卡巴斯基安全研究人員發現����,釘釘和微信等中國即時通訊應用的用戶是蘋果 macOS 版后門HZ RAT的目標�。
卡巴斯基研究員 Sergey Puzan表示����,這些文件“幾乎完全復制了 Windows 版后門的功能,僅在于有效載荷有所不同����,該載荷以來自攻擊者服務器的 shell 腳本的形式接收” 。
HZ RAT于 2022 年 11 月首次由德國網絡安全公司 DCSO 記錄,該惡意軟件通過自解壓 zip 檔案或惡意 RTF 文檔進行分發,據推測是使用Royal Road RTF 武器化器構建的����。
涉及 RTF 文檔的攻擊鏈旨在通過利用公式編輯器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 來部署在受感染主機上執行的 Windows 版本的惡意軟件��。
另一方面,第二種分發方法偽裝成合法軟件(如 OpenVPN、PuTTYgen 或 EasyConnect)的安裝程序�,除了實際安裝誘餌程序外�����,還執行負責啟動 RAT 的 Visual Basic 腳本 (VBS)。
HZ RAT 的功能相當簡單�����,它連接到命令和控制 (C2) 服務器以接收進一步的指令�����。這包括執行 PowerShell 命令和腳本�����、將任意文件寫入系統、將文件上傳到服務器以及發送心跳信息。
鑒于該工具的功能有限,人們懷疑該惡意軟件主要用于憑證收集和系統偵察活動���。
證據表明,早在 2020 年 6 月,該惡意軟件的首次迭代就已在野外被發現���。根據 DCSO 的說法,該活動本身被認為至少從 2020 年 10 月開始活躍。
卡巴斯基發現的最新樣本于 2023 年 7 月上傳到 VirusTotal�,它冒充了 OpenVPN Connect(“OpenVPNConnect.pkg”)����,一旦啟動�����,就會與后門中指定的 C2 服務器建立聯系,運行與 Windows 版本類似的四個基本命令:
它于 2023 年 7 月被上傳到 VirusTotal�,在研究時�,與其他后門樣本一樣�����,沒有被任何供應商檢測到�。安裝程序采用合法“OpenVPN Connect”應用程序的包裝器形式�,而 MacOS 軟件包目錄 除了原始客戶端外還包含兩個文件:exe和 init。
Puzan 表示:“該惡意軟件試圖從微信獲取受害者的微信 ID�、電子郵件和電話號碼�����。至于釘釘,攻擊者對更詳細的受害者數據感興趣:用戶所在組織和部門的名稱���、用戶名����、公司電子郵件地址和電話號碼����。”
獲取微信數據
獲取釘釘數據
對攻擊基礎設施的進一步分析顯示�����,除位于美國和荷蘭的兩臺 C2 服務器外���,幾乎所有 C2 服務器都位于中國�����。
除此之外,據說包含 macOS 安裝包(“OpenVPNConnect.zip”)的 ZIP 存檔是先前從一家名為 miHoYo 的中國視頻游戲開發商的域中下載的��,該開發商以《原神》和《崩壞》而聞名�。
目前尚不清楚該文件是如何上傳到相關域名(“vpn.mihoyo[.]com”)的,以及服務器是否在過去某個時間點受到攻擊�。該活動的范圍也尚不確定�����,但經過這么多年,后門仍在使用���,這一事實表明該活動取得了一定程度的成功。
Puzan 表示:“我們發現的 macOS 版本的 HZ Rat 表明��,此前攻擊背后的黑客仍然活躍�����。該惡意軟件僅收集用戶數據���,但之后可能會被用來在受害者的網絡中橫向移動�����,一些樣本中存在的私有 IP 地址就表明了這一點��?�!?/p>
技術報告:https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/
參考鏈接:
https://thehackernews.com/2024/08/macos-version-of-hz-rat-backdoor.html
粗略的寫個帖子,分享一下自己的「內網安全」學習經驗�,不成體系�,多多包涵��,未完待續 ... :)
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
- ailx10:內網安全「攻防」學習指南
- ailx10:Cobalt Strike后滲透神器入門
- ailx10:Cobalt Strike模塊詳解&功能詳解
- ailx10:Cobalt Strike常用命令
- ailx10:Cobalt Strike4.3 入門
- ailx10:metasploit滲透測試入門
- ailx10:「后滲透測試」神器Empire入門
- ailx10:白帽飛客從入門到放肆
- ailx10:WatchAD內網安全態勢感知系統簡介
- ailx10:WatchAD內網安全態勢感知系統搭建
- ailx10:內網安全之后門入門實驗
- ailx10:windows后門(粘滯鍵后門)
- ailx10:什么是計劃任務后門�?
- ailx10:注冊表注入后門的簡單實驗
- ailx10:wmi后門的簡單實驗
- ailx10:Nishang下的Webshell實驗
- ailx10:php菜刀weevely的簡單實驗
- ailx10:php菜刀webacoo的簡單實驗
- ailx10:webshell蟻劍使用體驗
- ailx10:內網安全之域控入門實驗
- ailx10:windows卷影拷貝服務提取ntds.dit
- ailx10:使用vssadmin提取ntds.dit
- ailx10:使用vssadmin提取ntds.dit
- ailx10:使用impacket工具包導出散列值
- ailx10:獲取域散列值:mimikatz和dcsync
- ailx10:使用metasploit獲取域散列值
- ailx10:kerberos域用戶提權分析
- ailx10:黃金票據
- ailx10:白銀票據
- ailx10:內網安全之隧道入門實驗
- ailx10:隱蔽通信隧道技術
- ailx10:再看ICMP隧道
- ailx10:Lcx端口轉發初探
- ailx10:netcat網絡瑞士軍刀初探
- ailx10:3分鐘搞懂反彈shell
- ailx10:netcat內網代理實踐
- ailx10:windows版瑞士軍刀powercat之牛刀小試
- ailx10:ICMP隧道
- ailx10:再看DNS隧道
- ailx10:SSH隧道的本地(遠程)轉發
- ailx10:SSH隧道的動態轉發
- ailx10:HTTP Service代理入門
- ailx10:基于dnscat2的DNS隧道研究
- ailx10:基于dns2tcp的DNS隧道研究
- ailx10:基于tcp-over-dns的DNS隧道研究
- ailx10:基于Cobalt Strike 4.3的DNS隧道研究
- ailx10:基于iodine的DNS隧道研究
- ailx10:基于dnslivery的DNS隧道研究
- ailx10:基于dnsexfiltrator的DNS隧道研究
- ailx10:基于Reverse_DNS_Shell的DNS隧道研究
- ailx10:基于OzymanDNS的DNS隧道
- ailx10:基于tuns的DNS隧道研究
- ailx10:frp搭建SSH隧道
- ailx10:內網安全之橫向移動入門實驗
- ailx10:常用windows遠程連接和相關命令
- ailx10:windows系統密碼獲取分析和防范
- ailx10:使用Hashcat獲取弱密碼
- ailx10:哦����!原來這就是哈希傳遞
- ailx10:哦!原來這就是票據傳遞攻擊
- ailx10:使用PsExec獲得windows遠程控制權限
- ailx10:WMI(windows管理模塊)橫向滲透
- ailx10:永恒之藍ms17-010
- ailx10:內網安全之提權入門實驗
- ailx10:系統內核溢出漏洞提權分析和防范
- ailx10:windows操作系統配置錯誤利用分析和防范
- ailx10:組策略首選項提權分析和防范
- ailx10:繞過UAC提權分析和防范
- ailx10:令牌竊取分析和防范
未完待續 ... :)
發布于 知乎 2022-06-11 23:52
