Бэкдор HZ RAT, разработанный для операционных систем macOS, был обнаружен исследователями из "Касперского".
HZ RAT
Данный бэкдор распространяется под видом программы установки OpenVPN Connect и нацелен на пользователей чат-приложений DingTalk и WeChat. Установщик OpenVPN Connect содержит два исполняемых файла, один из которых выполняет команды оболочки, а другой является бэкдором. Бэкдор обращается к командному источнику (C2) по списку IP-адресов, содержащихся в бинарном файле. Он имеет несколько функций, таких как выполнение команд, запись файлов на диск, отправка файлов на сервер и проверка доступности жертвы. Кроме того, бэкдор собирает информацию о пользователе из приложений DingTalk и WeChat, включая WeChatID, электронную почту, номер телефона, организацию и другую корпоративную информацию. Он также собирает имена пользователей и значения веб-сайтов из менеджера паролей Google. Бинарный файл HZ RAT содержит строку "trojan" в именах функций, что может помочь в обнаружении данного бэкдора.
Indicators of Compromise
SHA1
- 0f7c492ad72741d70396b43d394796a09e2ec2a2
- 0ffc73ea4fd20cc8d293eae67d0a2c51c76a797b
- 2fee1f933acafd92ffb2152058786e5e9996123b
- 3b4366d5a1d7a59fa6600ace9f666767b00871d6
- 40a2ef0be85d4fbaf52fa29aa6cf81a22a50b2a4
- 5876eb2770505a6a20801a0df533edd6b3872d11
- 73a3a34d64f199a2f94545e1827d43e2e87f0dac
- 85ce988064d5ac2a927f2ee46e5243e3ef5dabb5
- 8abe82f6a083288baafac75227ca9ef54d405495
- aa4556b843d250a54d06bc3b2cc36a52ea645b35
- cd70d69ed034eca924227a89391237342d6dcbdb
- ce912458662aa0f5859c679be137fd5b836887ae
- dacb501872f6bc1741631ca1f7cd55991806a00a
