В июне 2024 года была обнаружена macOS-версия бэкдора HZ Rat, предназначенного для пользователей мессенджера DingTalk и платформы WeChat. Этот бэкдор имеет функциональность, схожую с его Windows-версией, но отличается только используемой полезной нагрузкой. Образцы бэкдора использовали локальные IP-адреса для подключения к контрольным серверам, что указывает на целевое направление нападения и наличие намерения использовать бэкдор для перемещения по сети жертвы.
HZ Rat
HZ Rat был обнаружен исследователями DCSO в ноябре 2022 года и изначально был нацелен на системы Windows, принимая команды в виде PowerShell-сценариев.
Во время расследования был найден ис для одного из образцов бэкдора macOS. Установочный пакет имел название "OpenVPNConnect.pkg" и не был обнаружен ни одним антивирусом на момент его загрузки на VirusTotal в июле 2023 года. Внутри пакета были обнаружены два файла, exe и init, в дополнение к приложению "OpenVPN Connect". Файл init является самим бэкдором, устанавливающим соединение с контрольными серверами C2.
Бэкдор поддерживает четыре основные команды: выполнение команды оболочки, запись файла на диск, отправку файла на сервер и проверку доступности цели. В рамках расследования получены shell-команды с сервера C2, используемые для сбора информации о жертвах, включая информацию о системе, сетевых устройствах, приложениях, пользователях социальных сетей и пароли из Google Password Manager.
Бэкдор также пытается получить конфиденциальные данные из WeChat и DingTalk, такие как WeChatID, электронная почта, номер телефона, данные об организации и пользователе. Он ищет эти данные в специальных файлах и кэше приложений, хранящихся в открытом виде.
На момент исследования было обнаружено, что четыре контрольных сервера были активны и получали вредоносные команды. Однако были замечены также частные IP-адреса, которые, вероятно, использовались для управления жертвой через компьютер в локальной сети в качестве прокси. Это помогает скрыть присутствие вредоносного ПО.
Некоторые из обнаруженных IP-адресов уже использовались в атаках на устройства Windows. Это указывает на возможные связи между различными кампаниями вредоносного ПО.
Indicators of Compromise
IPv4
- 111.21.246.147
- 113.125.92.32
- 120.53.133.226
- 123.232.31.206
- 20.60.250.230
- 218.193.83.70
- 218.65.110.180
- 29.40.48.21
- 47.100.65.182
- 58.49.21.113
MD5
- 0c3201d0743c63075b18023bb8071e73
- 287ccbf005667b263e0e8a1ccfb8daec
- 6cc838049ece4fcb36386b7a3032171f
- 6d478c7f94d95981eb4b6508844050a6
- 7005c9c6e2502992017f1ffc8ef8a9b9
- 7355e0790c111a59af377babedee9018
- 7a66cd84e2d007664a66679e86832202
- 7ed3fc831922733d70fb08da7a244224
- 8d33f667ca135a88f5bf77a0fab209d4
- 9cdb61a758afd9a893add4cef5608914
- a5af0471e31e5b11fd4d3671501dfc32
- da07b0608195a2d5481ad6de3cc6f195
- dd71b279a0bf618bbe9bb5d934ce9caa
