【安全资讯】macOS后门“HZ Rat”瞄准钉钉和微信用户

概要：

卡巴斯基实验室发现了一种新的macOS后门恶意软件“HZ Rat”，专门针对钉钉和微信用户。这标志着该恶意软件的攻击范围显著扩大，之前仅攻击Windows系统。HZ Rat通过shell脚本传递其有效载荷，表明其可能专注于更深层次的系统渗透和网络内的横向移动。

主要内容：

HZ Rat的macOS版本支持四个基本命令：execute_cmdline、write_file、download_file和ping。这些命令足以执行一系列恶意活动，例如，execute_cmdline命令允许攻击者在受害者设备上运行任意shell命令，可能使其完全控制系统。卡巴斯基在调查中截获了C2服务器发送的命令，这些命令旨在收集受害者设备的各种数据，包括系统完整性保护（SIP）状态、详细的系统和设备信息、本地IP地址和网络配置、蓝牙和Wi-Fi网络数据、硬件规格和存储详情、已安装应用程序列表以及来自微信和钉钉的用户信息。

HZ Rat还试图收集敏感用户数据，如微信ID、电子邮件和存储在受害者设备上的电话号码。对于钉钉用户，恶意软件更进一步，寻找详细的组织信息，包括用户的部门、公司电子邮件和电话号码。支持HZ Rat的基础设施非常广泛，调查中发现了四个活跃的C2服务器。虽然大多数服务器位于中国，但有些服务器位于美国和荷兰，表明这是一个全球性操作。

调查中一个特别有趣的方面是发现安装包是从与中国知名游戏开发商MiHoYo相关的域名上传的。虽然尚不清楚该包如何出现在该域名上，但这可能表明攻击者可能已经入侵了MiHoYo的基础设施或找到其他方式利用该公司的声誉来分发其恶意软件。HZ Rat伪装在一个看似合法的OpenVPN安装包中，一旦安装，它会收集大量用户和系统信息，包括微信ID、电子邮件地址、电话号码、雇主详情、硬件规格，甚至存储在Google密码管理器中的密码。虽然目前观察到的主要功能是数据收集，但专家警告HZ Rat的全部能力可能尚未完全了解。横向移动的潜力和使用私人C2地址引发了对该恶意软件可能进行更大规模间谍活动和未来攻击的重大担忧。