إصدار macOS من HZ RAT Backdoor يستهدف مستخدمي تطبيق المراسلة الصينيين

27 أغسطس 2024رافي لاكشمانانالتجسس السيبراني / البرامج الضارة

أصبح مستخدمو تطبيقات المراسلة الفورية الصينية مثل DingTalk وWeChat هدفًا لإصدار Apple macOS من الباب الخلفي المسمى هرتز رات.

وقال سيرجي بوزان، الباحث في كاسبرسكي، إن هذه القطع الأثرية “تكرر تمامًا تقريبًا وظائف إصدار Windows من الباب الخلفي وتختلف فقط في الحمولة، التي يتم تلقيها في شكل نصوص برمجية من خادم المهاجمين”. قال.

وكان هرتز الفئران تم توثيقه لأول مرة بواسطة شركة الأمن السيبراني الألمانية DCSO في نوفمبر 2022، مع توزيع البرامج الضارة عبر أرشيفات مضغوطة ذاتية الاستخراج أو مستندات RTF ضارة تم إنشاؤها باستخدام سلاح Royal Road RTF.

تم تصميم سلاسل الهجوم التي تتضمن مستندات RTF لنشر إصدار Windows من البرامج الضارة التي يتم تنفيذها على المضيف المخترق من خلال استغلال عيب Microsoft Office القديم في محرر المعادلات (CVE-2017-11882).

من ناحية أخرى، تتنكر طريقة التوزيع الثانية كأداة تثبيت لبرامج شرعية مثل OpenVPN أو PuTTYgen أو EasyConnect، والتي بالإضافة إلى تثبيت برنامج الإغراء فعليًا، تقوم أيضًا بتنفيذ برنامج Visual Basic Script (VBS) المسؤول عن تشغيل RAT .

تعتبر إمكانيات HZ RAT بسيطة إلى حد ما من حيث أنها تتصل بخادم القيادة والتحكم (C2) لتلقي المزيد من التعليمات. يتضمن ذلك تنفيذ أوامر ونصوص PowerShell، وكتابة ملفات عشوائية إلى النظام، وتحميل الملفات إلى الخادم، وإرسال معلومات نبضات القلب.

ونظرًا للوظائف المحدودة للأداة، يُشتبه في أن البرامج الضارة تُستخدم في المقام الأول لجمع بيانات الاعتماد وأنشطة استطلاع النظام.

تشير الأدلة إلى أنه تم اكتشاف التكرارات الأولى للبرامج الضارة في البرية منذ يونيو 2020. ويُعتقد أن الحملة نفسها، وفقًا لـ DCSO، نشطة منذ أكتوبر 2020 على الأقل.

أحدث عينة كشفت عنها Kaspersky، وتم تحميلها على VirusTotal في يوليو 2023، تنتحل شخصية OpenVPN Connect (“OpenVPNConnect.pkg”)، والتي، بمجرد بدء تشغيلها، تنشئ اتصالاً بخادم C2 محدد في الباب الخلفي لتشغيل أربعة أوامر أساسية مشابهة لتلك الخاصة بـ نظيره ويندوز –

• تنفيذ أوامر shell (على سبيل المثال، معلومات النظام، وعنوان IP المحلي، وقائمة التطبيقات المثبتة، والبيانات من DingTalk، وGoogle Password Manager، وWeChat)
• كتابة ملف على القرص
• إرسال ملف إلى خادم C2
• التحقق من توافر الضحية

وقال بوزان: “تحاول البرامج الضارة الحصول على معرف WeChatID والبريد الإلكتروني ورقم الهاتف الخاص بالضحية من WeChat”. “بالنسبة إلى DingTalk، يهتم المهاجمون ببيانات الضحية الأكثر تفصيلاً: اسم المنظمة والقسم الذي يعمل فيه المستخدم، واسم المستخدم، وعنوان البريد الإلكتروني للشركة، [and] رقم التليفون.”

وكشف المزيد من التحليل للبنية التحتية للهجوم أن جميع خوادم C2 تقريبًا تقع في الصين باستثناء اثنين، يقعان في الولايات المتحدة وهولندا.

علاوة على ذلك، يقال إن أرشيف ZIP الذي يحتوي على حزمة تثبيت macOS (“OpenVPNConnect.zip”) قد تم تنزيله مسبقًا من نطاق ينتمي إلى مطور ألعاب فيديو صيني يدعى miHoYo، المعروف بـ Genshin Impact وHonkai.

ليس من الواضح حاليًا كيف تم تحميل الملف إلى النطاق المعني (vpn.mihoyo[.]com”) وما إذا كان الخادم قد تم اختراقه في وقت ما في الماضي. كما أنه لم يتم تحديد مدى انتشار الحملة، ولكن حقيقة استخدام الباب الخلفي حتى بعد كل هذه السنوات تشير إلى درجة معينة من النجاح.

وقال بوزان: “إن إصدار macOS من HZ Rat الذي وجدناه يظهر أن الجهات التهديدية التي تقف وراء الهجمات السابقة لا تزال نشطة”. “كانت البرامج الضارة تجمع بيانات المستخدم فقط، ولكن يمكن استخدامها لاحقًا للتحرك أفقيًا عبر شبكة الضحية، كما يقترح وجود عناوين IP خاصة في بعض العينات.”