后退
榜单
通知图标

正在访问 macOS 后门“HZ Rat”瞄准钉钉和微信用户,米哈游域名vpn.mihoyo[.]com涉及其中

macOS 后门“HZ Rat”瞄准钉钉和微信用户,米哈游域名vpn.mihoyo[.]com涉及其中

macOS 后门“HZ Rat”瞄准钉钉和微信用户,米哈游域名vpn.mihoyo[.]com涉及其中

VirusTotal 上的 OpenVPNConnect.pkg 卡巴斯基实验室发现了一种名为“HZ Rat”的新型 macOS 后门恶意软件,该恶意软件专门针对中国流行通信平台钉钉和微信的用户。这标志着该恶意软件的攻击范围显著扩大,此前该恶意软件仅攻击 Windows 系统。 macOS 版 HZ Rat 在功能上模仿了 Windows 版,采用了相同的命令结构和数据泄露方法。但是,它以 shell 脚本的形式传递其有效载荷,表明其可能专注于更深层次的系统渗透和受感染网络内的横向移动。 尽管 macOS 版 HZ Rat 仅支持四个基本命令:execute_cmdline、write_file、download_file 和 ping,但这些命令足以执行一系列恶意活动。例如,execute_cmdline 命令允许攻击者在受害者的设备上运行任意 shell 命令,从而可能使他们完全控制系统。 在卡巴斯基的调查过程中,他们拦截了来自 C2 服务器的命令,这些命令旨在从受害者的设备收集各种数据。其中包括: 系统完整性保护 (SIP) 状态 详细的系统和设备信息 本地 IP 地址和网络配置 蓝牙和 Wi-Fi 网络数据 硬件规格和存储详细信息 已安装应用程序的列表 微信和钉钉的用户信息 该后门还试图窃取敏感用户数据,例如受害者设备上以纯文本形式存储的微信 ID、电子邮件和电话号码。对于钉钉用户,该恶意软件更进一步,寻找详细的组织信息,包括用户的部门、公司电子邮件和电话号码。 支持 HZ Rat macOS 变体的基础设施非常广泛,调查期间发现了四个活跃的 C2 服务器。虽然这些服务器大部分位于中国,但有少数服务器被追踪到美国和荷兰,这表明这是一个全球性的行动。值得注意的是,攻击者使用的一些 IP 地址之前与针对 Windows 系统的恶意软件有关,这表明 HZ Rat 背后的威胁行为者已经活跃了一段时间,现在正在扩大其行动范围。 调查中一个特别有趣的方面是,发现安装包是从与中国著名游戏开发商米哈游关联的域名上传的。虽然尚不清楚该软件包是如何出现在这个域名上的,但这提出了一种可能性,即攻击者可能已经破坏了米哈游的基础设施,或者找到了另一种利用该公司声誉来分发恶意软件的方法。 该后门被发现隐藏在看似合法的 OpenVPN 安装包中。安装后,HZ Rat 会收集大量用户和系统信息,包括微信 ID、电子邮件地址、电话号码、雇主详细信息、硬件规格,甚至存储在 Google 密码管理器中的密码。 虽然迄今为止观察到的主要功能是数据收集,但专家警告称,HZ Rat 的全部功能可能尚未完全了解。横向移动和使用私人 C2 地址的可能性引发了人们对该恶意软件可能进行更大规模间谍活动和未来攻击的严重担忧。

 

https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/ 卡巴斯基报告

0 条回复 A文章作者 M管理员
夸夸
夸夸
还有吗!没看够!
    暂无讨论,说说你的看法吧
个人中心
购物清单
优惠代劵
今日签到
有新私信 私信列表
快速搜索
关注我们
  • 扫码打开当前页