当前位置： 当前位置：首页 >物联网 >针对钉钉、微信MacOS用户的大规模间谍活动正文

随着MacOS市场份额和用户的针对不断增长
，特别是钉钉大规谍活动在企业高价值个人用户（例如管理和研发人员）中广泛使用，黑客们也开始将目光投向这一曾被认为较为安全的微信平台 。近日 ，模间卡巴斯基曝光了一个针对MacOS平台上的针对钉钉和微信用户的大规模间谍活动。

卡巴斯基的钉钉大规谍活动研究人员Sergey Puzan发现
 ，一种名为HZ RAT的微信后门恶意软件已经针对苹果MacOS系统进行了专门设计，这一版本几乎完全复制了HZ RAT在Windows系统上的模间功能
，仅在负载（payload）形式上有所不同 ，源码库针对MacOS版本通过攻击者服务器发送的钉钉大规谍活动shell脚本来接收指令。

一个简单但极其危险的微信后门间谍程序

HZ RAT首次由德国网络安全公司DCSO于2022年11月发现并记录，该恶意软件通常通过自解压zip压缩包或使用Royal Road RTF武器化工具生成的模间恶意RTF文档传播 。这些攻击链通过RTF文档部署Windows版本的针对恶意软件
，利用微软Office中存在多年的钉钉大规谍活动Equation Editor漏洞（CVE-2017-11882）执行代码 。

HZ RAT的微信另一种传播方式是伪装成合法软件的安装程序
，如OpenVPN、PuTTYgen或EasyConnect
。高防服务器这些伪装的软件除了正常安装外，还会执行一个Visual Basic脚本（VBS） ，该脚本负责启动RAT（远程访问工具）。

HZ RAT虽然功能相对简单，但却不容小觑。它能够连接到命令与控制（C2）服务器接收进一步指令，这些指令包括执行PowerShell命令和脚本 、向系统写入任意文件、将文件上传到服务器，以及发送心跳信息 。这些功能表明，HZ RAT可能主要用于凭据窃取和系统侦察活动。

研究显示 ，HZ RAT的早期版本至少可以追溯到2020年6月。云计算DCSO表示，这一恶意软件的攻击活动至少自2020年10月起便已开始 。

MacOS版本的新威胁

卡巴斯基在2023年7月上传至VirusTotal的最新样本中发现 ，恶意软件伪装成OpenVPN Connect的安装包（"OpenVPNConnect.pkg"），一旦启动便与C2服务器建立联系，并执行四个与Windows版本类似的基本命令
：

执行shell命令（如系统信息 、本地IP地址、已安装应用列表 、钉钉 、Google密码管理器和微信的数据）

向磁盘写入文件将文件发送到C2服务器检查受害者的免费模板可用性

“恶意软件试图从微信中获取受害者的WeChatID 、电子邮件和电话号码 
，”Puzan表示 ，“至于钉钉 ，攻击者对更详细的受害者数据感兴趣，如用户所在的组织和部门名称、用户名、公司电子邮件地址以及电话号码 。”

攻击活动仍在持续

进一步的分析显示 ，几乎所有C2服务器都位于中国，除两台服务器分别位于美国和荷兰之外。此外
，亿华云MacOS安装包的ZIP压缩包曾被下载自中国知名游戏开发公司米哈游（miHoYo）的域名  
，miHoYo因开发了《原神》和《崩坏》系列游戏而闻名。目前尚不清楚该文件是如何上传到该公司域名的
，也无法确定其服务器是否曾遭到入侵。

HZ RAT推出MacOS版本表明，之前的攻击者仍然活跃。尽管目前这些恶意软件的主要目的是收集用户数据 ，服务器租用但考虑到样本中包含的私有IP地址，未来它可能被用于在受害者网络中进行横向移动。

通过系统侦察、凭据收集，黑客可进一步入侵用户网络 ，获取高价值信息，如企业机密和个人隐私数据。