卡巴斯基发现针对 macOS 的 HZ Rat 后门攻击中国钉钉和微信用户
6月份,我们发现了 macOS 版本的 HZ Rat 后门,该后门针对的是企业通讯工具钉钉和微信的用户。我们注意到,某些版本的后门使用本地 IP 地址连接到 C2,这让我们相信该威胁可能是有针对性的。这也表明攻击者意图利用后门在受害者的网络中进行横向移动。
该恶意软件试图从微信中获取受害者的微信ID、邮箱和电话号码,这些数据以纯文本形式存储在 userinfo.data文件中。
而对于钉钉,它会获取用户所在组织及部门名称、用户名、公司电子邮件地址、电话号码。
在研究期间,有四台控制服务器处于活动状态并返回恶意命令。我们发现的几乎所有 C2 服务器都位于中国。只有两个地址位于美国和荷兰。我们还发现,根据 VirusTotal 的说法,研究人员提取的安装包是从中国视频游戏开发商米哈游 MiHoYo 的域名下载的。
—— 卡巴斯基实验室
发表回复