Gebruikers van Chinese instant messaging-apps zoals DingTalk en WeChat zijn het doelwit van een Apple macOS-versie van een achterdeur genaamd HZ-RAT.
Volgens Kaspersky-onderzoeker Sergey Puzan “repliceren de artefacten vrijwel exact de functionaliteit van de Windows-versie van de backdoor en verschillen ze alleen in de payload, die wordt ontvangen in de vorm van shell-scripts van de server van de aanvallers”.
HZ RAT werd voor het eerst gedocumenteerd door het Duitse cybersecuritybedrijf DCSO in november 2022. De malware werd verspreid via zelfuitpakkende zip-archieven of schadelijke RTF-documenten die vermoedelijk waren gebouwd met behulp van de Royal Road RTF-wapenmaker.
De aanvalsketens met RTF-documenten zijn ontworpen om de Windows-versie van de malware te implementeren die op de gecompromitteerde host wordt uitgevoerd door misbruik te maken van een jaren oude Microsoft Office-fout in de Equation Editor (CVE-2017-11882).
De tweede distributiemethode doet zich daarentegen voor als een installatieprogramma voor legitieme software zoals OpenVPN, PuTTYgen of EasyConnect. Naast het daadwerkelijk installeren van het lokaasprogramma, voert dit programma ook een Visual Basic Script (VBS) uit dat verantwoordelijk is voor het starten van de RAT.
De mogelijkheden van HZ RAT zijn vrij eenvoudig, omdat het verbinding maakt met een command-and-control (C2) server om verdere instructies te ontvangen. Dit omvat het uitvoeren van PowerShell-opdrachten en scripts, het schrijven van willekeurige bestanden naar het systeem, het uploaden van bestanden naar de server en het verzenden van heartbeat-informatie.
Gezien de beperkte functionaliteit van de tool wordt vermoed dat de malware vooral wordt gebruikt voor het verzamelen van inloggegevens en het verkennen van systemen.
Uit bewijsmateriaal blijkt dat de eerste versies van de malware al in juni 2020 in het wild zijn gedetecteerd. Volgens DCSO is de campagne zelf naar verwachting al sinds oktober 2020 actief.
Het laatste voorbeeld dat door Kaspersky is ontdekt en in juli 2023 naar VirusTotal is geüpload, doet zich voor als OpenVPN Connect (“OpenVPNConnect.pkg”) dat, zodra het is gestart, contact maakt met een C2-server die in de backdoor is gespecificeerd om vier basisopdrachten uit te voeren die vergelijkbaar zijn met die van zijn Windows-tegenhanger:
- Voer shell-opdrachten uit (bijvoorbeeld systeemgegevens, lokaal IP-adres, lijst met geïnstalleerde apps, gegevens van DingTalk, Google Password Manager en WeChat)
- Schrijf een bestand naar schijf
- Stuur een bestand naar de C2-server
- Controleer de beschikbaarheid van een slachtoffer
“De malware probeert de WeChatID, het e-mailadres en telefoonnummer van het slachtoffer te verkrijgen van WeChat,” zei Puzan. “Wat DingTalk betreft, zijn aanvallers geïnteresseerd in meer gedetailleerde slachtoffergegevens: naam van de organisatie en afdeling waar de gebruiker werkt, gebruikersnaam, zakelijk e-mailadres en telefoonnummer.”
Uit nadere analyse van de aanvalsinfrastructuur is gebleken dat vrijwel alle C2-servers zich in China bevinden, op twee na, namelijk in de VS en Nederland.
Bovendien zou het ZIP-archief met het macOS-installatiepakket (“OpenVPNConnect.zip”) eerder zijn gedownload van een domein dat toebehoort aan een Chinese ontwikkelaar van videogames genaamd miHoYo, bekend van Genshin Impact en Honkai.
Het is momenteel niet duidelijk hoe het bestand naar het betreffende domein (“vpn.mihoyo(.)com”) is geüpload en of de server op enig moment in het verleden is gecompromitteerd. Het is ook niet bekend hoe wijdverspreid de campagne is, maar het feit dat de backdoor zelfs na al die jaren nog steeds wordt gebruikt, wijst op een zekere mate van succes.
“De macOS-versie van HZ Rat die we vonden, laat zien dat de dreigingsactoren achter de eerdere aanvallen nog steeds actief zijn”, aldus Puzan. “De malware verzamelde alleen gebruikersgegevens, maar kon later worden gebruikt om zich lateraal door het netwerk van het slachtoffer te verplaatsen, zoals blijkt uit de aanwezigheid van privé-IP-adressen in sommige samples.”