Исследователи из
Лаборатории Касперского сообщают об обнаружении macOS-версии бэкдора
HZ Rat, нацеленного на пользователей китайских приложений
DingTalk и WeChat.
При этом замеченный артефакты практически в точности повторяют функционал Windows-версии бэкдора и различаются лишь полезной нагрузкой, которая доставляется в виде shell-скриптов с сервера злоумышленников
HZ RAT был впервые задокументирован немецкой
DCSO в ноябре 2022 года и распространялся через zip-архивы или вредоносные RTF, предположительно созданные с использованием
Royal Road RTF Weaponizer.
Цепочки атак с использованием RTF-документов разработаны для развертывания версии вредоносного ПО для
Windows, которая выполняется на скомпрометированном хосте благодаря давней CVE-2017-11882 в
Microsoft Office.
Другой метод распространения задействует установщик легального ПО
OpenVPN, PuTTYgen или EasyConnect, который, помимо фактической установки программы-приманки, также выполняет сценарий
Visual Basic (VBS), отвечающий за запуск RAT.
Функциональность
HZ RAT довольно проста.
После подключения к C2 реализуются дальнейшие инструкции, включая выполнение команд и скриптов
PowerShell, запись и отправка файлов, проверка доступности жертвы.
Учитывая ограниченную функциональность инструмента, есть предположение, что вредоносное ПО в основном используется для сбора учетных данных и разведки систем.
Факты свидетельствуют о том, что первые версии вредоносного ПО были обнаружены еще в июне 2020 года.
По данным
DCSO, сама кампания активизировалась как минимум с октября 2020 года.
Последний образец, обнаруженный
Лабораторией Касперского, был загружен на
VirusTotal в июле 2023 года, выдавая себя за
OpenVPN Connect (OpenVPNConnect.pkg), который при запуске устанавливает связь с C2 в соответствии со списком из указанных в бэкдоре IP-адресов.
Для общения с C2 используется XOR-шифрование с ключом 0x42.
Бэкдор поддерживает всего четыре основные команды, как в версии для
Windows.
В рамках исследования удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных о жертве: статус
System Integrity Protection (SIP), информации о системе и устройстве, список приложений, информация по
WeChat и DingTalk, а также креды из менеджера паролей
Google.
Дальнейший анализ инфраструктуры атаки показал, что почти все C2 расположены в
Китае, за исключением двух, которые находятся в
США и Нидерландах.
Кроме того, сообщается, что ZIP-архив, содержащий установочный пакет
OpenVPNConnect.zip, ранее был загружен с домена, принадлежащего китайскому разработчику видеоигр
miHoYo, известному по
Genshin Impact и Honkai.
В настоящее время неясно, как файл был загружен на домен, о котором идет речь ("vpn.mihoyo[.]com"), и был ли сервер скомпрометирован в какой-то момент в прошлом.
Также неясно, насколько широко распространена кампания, но последняя найденная версия
HZ Rat для macOS показывает, что злоумышленники, стоявшие за предыдущими атаками, все еще активны.
ادامه مطلب ...