Nutzer von chinesischen Instant-Messaging-Apps wie DingTalk und WeChat sind das Ziel einer Apple macOS-Version einer Hintertür namens HZ RAT.
Die Artefakte „reproduzieren fast genau die Funktionalität der Windows-Version der Hintertür und unterscheiden sich nur in der Nutzlast, die in Form von Shell-Skripten vom Server der Angreifer empfangen wird“, sagte Sergey Puzan, Forscher bei Kaspersky.
HZ RAT wurde erstmals im November 2022 von der deutschen Cybersicherheitsfirma DCSO dokumentiert, wobei die Malware über selbstextrahierende ZIP-Archive oder bösartige RTF-Dokumente verbreitet wurde, die vermutlich mit dem Royal Road RTF-Waffenhersteller erstellt wurden.
Die Angriffsketten, die RTF-Dokumente betreffen, sind so konzipiert, dass sie die Windows-Version der Malware bereitstellen, die auf dem kompromittierten Host ausgeführt wird, indem sie einen jahrelang bestehenden Fehler von Microsoft Office im Equation Editor (CVE-2017-11882) ausnutzen.
Die zweite Verbreitungsmethode hingegen tarnt sich als Installationsprogramm für legale Software wie OpenVPN, PuTTYgen oder EasyConnect, das zusätzlich zur tatsächlichen Installation des Köderprogramms auch ein Visual Basic Script (VBS) ausführt, das für den Start des RAT verantwortlich ist.
Die Fähigkeiten von HZ RAT sind recht einfach, da es sich mit einem Command-and-Control (C2)-Server verbindet, um weitere Anweisungen zu erhalten. Dazu gehören die Ausführung von PowerShell-Befehlen und -Skripten, das Schreiben von beliebigen Dateien auf das System, das Hochladen von Dateien auf den Server und das Senden von Herzschlag-Informationen.
Angesichts der eingeschränkten Funktionalität des Tools wird vermutet, dass die Malware hauptsächlich für die Ernte von Anmeldeinformationen und System-Aufklärungsaktivitäten verwendet wird.
Beweise zeigen, dass die ersten Iterationen der Malware bereits im Juni 2020 in freier Wildbahn entdeckt wurden. Die Kampagne selbst wird nach Angaben von DCSO seit mindestens Oktober 2020 als aktiv angesehen.
Die neueste von Kaspersky entdeckte Probe, die im Juli 2023 auf VirusTotal hochgeladen wurde, gibt sich als OpenVPN Connect („OpenVPNConnect.pkg“) aus, das nach dem Start Kontakt mit einem in der Hintertür angegebenen C2-Server aufnimmt, um vier grundlegende Befehle auszuführen, die denen seines Windows-Gegenstücks ähneln:
* Ausführung von Shell-Befehlen (z. B. Systeminformationen, lokale IP-Adresse, Liste der installierten Apps, Daten von DingTalk, Google Password Manager und WeChat)
* Schreiben einer Datei auf die Festplatte
* Senden einer Datei an den C2-Server
* Überprüfen der Verfügbarkeit eines Opfers
„Die Malware versucht, die WeChatID, E-Mail-Adresse und Telefonnummer des Opfers von WeChat zu erhalten“, sagte Puzan. „Bei DingTalk sind die Angreifer an detaillierteren Daten des Opfers interessiert: Name der Organisation und Abteilung, in der der Benutzer arbeitet, Benutzername, Firmen-E-Mail-Adresse, [und] Telefonnummer.“
Weitere Analysen der Angriffsinfrastruktur haben ergeben, dass sich fast alle C2-Server in China befinden, mit Ausnahme von zwei, die sich in den USA und den Niederlanden befinden.
Darüber hinaus soll das ZIP-Archiv, das das macOS-Installationspaket („OpenVPNConnect.zip“) enthält, zuvor von einer Domain heruntergeladen worden sein, die zu einem chinesischen Videospielentwickler namens miHoYo gehört, der für Genshin Impact und Honkai bekannt ist.
Es ist derzeit nicht klar, wie die Datei auf die fragliche Domain („vpn.mihoyo[.]com“) hochgeladen wurde und ob der Server irgendwann in der Vergangenheit kompromittiert wurde. Es ist auch unklar, wie weit verbreitet die Kampagne ist, aber die Tatsache, dass die Hintertür auch nach all diesen Jahren eingesetzt wird, deutet auf einen gewissen Erfolg hin.
„Die macOS-Version von HZ Rat, die wir gefunden haben, zeigt, dass die Bedrohungsakteure hinter den vorherigen Angriffen immer noch aktiv sind“, sagte Puzan. „Die Malware sammelte nur Benutzerdaten, könnte aber später verwendet werden, um sich lateral im Netzwerk des Opfers zu bewegen, wie die Präsenz privater IP-Adressen in einigen Proben nahelegt.“