网络安全公司卡巴斯基实验室日前发布博客介绍关于后门程序 HZ Rat 的调查报告,该后门程序主要针对阿里巴巴旗下的企业通讯平台钉钉和腾讯旗下的即时通讯软件微信 (本文提到的均为 PC 版或 Mac 版,不含手机版)。
HZ Rat 后门最初仅针对 Windows 系统,此次卡巴斯基发现的新版本属于 Windows 版 HZ Rat 的移植版,专门针对 macOS 系统,主要目的也是收集机密信息。
值得注意的是在病毒扫描平台 VirusTotal 上,HZ Rat 样本没有被任何安全软件检测到问题 (也包括卡巴斯基),样本主要是冒充知名的加密隧道软件 OpenVPN Connect。
下图也可以看到黑客使用的是中文:
卡巴斯基经过调查后发现 HZ Rat 后门程序具有以下特点:
收集 macOS 系统完整性 (SIP) 保护状态
收集本地 IP 地址
收集有关蓝牙设备的信息
收集可用的 WiFi 网络以及网卡和已连接的 WiFi 信息
收集硬件规格
收集存储信息
申请清单
收集来自微信的用户信息
收集来自钉钉的用户和组织信息
收集谷歌密码管理器的用户名和网站 (Chrome 内置的密码管理器)
其中针对微信收集的信息包括微信用户 ID、邮箱 (如有) 和电话号码,这些信息以纯文本形式存储在 usderinfo.data 文件中;分析发现该后门程序似乎对钉钉更感兴趣,收集的钉钉信息包括用户所在的企业 / 组织以及部门名称、用户名、公司邮箱地址、电话号码。
值得注意的是在卡巴斯基进行分析的这段时间,HZ Rat 并未使用将文件写入到磁盘和将文件发送到服务器两个命令,这表明攻击者当前收集信息可能是在未来的攻击做准备,所以暂时还不清楚攻击者的具体意图。
最后比较有意思的是 HZ Rat 后门程序被存储在游戏开发商米哈游的服务器中:hxxp://vpn.mihoyo [.] com/uploads/OpenVPNConnect.zip
将文件放到知名公司的域名里通常可以获得用户信任或规避某些安全软件的拦截策略,但黑客如何将文件放到米哈游服务器就是个迷了,按理说米哈游这种规模的公司应该对服务器的管理非常严格才对。