Бэкдор для macOS HZ Rat нацелен на китайских пользователей DingTalk и WeChat - «Новости» » Интернет технологии
sitename
Asgard представила память DDR5 CUDIMM со стабильным разгоном до 9600 МТ/с - «Новости сети»
Asgard представила память DDR5 CUDIMM со стабильным разгоном до 9600 МТ/с - «Новости сети»
 Lexar представила карту памяти SD 8.0, которая оказалась слишком быстрой для современных устройств - «Новости сети»
Lexar представила карту памяти SD 8.0, которая оказалась слишком быстрой для современных устройств - «Новости сети»
 AMD упустила миллиарды долларов: производители ноутбуков жалуются на недопоставки чипов Strix Point - «Новости сети»
AMD упустила миллиарды долларов: производители ноутбуков жалуются на недопоставки чипов Strix Point - «Новости сети»
 SpaceX благополучно приземлила космических туристов миссии Polaris Dawn у побережья Флориды - «Новости сети»
SpaceX благополучно приземлила космических туристов миссии Polaris Dawn у побережья Флориды - «Новости сети»
 Энтузиаст разогнал неразгоняемый процессор AMD EPYC 4124P до 6,6 ГГц - «Новости сети»
Энтузиаст разогнал неразгоняемый процессор AMD EPYC 4124P до 6,6 ГГц - «Новости сети»
 Хакер украл и опубликовал 440 ГБ данных компании Fortinet - «Новости»
Хакер украл и опубликовал 440 ГБ данных компании Fortinet - «Новости»
 Фишеры массово атакуют российские отели - «Новости»
Фишеры массово атакуют российские отели - «Новости»
 GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»
GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»
 Арестован подросток, связанный со взломом муниципальной службы Transport for London - «Новости»
Арестован подросток, связанный со взломом муниципальной службы Transport for London - «Новости»
 Группа Lazarus атакует Python-разработчиков с помощью фейковых тестовых заданий - «Новости»
Группа Lazarus атакует Python-разработчиков с помощью фейковых тестовых заданий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Бэкдор для macOS HZ Rat нацелен на китайских пользователей DingTalk и WeChat - «Новости»

✔Бэкдор для macOS HZ Rat нацелен на китайских пользователей DingTalk и WeChat - «Новости»

30 августа 2024 326 Новости / Изображения / Видео уроки / Текст / Вёрстка / Линии и рамки / Самоучитель CSS / Списки / Преимущества стилей / Заработок 0

Специалисты «Лаборатории Касперского» обнаружили macOS-версию бэкдора HZ Rat, который атакует пользователей корпоративного мессенджера DingTalk и WeChat. Кекоторые версии бэкдора подключаются к управляющим серверам при помощи локальных IP-адресов, из-за чего исследователи полагают, что атаки могли быть целевыми.


Впервые HZ Rat был обнаружен в ноябре 2022 года специалистами DCSO. Тогда малварь была нацелена на системы под управлением Windows и получал команды в виде PowerShell-скриптов. Как теперь рассказывают исследователи, macOS-версия бэкдора практически аналогична версии для Windows, отличаясь лишь полезной нагрузкой, так же получаемой в виде shell-скриптов с сервера злоумышленников.


Изначальная точка распространения нового HZ Rat неизвестна, но специалисты обнаружили  установочный пакет для одного из образцов бэкдора: файл с именем OpenVPNConnect.pkg. Он был загружен на VirusTotal в июле 2023 года и на момент исследования не детектировался ни одним вендором, как и другие образцы бэкдора.


Примечательно, что этот установочный пакет, по данным VirusTotal, раньше загружался с одного из доменов, принадлежащих miHoYo — китайскому разработчику компьютерных игр. На данный момент неизвестно, как этот файл попал на легитимный домен и имел ли место взлом компании.


В момент запуска HZ Rat устанавливает соединение с управляющим сервером в соответствии со списком из указанных IP-адресов. В большинстве случаев для подключения использовался порт 8081, а также были обнаружены образцы, подключающиеся к серверу с помощью приватных IP-адресов. При этом для связи с управляющим сервером используется XOR-шифрование с ключом 0x42.



Бэкдор для macOS HZ Rat нацелен на китайских пользователей DingTalk и WeChat - «Новости»


Бэкдор поддерживает всего четыре основные команды: выполнить shell-команду, записать файл на диск, отправить файл на сервер и проверить доступность жертвы.


В ходе исследования специалистам удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных:



  • статус защитной функции System Integrity Protection (SIP);

  • информация о системе и устройстве (локальный IP-адрес, информация о Bluetooth-устройствах, доступных Wi-Fi-сетях, имеющихся беспроводных сетевых адаптерах и сети, к которой подключено устройство, характеристики аппаратного обеспечения, информация о хранилище данных);

  • список приложений;

  • информация о пользователе из WeChat;

  • информация о пользователе и организации из DingTalk;

  • пары значений «имя пользователя — веб-сайт» из менеджера паролей Google.


