Mã độc HZ Rat nhắm vào người dùng DingTalk và WeChat trên macOS tại Trung Quốc

Mã độc HZ Rat nhắm vào người dùng DingTalk và WeChat trên macOS tại Trung Quốc

Vào tháng 6 năm 2024, các chuyên gia phân tích bảo mật phát hiện một phiên bản mã độc Backdoor HZ Rat trên macOS nhắm mục tiêu đến người dùng của ứng dụng nhắn tin doanh nghiệp DingTalk và nền tảng mạng xã hội và nhắn tin WeChat. Các mẫu được phát hiện gần như hoàn toàn sao chép chức năng của phiên bản backdoor trên Windows và chỉ khác ở Payload, nhận dưới dạng các tập lệnh shell từ máy chủ của kẻ tấn công. Một số phiên bản Backdoor sử dụng địa chỉ IP cục bộ để kết nối với máy chủ C&C, điều này khiến chúng tôi tin rằng mối đe dọa có thể là mục tiêu cụ thể.

  1. Thông tin chi tiết

HZ RAT lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đức DCSO vào tháng 11 năm 2022, với phần mềm độc hại được phân phối qua các tệp zip tự giải nén hoặc các tài liệu RTF độc hại, được cho là được tạo ra bằng công cụ RTF Royal Road.

Quy trình tấn công liên quan đến các tài liệu RTF được thiết kế để triển khai phiên bản phần mềm độc hại trên Windows, được thực thi bằng cách khai thác một lỗ hổng cũ trong Microsoft Office liên quan đến Equation Editor (CVE-2017-11882). Phương pháp phân phối thứ hai giả danh là trình cài đặt cho các phần mềm hợp pháp như OpenVPN, PuTTYgen hoặc EasyConnect để thực hiện kết nối đến các máy chủ CnC. Ngoài việc thực sự cài đặt chương trình giả mạo, phương pháp này còn chạy một tập lệnh Visual Basic Script (VBS) chịu trách nhiệm khởi chạy RAT.

Các chức năng của HZ RAT khá đơn giản, thực hiện kết nối với máy chủ điều khiển (C2) tạo điều kiện cho kẻ tấn công thực hiện tấn công mở rộng. Điều này bao gồm thực thi các lệnh và tập lệnh PowerShell, ghi các tệp tùy ý vào hệ thống, tải tệp lên máy chủ và gửi thông tin theo thời gian thực.

  1. Phân tích kỹ thuật

Dù chưa phát hiện được tệp tin ban đầu phát tán mã độc nhưng các chuyên gia bảo mật đã phát hiện được một gói cài đặt cho một trong các mẫu backdoor có tên là OpenVPNConnect.pkg:

Tệp này đã được tải lên VirusTotal vào tháng 7 năm 2023, tại thời điểm đó tệp tin không bị phát hiện độc hại bởi bất kỳ nhà cung cấp nào, tương tự như các mẫu backdoor khác. Trình cài đặt có dạng đóng gói bao bọc cho ứng dụng hợp pháp 'OpenVPN Connect', trong khi thư mục gói MacOS chứa hai tệp bổ sung ngoài ứng dụng gốc: exe và init

Hệ thống xác định tệp nào sẽ chạy khi ứng dụng được mở bằng cách sử dụng tệp cấu hình Info.plist.

  • Tệp đầu tiên được khởi chạy là tệp exe – một tập lệnh shell chạy tệp init, sau đó khởi chạy ứng dụng OpenVPN.

  • Tệp init là Backdoor. Khi được khởi chạy, nó thiết lập kết nối với máy chủ điều khiển (C2) dựa trên danh sách các địa chỉ IP được chỉ định. Trong hầu hết các trường hợp, các mẫu sử dụng cổng 8081 để kết nối. Ngoài ra, có một số các mẫu backdoor khác sử dụng địa chỉ IP riêng để kết nối với C2

    Trong quá trình thực hiện điều tra và phân tích, các chuyên gia đã thu thập được các lệnh shell từ máy chủ CnC được sử dụng để thu thập thông tin của nạn nhân:

  • Trạng thái SIP (System Integrity Protection): là một tính năng bảo mật của macOS

  • Thông tin về thiết bị và hệ thống, bao gồm:

    • Địa chỉ IP cục bộ;

    • Thông tin về các thiết bị kết nối thông qua Bluetooth;

    • Thông tin về các kết nối mạng;

    • Thông số phần cứng của thiết bị;

    • Thông tin lưu trữ dữ liệu.

  • Danh sách các ứng dụng trên máy nạn nhân

  • Thông tin người dùng trên WeChat

  • Thông tin người dùng và tổ chức trên DingTalk

  • Thông tin đăng nhập của người dùng trên Google Password Manager.

Mã độc này sẽ thực hiện thu thập thông tin WeChatID của nạn nhân, địa chỉ email và số điện thoại từ WeChat. Thông tin được lưu trữ dưới dạng bản rõ trong tệp có tên "userinfo.data".

