚该文件是如何上传到该域名的,亦不知晓其服务器是否曾被入侵。
安全研究人员警告,HZ RAT的macOS版本表明攻击者仍然很活跃,尽管该恶意软件目前只在收集用户数据,但非常有可能会被用于进一步的攻击。
资讯来源:Kaspersky、thehackernews
转载请注明出处和本文链接
球分享
球点赞
球在看