网络安全公司卡巴斯基实验室日前发布博客介绍关于后门程序HZRat的调查报告,该后门程序主要针对阿里巴巴旗下的企业通讯平台钉钉和腾讯旗下的即时通讯软件微信(本文提到的均为PC版或Mac版,不含手机版)。
HZRat后门最初仅针对Windows系统,此次卡巴斯基发现的新版本属于Windows版HZRat的移植版,专门针对macOS系统,主要目的也是收集机密信息。
值得注意的是在病毒扫描平台VirusTotal上,HZRat样本没有被任何安全软件检测到问题(也包括卡巴斯基),样本主要是冒充知名的加密隧道软件OpenVPNConnect。
下图也可以看到黑客使用的是中文:
卡巴斯基经过调查后发现HZRat后门程序具有以下特点:
收集macOS系统完整性(SIP)保护状态
收集本地IP地址
收集有关蓝牙设备的信息
收集可用的WiFi网络以及网卡和已连接的WiFi信息
收集硬件规格
收集存储信息
申请清单
收集来自微信的用户信息
收集来自钉钉的用户和组织信息
收集谷歌密码管理器的用户名和网站(Chrome内置的密码管理器)
其中针对微信收集的信息包括微信用户ID、邮箱(如有)和电话号码,这些信息以纯文本形式存储在usderinfo.data文件中;分析发现该后门程序似乎对钉钉更感兴趣,收集的钉钉信息包括用户所在的企业/组织以及部门名称、用户名、公司邮箱地址、电话号码。
值得注意的是在卡巴斯基进行分析的这段时间,HZRat并未使用将文件写入到磁盘和将文件发送到服务器两个命令,这表明攻击者当前收集信息可能是在未来的攻击做准备,所以暂时还不清楚攻击者的具体意图。
最后比较有意思的是HZRat后门程序被存储在游戏开发商米哈游的服务器中:hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip
将文件放到知名公司的域名里通常可以获得用户信任或规避某些安全软件的拦截策略,但黑客如何将文件放到米哈游服务器就是个迷了,按理说米哈游这种规模的公司应该对服务器的管理非常严格才对。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】