Так, из WeChat малварь  пытается получить WeChatID, почту и номер телефона жертвы. Эти данные хранятся в открытом виде в файле userinfo.data.



Извлечение данных WeChat

В DingTalk злоумышленников интересуют более подробные данные жертв, а именно: название организации и отдела, в котором работает пользователь, имя пользователя, адрес корпоративной почты и номер телефона.


Скрипт пытается собрать эти данные из файла orgEmployeeModel. Если файл отсутствует, то малварь будет искать номер телефона и почту пользователя в файле sAlimailLoginEmail. Если и это не удалось, HZ Rat  будет пытаться найти почту пользователя в одном из файлов кеша приложения DingTalk с названием <дата>.holmes.mapping. Эти файлы не зашифрованы и хранят данные в открытом виде.


Эксперты пишут, что во время исследования были активны четыре управляющих сервера. Как уже упоминалось выше, в некоторых образцах среди заданных IP-адресов были также и приватные адреса.


«Вероятно, эти образцы использовались для управления устройством жертвы, в локальной сети которой уже имелся зараженный компьютер с установленным на нем прокси, перенаправляющим подключение на сервер злоумышленника. Обычно это делается для сокрытия присутствия зловреда в сети, так как общаться с управляющим сервером злоумышленника будет только то устройство, на котором стоит прокси», — гласит отчет.


Также отмечается, что некоторые IP-адреса уже встречались в атаках, нацеленных на устройства под управлением Windows. Их первые появления датируются 2022 годом — один из адресов фигурировал в атаках HZ Rat того периода.


Практически все обнаруженные управляющие серверы находились и Китае. Исключения — это два адреса, находящихся в США и Нидерландах.


Исследователи считают, что собранная информация о месте работы жертвы и ее контактные данные могут позволить злоумышленникам устанавливать слежку за интересующими их лицами и более тщательно готовить будущие атаки. Однако полные намерения атакующих остаются неясными.


Специалисты «Лаборатории Касперского» обнаружили macOS-версию бэкдора HZ Rat, который атакует пользователей корпоративного мессенджера DingTalk и WeChat. Кекоторые версии бэкдора подключаются к управляющим серверам при помощи локальных IP-адресов, из-за чего исследователи полагают, что атаки могли быть целевыми. Впервые HZ Rat был обнаружен в ноябре 2022 года специалистами DCSO. Тогда малварь была нацелена на системы под управлением Windows и получал команды в виде PowerShell-скриптов. Как теперь рассказывают исследователи, macOS-версия бэкдора практически аналогична версии для Windows, отличаясь лишь полезной нагрузкой, так же получаемой в виде shell-скриптов с сервера злоумышленников. Изначальная точка распространения нового HZ Rat неизвестна, но специалисты обнаружили установочный пакет для одного из образцов бэкдора: файл с именем OpenVPNConnect.pkg. Он был загружен на VirusTotal в июле 2023 года и на момент исследования не детектировался ни одним вендором, как и другие образцы бэкдора. Примечательно, что этот установочный пакет, по данным VirusTotal, раньше загружался с одного из доменов, принадлежащих miHoYo — китайскому разработчику компьютерных игр. На данный момент неизвестно, как этот файл попал на легитимный домен и имел ли место взлом компании. В момент запуска HZ Rat устанавливает соединение с управляющим сервером в соответствии со списком из указанных IP-адресов. В большинстве случаев для подключения использовался порт 8081, а также были обнаружены образцы, подключающиеся к серверу с помощью приватных IP-адресов. При этом для связи с управляющим сервером используется XOR-шифрование с ключом 0x42. Бэкдор поддерживает всего четыре основные команды: выполнить shell-команду, записать файл на диск, отправить файл на сервер и проверить доступность жертвы. В ходе исследования специалистам удалось получить с управляющего сервера shell-команды, направленные на сбор следующих данных: статус защитной функции System Integrity Protection (SIP); информация о системе и устройстве (локальный IP-адрес, информация о Bluetooth-устройствах, доступных Wi-Fi-сетях, имеющихся беспроводных сетевых адаптерах и сети, к которой подключено устройство, характеристики аппаратного обеспечения, информация о хранилище данных); список приложений; информация о пользователе из WeChat; информация о пользователе и организации из DingTalk; пары значений «имя пользователя — веб-сайт» из менеджера паролей Google. Так, из WeChat малварь пытается получить WeChatID, почту и номер телефона жертвы. Эти данные хранятся в открытом виде в файле userinfo.data. Извлечение данных WeChat В DingTalk злоумышленников интересуют более подробные данные жертв, а именно: название организации и отдела, в котором работает пользователь, имя пользователя, адрес корпоративной почты и номер телефона. Скрипт пытается собрать эти данные из файла orgEmployeeModel. Если файл отсутствует, то малварь будет искать номер телефона и почту пользователя в файле sAlimailLoginEmail. Если и это не удалось, HZ Rat будет пытаться найти почту пользователя в одном из файлов кеша приложения DingTalk с названием
CSS
запостил(а)
Sykes
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))


Комментарии для сайта Cackle
Забыли пароль? Регистрация
Войти через: