针对钉钉、微信MacOS用户的大规模间谍活动

随着MacOS市场份额和用户的针对不断增长，特别是钉钉大规谍活动在企业高价值个人用户（例如管理和研发人员）中广泛使用，黑客们也开始将目光投向这一曾被认为较为安全的微信平台。近日 ，模间卡巴斯基曝光了一个针对MacOS平台上的针对钉钉和微信用户的大规模间谍活动。

卡巴斯基的钉钉大规谍活动研究人员Sergey Puzan发现 ，一种名为HZ RAT的微信后门恶意软件已经针对苹果MacOS系统进行了专门设计，这一版本几乎完全复制了HZ RAT在Windows系统上的模间功能 ，仅在负载（payload）形式上有所不同 ，免费模板针对MacOS版本通过攻击者服务器发送的钉钉大规谍活动shell脚本来接收指令 。

一个简单但极其危险的微信后门间谍程序

HZ RAT首次由德国网络安全公司DCSO于2022年11月发现并记录，该恶意软件通常通过自解压zip压缩包或使用Royal Road RTF武器化工具生成的模间恶意RTF文档传播。这些攻击链通过RTF文档部署Windows版本的针对恶意软件
，利用微软Office中存在多年的钉钉大规谍活动Equation Editor漏洞（CVE-2017-11882）执行代码 。

HZ RAT的微信另一种传播方式是伪装成合法软件的安装程序，如OpenVPN、PuTTYgen或EasyConnect。源码下载这些伪装的软件除了正常安装外，还会执行一个Visual Basic脚本（VBS），该脚本负责启动RAT（远程访问工具） 。

HZ RAT虽然功能相对简单，但却不容小觑  。它能够连接到命令与控制（C2）服务器接收进一步指令，这些指令包括执行PowerShell命令和脚本、向系统写入任意文件、将文件上传到服务器，以及发送心跳信息。这些功能表明
，HZ RAT可能主要用于凭据窃取和系统侦察活动。

研究显示，HZ RAT的早期版本至少可以追溯到2020年6月。服务器租用DCSO表示，这一恶意软件的攻击活动至少自2020年10月起便已开始。

MacOS版本的新威胁

卡巴斯基在2023年7月上传至VirusTotal的最新样本中发现，恶意软件伪装成OpenVPN Connect的安装包（"OpenVPNConnect.pkg"），一旦启动便与C2服务器建立联系，并执行四个与Windows版本类似的基本命令：

执行shell命令（如系统信息、本地IP地址、已安装应用列表
、钉钉 、Google密码管理器和微信的数据）

向磁盘写入文件将文件发送到C2服务器检查受害者的源码库可用性

“恶意软件试图从微信中获取受害者的WeChatID 、电子邮件和电话号码 ，”Puzan表示，“至于钉钉，攻击者对更详细的受害者数据感兴趣，如用户所在的组织和部门名称、用户名
、公司电子邮件地址以及电话号码。”

攻击活动仍在持续

进一步的分析显示 ，几乎所有C2服务器都位于中国，除两台服务器分别位于美国和荷兰之外。此外 ，高防服务器MacOS安装包的ZIP压缩包曾被下载自中国知名游戏开发公司米哈游（miHoYo）的域名，miHoYo因开发了《原神》和《崩坏》系列游戏而闻名。目前尚不清楚该文件是如何上传到该公司域名的，也无法确定其服务器是否曾遭到入侵 。

HZ RAT推出MacOS版本表明 ，之前的攻击者仍然活跃。尽管目前这些恶意软件的主要目的是收集用户数据，云计算但考虑到样本中包含的私有IP地址 ，未来它可能被用于在受害者网络中进行横向移动。

通过系统侦察 、凭据收集
，黑客可进一步入侵用户网络  ，获取高价值信息 ，如企业机密和个人隐私数据。