針對釘釘、微信MacOS用戶的大規模間諜活動

隨著MacOS市場份額和用戶的不斷增長，特別是在企業高價值個人用戶（例如管理和研發人員）中廣泛使用，駭客也開始將目光投向這個曾被認為較為安全的平台。近日，卡巴斯基曝光了一個針對MacOS平台上的釘釘和微信用戶的大規模間諜活動。

卡巴斯基的研究人員Sergey Puzan發現，一種名為HZ RAT的後門惡意軟體已經針對蘋果MacOS系統進行了專門設計，這一版本幾乎完全複製了HZ RAT在Windows系統上的功能，僅在負載（ payload）形式上有所不同，MacOS版本透過攻擊者伺服器發送的shell腳本來接收指令。

一個簡單但極度危險的後門間諜程序

HZ RAT首次由德國網路安全公司DCSO於2022年11月發現並記錄，該惡意軟體通常透過自解壓縮zip壓縮套件或使用Royal Road RTF武器化工具產生的惡意RTF文件傳播。這些攻擊鏈透過RTF文件部署Windows版本的惡意軟體，利用微軟Office中存在多年的Equation Editor漏洞（CVE-2017-11882）執行程式碼。

HZ RAT的另一種傳播方式是偽裝成合法軟體的安裝程序，例如OpenVPN、PuTTYgen或EasyConnect。這些偽裝的軟體除了正常安裝外，還會執行一個Visual Basic腳本（VBS），該腳本負責啟動RAT（遠端存取工具）。

HZ RAT雖然功能相對簡單，但卻不容小覷。它能夠連接到命令與控制（C2）伺服器接收進一步指令，這些指令包括執行PowerShell命令和腳本、向系統寫入任意檔案、將檔案上傳到伺服器，以及發送心跳資訊。這些功能表明，HZ RAT可能主要用於憑證竊取和系統偵察活動。

研究顯示，HZ RAT的早期版本至少可以追溯到2020年6月。 DCSO表示，這項惡意軟體的攻擊活動至少自2020年10月起便已開始。

MacOS版本的新威脅

卡巴斯基在2023年7月上傳至VirusTotal的最新樣本中發現，惡意軟體偽裝成OpenVPN Connect的安裝包（"OpenVPNConnect.pkg"），一旦啟動便與C2伺服器建立聯繫，並執行四個與Windows版本類似的基本命令：

執行shell指令（如係統資訊、本機IP位址、已安裝應用程式清單、釘釘、Google密碼管理器和微信的資料）

• 向磁碟寫入文件
• 將檔案傳送到C2伺服器
• 檢查受害者的可用性

「惡意軟體試圖從微信中獲取受害者的WeChatID、電子郵件和電話號碼，」Puzan表示，「至於釘釘，攻擊者對更詳細的受害者資料感興趣，如用戶所在的組織和部門名稱、用戶名、公司電子郵件地址以及電話號碼。

攻擊活動仍在持續

進一步的分析顯示，幾乎所有C2伺服器都位於中國，除兩台伺服器分別位於美國和荷蘭之外。此外，MacOS安裝包的ZIP壓縮包曾被下載自中國知名遊戲開發公司米哈遊（miHoYo）的域名，miHoYo因開發了《原神》和《崩壞》系列遊戲而聞名。目前尚不清楚該文件是如何上傳到該公司網域的，也無法確定其伺服器是否曾遭到入侵。

HZ RAT推出MacOS版本表明，先前的攻擊者仍然活躍。儘管目前這些惡意軟體的主要目的是收集用戶數據，但考慮到樣本中包含的私有IP位址，未來它可能被用於在受害者網路中進行橫向移動。

透過系統偵察、憑證收集，駭客可進一步入侵使用者網絡，取得高價值資訊，如企業機密和個人隱私資料。