针对钉钉、微信MacOS用户的大规模间谍活动

安全 应用安全
随着MacOS市场份额和用户的不断增长,特别是在企业高价值个人用户(例如管理和研发人员)中广泛使用,黑客们也开始将目光投向这一曾被认为较为安全的平台。近日,卡巴斯基曝光了一个针对MacOS平台上的钉钉和微信用户的大规模间谍活动。

随着MacOS市场份额和用户的不断增长,特别是在企业高价值个人用户(例如管理和研发人员)中广泛使用,黑客们也开始将目光投向这一曾被认为较为安全的平台。近日,卡巴斯基曝光了一个针对MacOS平台上的钉钉和微信用户的大规模间谍活动。

卡巴斯基的研究人员Sergey Puzan发现,一种名为HZ RAT的后门恶意软件已经针对苹果MacOS系统进行了专门设计,这一版本几乎完全复制了HZ RAT在Windows系统上的功能,仅在负载(payload)形式上有所不同,MacOS版本通过攻击者服务器发送的shell脚本来接收指令。

一个简单但极其危险的后门间谍程序

HZ RAT首次由德国网络安全公司DCSO于2022年11月发现并记录,该恶意软件通常通过自解压zip压缩包或使用Royal Road RTF武器化工具生成的恶意RTF文档传播。这些攻击链通过RTF文档部署Windows版本的恶意软件,利用微软Office中存在多年的Equation Editor漏洞(CVE-2017-11882)执行代码。

HZ RAT的另一种传播方式是伪装成合法软件的安装程序,如OpenVPN、PuTTYgen或EasyConnect。这些伪装的软件除了正常安装外,还会执行一个Visual Basic脚本(VBS),该脚本负责启动RAT(远程访问工具)。

HZ RAT虽然功能相对简单,但却不容小觑。它能够连接到命令与控制(C2)服务器接收进一步指令,这些指令包括执行PowerShell命令和脚本、向系统写入任意文件、将文件上传到服务器,以及发送心跳信息。这些功能表明,HZ RAT可能主要用于凭据窃取和系统侦察活动。

研究显示,HZ RAT的早期版本至少可以追溯到2020年6月。DCSO表示,这一恶意软件的攻击活动至少自2020年10月起便已开始。

MacOS版本的新威胁

卡巴斯基在2023年7月上传至VirusTotal的最新样本中发现,恶意软件伪装成OpenVPN Connect的安装包("OpenVPNConnect.pkg"),一旦启动便与C2服务器建立联系,并执行四个与Windows版本类似的基本命令:

执行shell命令(如系统信息、本地IP地址、已安装应用列表、钉钉、Google密码管理器和微信的数据)

  • 向磁盘写入文件
  • 将文件发送到C2服务器
  • 检查受害者的可用性

“恶意软件试图从微信中获取受害者的WeChatID、电子邮件和电话号码,”Puzan表示,“至于钉钉,攻击者对更详细的受害者数据感兴趣,如用户所在的组织和部门名称、用户名、公司电子邮件地址以及电话号码。”

攻击活动仍在持续

进一步的分析显示,几乎所有C2服务器都位于中国,除两台服务器分别位于美国和荷兰之外。此外,MacOS安装包的ZIP压缩包曾被下载自中国知名游戏开发公司米哈游(miHoYo)的域名,miHoYo因开发了《原神》和《崩坏》系列游戏而闻名。目前尚不清楚该文件是如何上传到该公司域名的,也无法确定其服务器是否曾遭到入侵。

HZ RAT推出MacOS版本表明,之前的攻击者仍然活跃。尽管目前这些恶意软件的主要目的是收集用户数据,但考虑到样本中包含的私有IP地址,未来它可能被用于在受害者网络中进行横向移动。

通过系统侦察、凭据收集,黑客可进一步入侵用户网络,获取高价值信息,如企业机密和个人隐私数据。


责任编辑:华轩 来源: GoUpSec
相关推荐

2024-08-30 11:29:01

2018-04-18 07:20:12

微信腾讯阿里巴巴

2020-09-21 10:52:09

网络间谍恶意软件攻击

2020-04-10 16:41:27

微信钉钉APP

2015-05-13 14:55:25

2015-12-15 15:07:06

2021-10-22 09:32:55

即时通讯通讯软件微信

2020-03-30 09:36:11

飞书协同办公钉钉

2017-12-25 14:47:24

移动

2022-09-20 00:20:56

网络安全微软游戏

2023-03-29 12:29:28

2018-12-20 11:07:47

飞信微信中国移动

2020-02-04 11:22:47

云计算行业办公

2018-09-06 14:45:57

2018-02-08 17:22:14

智能办公企业微信钉钉

2020-02-10 10:49:52

办公电脑微信

2024-09-04 14:18:03

2011-02-25 09:33:46

网络安全网络间谍攻击

2011-08-01 08:59:08

Email安全间谍软件

2014-12-12 15:45:32

点赞
收藏

51CTO技术栈公众号