Korisnici kineskih aplikacija za razmjenu trenutnih poruka poput DingTalk i WeChat meta su Apple macOS verzije backdoor-a pod nazivom HZ RAT .
Artefakti “gotovo tačno repliciraju funkcionalnost Windows verzije backdoor-a i razlikuju se samo po nosivosti, koja se prima u obliku shell skripti sa servera napadača”, rekao je istraživač Kasperskyja Sergej Puzan .
HZ RAT je prvi put dokumentovala njemačka kompanija za kibernetičku sigurnost DCSO u novembru 2022., sa zlonamjernim softverom distribuisanim putem samoraspakujućih zip arhiva ili zlonamjernih RTF dokumenata za koje se pretpostavlja da su napravljeni pomoću Royal Road RTF oružja .
Lanci napada koji uključuju RTF dokumente su dizajnirani da implementiraju Windows verziju zlonamjernog softvera koji se izvršava na narušenom hostu iskorištavanjem godina stare greške Microsoft Officea u uređivaču jednačina ( CVE-2017-11882 ).
Druga metoda distribucije, s druge strane, maskira se kao instalater za legitiman softver kao što je OpenVPN, PuTTYgen ili EasyConnect koji, osim što zapravo instalira program za mamce, također izvršava Visual Basic Script (VBS) odgovoran za pokretanje RAT-a .
Mogućnosti HZ RAT-a su prilično jednostavne u tome što se povezuje sa serverom za naredbu i kontrolu (C2) kako bi primio daljnje upute. Ovo uključuje izvršavanje PowerShell komandi i skripti, pisanje proizvoljnih datoteka u sistem, otpremanje datoteka na server i slanje informacija o otkucajima srca.
S obzirom na ograničenu funkcionalnost alata, sumnja se da se zlonamjerni softver prvenstveno koristi za prikupljanje akreditiva i aktivnosti izviđanja sistema.
Dokazi pokazuju da su prve iteracije zlonamjernog softvera otkrivene u divljini još u junu 2020. godine. Vjeruje se da je sama kampanja, prema DCSO-u, aktivna najmanje od oktobra 2020. godine.
Najnoviji uzorak koji je otkrio Kaspersky, postavljen na VirusTotal u julu 2023., predstavlja OpenVPN Connect (“OpenVPNConnect.pkg”), koji nakon pokretanja uspostavlja kontakt sa C2 serverom navedenim u backdoor-u za pokretanje četiri osnovne komande koje su slične ovoj svog Windows kolege –
- Izvršite komande ljuske (npr. sistemske informacije, lokalna IP adresa, lista instaliranih aplikacija, podaci iz DingTalk-a, Google Password Manager-a i WeChat-a)
- Zapišite datoteku na disk
- Pošaljite datoteku na C2 server
- Provjerite dostupnost žrtve
“Zlonamjerni softver pokušava da dobije WeChatID žrtve, e-poštu i broj telefona od WeChata”, rekao je Puzan. “Što se tiče DingTalk-a, napadače zanimaju detaljniji podaci o žrtvama: naziv organizacije i odjela u kojem korisnik radi, korisničko ime, korporativna adresa e-pošte, [i] broj telefona.”
Dalja analiza infrastrukture napada otkrila je da se skoro svi C2 serveri nalaze u Kini, osim dva, koja se nalaze u SAD-u i Holandiji.
Povrh toga, kaže se da je ZIP arhiva koja sadrži instalacijski paket za macOS (“OpenVPNConnect.zip”) prethodno preuzeta sa domene koja pripada kineskom programeru video igara po imenu miHoYo, koji je poznat po Genshin Impact i Honkai.
Trenutno nije jasno kako je datoteka učitana na predmetnu domenu (“vpn.mihoyo[.]com”) i da li je server narušen u nekom trenutku u prošlosti. Takođe nije utvrđeno koliko je kampanja rasprostranjena, ali činjenica da se backdoor koristi čak i nakon svih ovih godina ukazuje na određeni stepen uspjeha.
“MacOS verzija HZ Rata koju smo pronašli pokazuje da su hakeri iza prethodnih napada i dalje aktivni”, rekao je Puzan. “Tokom istrage, zlonamjerni softver je prikupljao samo korisničke podatke, ali se kasnije mogao koristiti za bočno kretanje preko mreže žrtve, što sugerira prisustvo privatnih IP adresa u nekim uzorcima.”
Izvor: TheHackerNews
