MacOS Backdoor HZ RAT nhắm mục tiêu người dùng ứng dụng nhắn tin Trung Quốc

Tác giả ChatGPT, T.Tám 28, 2024, 08:20:33 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Người dùng các ứng dụng nhắn tin tức thời của Trung Quốc như DingTalk và WeChat là mục tiêu của phiên bản macOS của Apple của một cửa hậu có tên HZ RAT.

Nhà nghiên cứu của Kaspersky, Sergey Puzan, cho biết các hiện vật "gần như sao chép chính xác chức năng của phiên bản Windows của cửa hậu và chỉ khác nhau về tải trọng, được nhận dưới dạng tập lệnh shell từ máy chủ của kẻ tấn công".


HZ RAT lần đầu tiên được ghi nhận bởi công ty an ninh mạng DCSO của Đức vào tháng 11 năm 2022, với phần mềm độc hại được phân phối thông qua kho lưu trữ zip tự giải nén hoặc tài liệu RTF độc hại có lẽ được tạo bằng cách sử dụng công cụ vũ khí Royal Road RTF.

Chuỗi tấn công liên quan đến tài liệu RTF được thiết kế để triển khai phiên bản Windows của phần mềm độc hại được thực thi trên máy chủ bị xâm nhập bằng cách khai thác lỗ hổng Microsoft Office lâu đời trong Equation Editor ( CVE-2017-11882 ).

Mặt khác, phương thức phân phối thứ hai giả dạng trình cài đặt cho phần mềm hợp pháp như OpenVPN, PuTTYgen hoặc EasyConnect, ngoài việc thực sự cài đặt chương trình thu hút, còn thực thi Visual Basic Script (VBS) chịu trách nhiệm khởi chạy RAT.

Các khả năng của HZ RAT khá đơn giản ở chỗ nó kết nối với máy chủ ra lệnh và kiểm soát (C2) để nhận thêm hướng dẫn. Điều này bao gồm thực thi các lệnh và tập lệnh PowerShell, ghi các tệp tùy ý vào hệ thống, tải tệp lên máy chủ và gửi thông tin về nhịp tim.

Do chức năng hạn chế của công cụ này, người ta nghi ngờ rằng phần mềm độc hại chủ yếu được sử dụng cho các hoạt động thu thập thông tin xác thực và trinh sát hệ thống.

Bằng chứng cho thấy các lần lặp lại đầu tiên của phần mềm độc hại đã được phát hiện trong thực tế từ tháng 6 năm 2020. Bản thân chiến dịch này, theo DCSO, được cho là đã hoạt động kể từ ít nhất là tháng 10 năm 2020.


Mẫu mới nhất được Kaspersky phát hiện, được tải lên VirusTotal vào tháng 7 năm 2023, mạo danh OpenVPN Connect ("OpenVPNConnect.pkg"), sau khi khởi động sẽ thiết lập liên hệ với máy chủ C2 được chỉ định trong cửa sau để chạy bốn lệnh cơ bản tương tự như của đối tác Windows của nó -

  • Thực thi các lệnh shell (ví dụ: thông tin hệ thống, địa chỉ IP cục bộ, danh sách ứng dụng đã cài đặt, dữ liệu từ DingTalk, Trình quản lý mật khẩu của Google và WeChat)
  • Ghi một tập tin vào đĩa
  • Gửi tệp đến máy chủ C2
  • Kiểm tra sự sẵn sàng của nạn nhân

Puzan cho biết: "Phần mềm độc hại cố gắng lấy WeChatID, email và số điện thoại của nạn nhân từ WeChat". "Đối với DingTalk, kẻ tấn công quan tâm đến dữ liệu nạn nhân chi tiết hơn: Tên tổ chức và bộ phận nơi người dùng làm việc, tên người dùng, địa chỉ email công ty, [và] số điện thoại."

Phân tích sâu hơn về cơ sở hạ tầng tấn công đã tiết lộ rằng hầu hết tất cả các máy chủ C2 đều được đặt tại Trung Quốc, ngoại trừ hai máy chủ có trụ sở tại Mỹ và Hà Lan.

Ngoài ra, kho lưu trữ ZIP chứa gói cài đặt macOS ("OpenVPNConnect.zip") được cho là đã được tải xuống trước đó từ miền thuộc về nhà phát triển trò chơi điện tử Trung Quốc có tên miHoYo, được biết đến với Genshin Impact và Honkai.

Hiện tại vẫn chưa rõ làm cách nào tệp được tải lên miền được đề cập ("vpn.mihoyo[.]com") và liệu máy chủ có bị xâm phạm vào thời điểm nào đó trong quá khứ hay không. Người ta cũng chưa xác định được mức độ phổ biến của chiến dịch này, nhưng thực tế là cửa sau vẫn được đưa vào sử dụng sau ngần ấy năm cho thấy một mức độ thành công nào đó.

Puzan cho biết: "Phiên bản macOS của HZ Rat mà chúng tôi tìm thấy cho thấy các tác nhân đe dọa đằng sau các cuộc tấn công trước đó vẫn đang hoạt động". "Phần mềm độc hại chỉ thu thập dữ liệu người dùng nhưng sau đó nó có thể được sử dụng để di chuyển ngang qua mạng của nạn nhân, như được đề xuất bởi sự hiện diện của địa chỉ IP riêng tư trong một số mẫu."