隨著MacOS市場份額和用戶的不斷增長，特別是在企業(yè)高價(jià)值個(gè)人用戶(例如管理和研發(fā)人員)中廣泛使用，黑客們也開始將目光投向這一曾被認(rèn)為較為安全的平臺(tái)。近日，卡巴斯基曝光了一個(gè)針對MacOS平臺(tái)上的釘釘和微信用戶的大規(guī)模間諜活動(dòng)。

　　卡巴斯基的研究人員Sergey Puzan發(fā)現(xiàn)，一種名為HZ RAT的后門惡意軟件已經(jīng)針對蘋果MacOS系統(tǒng)進(jìn)行了專門設(shè)計(jì)，這一版本幾乎完全復(fù)制了HZ RAT在Windows系統(tǒng)上的功能，僅在負(fù)載(payload)形式上有所不同，MacOS版本通過攻擊者服務(wù)器發(fā)送的shell腳本來接收指令。

　　一個(gè)簡單但極其危險(xiǎn)的后門間諜程序

　　HZ RAT首次由德國網(wǎng)絡(luò)安全公司DCSO于2022年11月發(fā)現(xiàn)并記錄，該惡意軟件通常通過自解壓zip壓縮包或使用Royal Road RTF武器化工具生成的惡意RTF文檔傳播。這些攻擊鏈通過RTF文檔部署Windows版本的惡意軟件，利用微軟Office中存在多年的Equation Editor漏洞(CVE-2017-11882)執(zhí)行代碼。

　　HZ RAT的另一種傳播方式是偽裝成合法軟件的安裝程序，如OpenVPN、PuTTYgen或EasyConnect。這些偽裝的軟件除了正常安裝外，還會(huì)執(zhí)行一個(gè)Visual Basic腳本(VBS)，該腳本負(fù)責(zé)啟動(dòng)RAT(遠(yuǎn)程訪問工具)。

　　HZ RAT雖然功能相對簡單，但卻不容小覷。它能夠連接到命令與控制(C2)服務(wù)器接收進(jìn)一步指令，這些指令包括執(zhí)行PowerShell命令和腳本、向系統(tǒng)寫入任意文件、將文件上傳到服務(wù)器，以及發(fā)送心跳信息。這些功能表明，HZ RAT可能主要用于憑據(jù)竊取和系統(tǒng)偵察活動(dòng)。

　　研究顯示，HZ RAT的早期版本至少可以追溯到2020年6月。DCSO表示，這一惡意軟件的攻擊活動(dòng)至少自2020年10月起便已開始。

　　MacOS版本的新威脅

　　卡巴斯基在2023年7月上傳至VirusTotal的最新樣本中發(fā)現(xiàn)，惡意軟件偽裝成OpenVPN Connect的安裝包("OpenVPNConnect.pkg")，一旦啟動(dòng)便與C2服務(wù)器建立聯(lián)系，并執(zhí)行四個(gè)與Windows版本類似的基本命令：

　　執(zhí)行shell命令(如系統(tǒng)信息、本地IP地址、已安裝應(yīng)用列表、釘釘、Google密碼管理器和微信的數(shù)據(jù))

　　向磁盤寫入文件

　　將文件發(fā)送到C2服務(wù)器

　　檢查受害者的可用性

　　“惡意軟件試圖從微信中獲取受害者的WeChatID、電子郵件和電話號(hào)碼，”Puzan表示，“至于釘釘，攻擊者對更詳細(xì)的受害者數(shù)據(jù)感興趣，如用戶所在的組織和部門名稱、用戶名、公司電子郵件地址以及電話號(hào)碼。”

　　攻擊活動(dòng)仍在持續(xù)

　　進(jìn)一步的分析顯示，幾乎所有C2服務(wù)器都位于中國，除兩臺(tái)服務(wù)器分別位于美國和荷蘭之外。此外，MacOS安裝包的ZIP壓縮包曾被下載自中國知名游戲開發(fā)公司米哈游(miHoYo)的域名，miHoYo因開發(fā)了《原神》和《崩壞》系列游戲而聞名。目前尚不清楚該文件是如何上傳到該公司域名的，也無法確定其服務(wù)器是否曾遭到入侵。

　　HZ RAT推出MacOS版本表明，之前的攻擊者仍然活躍。盡管目前這些惡意軟件的主要目的是收集用戶數(shù)據(jù)，但考慮到樣本中包含的私有IP地址，未來它可能被用于在受害者網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)。

　　通過系統(tǒng)偵察、憑據(jù)收集，黑客可進(jìn)一步入侵用戶網(wǎng)絡(luò)，獲取高價(jià)值信息，如企業(yè)機(jī)密和個(gè)人隱私數(shù)據(jù)。