Với riêng DingTalk, kẻ tấn công sẽ thực hiện thu thập nhiều thông tin hơn về nạn nhân bao gồm:

  • Thông tin về tổ chức nơi mà nạn nhân đang công tác

  • Thông tin đăng nhập

  • Địa chỉ email nơi làm việc

  • Số điện thoại cá nhân và số điện thoại tổ chức.

Đoạn mã dưới đây sẽ thực hiện lấy thông tin từ tệp tin có tên "orgEmployeeModel". Nếu tệp này không tồn tại, mã độc thực hiện tìm kiếm số điện thoại và email của người dùng trong tệp "sAlimailLoginEmail". Nếu tiếp tục không thành công, nó sẽ cố gắng tìm email của người dùng trong một tệp bộ nhớ đệm của DingTalk có tên ".holmes.mapping". Các tệp này cũng không được mã hóa và lưu trữ dữ liệu dưới dạng văn bản thuần.

Một số địa chỉ IP C&C được phát hiện đã từng xuất hiện trong các cuộc tấn công phần mềm độc hại nhắm vào các thiết bị Windows. Các địa chỉ này đã xuất hiện từ năm 2022, với một trong số đó xuất hiện trong các cuộc tấn công HZ Rat vào thời điểm đó. Hầu hết các máy chủ C2 được tìm thấy đều được đặt tại Trung Quốc. Các chuyên gia cũng phát hiện rằng gói cài đặt được đề cập ở trên, theo VirusTotal, trước đây đã được tải xuống từ một miền thuộc về MiHoYo, một nhà phát triển trò chơi điện tử của Trung Quốc.

hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.

Hiện vẫn chưa biết chắc chắn cách tệp này xuất hiện trên miền hợp pháp và liệu công ty có bị tấn công hay không

  1. Danh sách IoC độc hại liên quan Dưới đây là danh sách giá trị băm MD5 của các tệp độc hại
MD5Thông tin
8d33f667ca135a88f5bf77a0fab209d4Phần mềm cài đặt trên Apple
111.21.246[.]147IP C&C
123.232.31[.]206IP C&C
120.53.133[.]226IP C&C
218.193.83[.]70IP C&C
29.40.48[.]21IP C&C
47.100.65[.]182IP C&C
58.49.21[.]113IP C&C
113.125.92[.]32IP C&C
218.65.110[.]180IP C&C
20.60.250[.]230IP C&C
0c3201d0743c63075b18023bb8071e73Mach-O 64-bit x86_64 executable
6cc838049ece4fcb36386b7a3032171fMach-O 64-bit x86_64 executable
6d478c7f94d95981eb4b6508844050a6Mach-O 64-bit x86_64 executable
7a66cd84e2d007664a66679e86832202Mach-O 64-bit x86_64 executable
7ed3fc831922733d70fb08da7a244224Mach-O 64-bit x86_64 executable
9cdb61a758afd9a893add4cef5608914Mach-O 64-bit x86_64 executable
287ccbf005667b263e0e8a1ccfb8daecMach-O 64-bit x86_64 executable
7005c9c6e2502992017f1ffc8ef8a9b9Mach-O 64-bit x86_64 executable
7355e0790c111a59af377babedee9018Mach-O 64-bit x86_64 executable
a5af0471e31e5b11fd4d3671501dfc32Mach-O 64-bit x86_64 executable
da07b0608195a2d5481ad6de3cc6f195Mach-O 64-bit x86_64 executable
dd71b279a0bf618bbe9bb5d934ce9caaMach-O 64-bit x86_64 executable
  1. Khuyến cáo

Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để phòng chống HZ Rat:

  • Cập nhật hệ điều hành và phần mềm thường xuyên: Luôn cập nhật phiên bản mới nhất của hệ điều hành và các phần mềm đang sử dụng, đặc biệt là macOS, để khắc phục các lỗ hổng bảo mật cũ như CVE-2017-11882.

  • Cảnh giác với các tệp đính kèm và tài liệu RTF: Tránh mở các tệp RTF hoặc tài liệu không rõ nguồn gốc, vì các chuỗi tấn công HZ Rat có thể được triển khai thông qua các tài liệu này, khai thác lỗ hổng trong Microsoft Office.

  • Kiểm tra các gói cài đặt phần mềm: Cẩn thận khi tải phần mềm từ các nguồn không chính thức, vì HZ Rat có thể ẩn dưới dạng các trình cài đặt giả mạo, chẳng hạn như OpenVPN Connect.

  • Bật và duy trì System Integrity Protection (SIP) trên macOS: SIP giúp ngăn chặn phần mềm độc hại như HZ Rat thực hiện các thay đổi trên các tệp hệ thống lõi. Hãy đảm bảo rằng tính năng này luôn được bật.

  • Bảo vệ thông tin cá nhân và doanh nghiệp: Giới hạn quyền truy cập vào thông tin nhạy cảm và giám sát cẩn thận các hoạt động trên các nền tảng như WeChat và DingTalk, vì HZ Rat có khả năng thu thập dữ liệu người dùng từ các nền tảng này.

  1. Tham khảo