針對釘釘、微信MacOS用戶的大規模間諜活動

2024.08.28

隨著MacOS市場份額和用戶的不斷增長,特別是在企業高價值個人用戶(例如管理和研發人員)中廣泛使用,駭客也開始將目光投向這個曾被認為較為安全的平台。近日,卡巴斯基曝光了一個針對MacOS平台上的釘釘和微信用戶的大規模間諜活動。

卡巴斯基的研究人員Sergey Puzan發現,一種名為HZ RAT的後門惡意軟體已經針對蘋果MacOS系統進行了專門設計,這一版本幾乎完全複製了HZ RAT在Windows系統上的功能,僅在負載( payload)形式上有所不同,MacOS版本透過攻擊者伺服器發送的shell腳本來接收指令。

一個簡單但極度危險的後門間諜程序

HZ RAT首次由德國網路安全公司DCSO於2022年11月發現並記錄,該惡意軟體通常透過自解壓縮zip壓縮套件或使用Royal Road RTF武器化工具產生的惡意RTF文件傳播。這些攻擊鏈透過RTF文件部署Windows版本的惡意軟體,利用微軟Office中存在多年的Equation Editor漏洞(CVE-2017-11882)執行程式碼。

HZ RAT的另一種傳播方式是偽裝成合法軟體的安裝程序,例如OpenVPN、PuTTYgen或EasyConnect。這些偽裝的軟體除了正常安裝外,還會執行一個Visual Basic腳本(VBS),該腳本負責啟動RAT(遠端存取工具)。

HZ RAT雖然功能相對簡單,但卻不容小覷。它能夠連接到命令與控制(C2)伺服器接收進一步指令,這些指令包括執行PowerShell命令和腳本、向系統寫入任意檔案、將檔案上傳到伺服器,以及發送心跳資訊。這些功能表明,HZ RAT可能主要用於憑證竊取和系統偵察活動。

研究顯示,HZ RAT的早期版本至少可以追溯到2020年6月。 DCSO表示,這項惡意軟體的攻擊活動至少自2020年10月起便已開始。

MacOS版本的新威脅

卡巴斯基在2023年7月上傳至VirusTotal的最新樣本中發現,惡意軟體偽裝成OpenVPN Connect的安裝包("OpenVPNConnect.pkg"),一旦啟動便與C2伺服器建立聯繫,並執行四個與Windows版本類似的基本命令:

執行shell指令(如係統資訊、本機IP位址、已安裝應用程式清單、釘釘、Google密碼管理器和微信的資料)

  • 向磁碟寫入文件
  • 將檔案傳送到C2伺服器
  • 檢查受害者的可用性

「惡意軟體試圖從微信中獲取受害者的WeChatID、電子郵件和電話號碼,」Puzan表示,「至於釘釘,攻擊者對更詳細的受害者資料感興趣,如用戶所在的組織和部門名稱、用戶名、公司電子郵件地址以及電話號碼。

攻擊活動仍在持續

進一步的分析顯示,幾乎所有C2伺服器都位於中國,除兩台伺服器分別位於美國和荷蘭之外。此外,MacOS安裝包的ZIP壓縮包曾被下載自中國知名遊戲開發公司米哈遊(miHoYo)的域名,miHoYo因開發了《原神》和《崩壞》系列遊戲而聞名。目前尚不清楚該文件是如何上傳到該公司網域的,也無法確定其伺服器是否曾遭到入侵。

HZ RAT推出MacOS版本表明,先前的攻擊者仍然活躍。儘管目前這些惡意軟體的主要目的是收集用戶數據,但考慮到樣本中包含的私有IP位址,未來它可能被用於在受害者網路中進行橫向移動。

透過系統偵察、憑證收集,駭客可進一步入侵使用者網絡,取得高價值資訊,如企業機密和個人隱私資料。