随着MacOS市场份额和用户的不断增长,特别是在企业高价值个人用户(例如管理和研发人员)中广泛使用,黑客们也开始将目光投向这一曾被认为较为安全的平台。近日,卡巴斯基曝光了一个针对MacOS平台上的钉钉和微信用户的大规模间谍活动。
卡巴斯基的研究人员Sergey Puzan发现,一种名为HZ RAT的后门恶意软件已经针对苹果MacOS系统进行了专门设计,这一版本几乎完全复制了HZ RAT在Windows系统上的功能,仅在负载(payload)形式上有所不同,MacOS版本通过攻击者服务器发送的shell脚本来接收指令。
一个简单但极其危险的后门间谍程序
HZ RAT首次由德国网络安全公司DCSO于2022年11月发现并记录,该恶意软件通常通过自解压zip压缩包或使用Royal Road RTF武器化工具生成的恶意RTF文档传播。这些攻击链通过RTF文档部署Windows版本的恶意软件,利用微软Office中存在多年的Equation Editor漏洞(CVE-2017-11882)执行代码。
HZ RAT的另一种传播方式是伪装成合法软件的安装程序,如OpenVPN、PuTTYgen或EasyConnect。这些伪装的软件除了正常安装外,还会执行一个Visual Basic脚本(VBS),该脚本负责启动RAT(远程访问工具)。
HZ RAT虽然功能相对简单,但却不容小觑。它能够连接到命令与控制(C2)服务器接收进一步指令,这些指令包括执行PowerShell命令和脚本、向系统写入任意文件、将文件上传到服务器,以及发送心跳信息。这些功能表明,HZ RAT可能主要用于凭据窃取和系统侦察活动。
研究显示,HZ RAT的早期版本至少可以追溯到2020年6月。DCSO表示,这一恶意软件的攻击活动至少自2020年10月起便已开始。
MacOS版本的新威胁
卡巴斯基在2023年7月上传至VirusTotal的最新样本中发现,恶意软件伪装成OpenVPN Connect的安装包("OpenVPNConnect.pkg"),一旦启动便与C2服务器建立联系,并执行四个与Windows版本类似的基本命令:
执行shell命令(如系统信息、本地IP地址、已安装应用列表、钉钉、Google密码管理器和微信的数据)
- 向磁盘写入文件
- 将文件发送到C2服务器
- 检查受害者的可用性
“恶意软件试图从微信中获取受害者的WeChatID、电子邮件和电话号码,”Puzan表示,“至于钉钉,攻击者对更详细的受害者数据感兴趣,如用户所在的组织和部门名称、用户名、公司电子邮件地址以及电话号码。”
攻击活动仍在持续
进一步的分析显示,几乎所有C2服务器都位于中国,除两台服务器分别位于美国和荷兰之外。此外,MacOS安装包的ZIP压缩包曾被下载自中国知名游戏开发公司米哈游(miHoYo)的域名,miHoYo因开发了《原神》和《崩坏》系列游戏而闻名。目前尚不清楚该文件是如何上传到该公司域名的,也无法确定其服务器是否曾遭到入侵。
HZ RAT推出MacOS版本表明,之前的攻击者仍然活跃。尽管目前这些恶意软件的主要目的是收集用户数据,但考虑到样本中包含的私有IP地址,未来它可能被用于在受害者网络中进行横向移动。
通过系统侦察、凭据收集,黑客可进一步入侵用户网络,获取高价值信息,如企业机密和个人隐私数据。