Mã độc HZ Rat nhắm vào người dùng DingTalk và WeChat trên macOS tại Trung Quốc
Vào tháng 6 năm 2024, các chuyên gia phân tích bảo mật phát hiện một phiên bản mã độc Backdoor HZ Rat trên macOS nhắm mục tiêu đến người dùng của ứng dụng nhắn tin doanh nghiệp DingTalk và nền tảng mạng xã hội và nhắn tin WeChat. Các mẫu được phát hiện gần như hoàn toàn sao chép chức năng của phiên bản backdoor trên Windows và chỉ khác ở Payload, nhận dưới dạng các tập lệnh shell từ máy chủ của kẻ tấn công. Một số phiên bản Backdoor sử dụng địa chỉ IP cục bộ để kết nối với máy chủ C&C, điều này khiến chúng tôi tin rằng mối đe dọa có thể là mục tiêu cụ thể.
- Thông tin chi tiết
HZ RAT lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đức DCSO vào tháng 11 năm 2022, với phần mềm độc hại được phân phối qua các tệp zip tự giải nén hoặc các tài liệu RTF độc hại, được cho là được tạo ra bằng công cụ RTF Royal Road.
Quy trình tấn công liên quan đến các tài liệu RTF được thiết kế để triển khai phiên bản phần mềm độc hại trên Windows, được thực thi bằng cách khai thác một lỗ hổng cũ trong Microsoft Office liên quan đến Equation Editor (CVE-2017-11882). Phương pháp phân phối thứ hai giả danh là trình cài đặt cho các phần mềm hợp pháp như OpenVPN, PuTTYgen hoặc EasyConnect để thực hiện kết nối đến các máy chủ CnC. Ngoài việc thực sự cài đặt chương trình giả mạo, phương pháp này còn chạy một tập lệnh Visual Basic Script (VBS) chịu trách nhiệm khởi chạy RAT.
Các chức năng của HZ RAT khá đơn giản, thực hiện kết nối với máy chủ điều khiển (C2) tạo điều kiện cho kẻ tấn công thực hiện tấn công mở rộng. Điều này bao gồm thực thi các lệnh và tập lệnh PowerShell, ghi các tệp tùy ý vào hệ thống, tải tệp lên máy chủ và gửi thông tin theo thời gian thực.
- Phân tích kỹ thuật
Dù chưa phát hiện được tệp tin ban đầu phát tán mã độc nhưng các chuyên gia bảo mật đã phát hiện được một gói cài đặt cho một trong các mẫu backdoor có tên là OpenVPNConnect.pkg:
Tệp này đã được tải lên VirusTotal vào tháng 7 năm 2023, tại thời điểm đó tệp tin không bị phát hiện độc hại bởi bất kỳ nhà cung cấp nào, tương tự như các mẫu backdoor khác. Trình cài đặt có dạng đóng gói bao bọc cho ứng dụng hợp pháp 'OpenVPN Connect', trong khi thư mục gói MacOS chứa hai tệp bổ sung ngoài ứng dụng gốc: exe và init
Hệ thống xác định tệp nào sẽ chạy khi ứng dụng được mở bằng cách sử dụng tệp cấu hình Info.plist.
Tệp đầu tiên được khởi chạy là tệp exe – một tập lệnh shell chạy tệp init, sau đó khởi chạy ứng dụng OpenVPN.
Tệp init là Backdoor. Khi được khởi chạy, nó thiết lập kết nối với máy chủ điều khiển (C2) dựa trên danh sách các địa chỉ IP được chỉ định. Trong hầu hết các trường hợp, các mẫu sử dụng cổng 8081 để kết nối. Ngoài ra, có một số các mẫu backdoor khác sử dụng địa chỉ IP riêng để kết nối với C2
Trong quá trình thực hiện điều tra và phân tích, các chuyên gia đã thu thập được các lệnh shell từ máy chủ CnC được sử dụng để thu thập thông tin của nạn nhân:
Trạng thái SIP (System Integrity Protection): là một tính năng bảo mật của macOS
Thông tin về thiết bị và hệ thống, bao gồm:
Địa chỉ IP cục bộ;
Thông tin về các thiết bị kết nối thông qua Bluetooth;
Thông tin về các kết nối mạng;
Thông số phần cứng của thiết bị;
Thông tin lưu trữ dữ liệu.
Danh sách các ứng dụng trên máy nạn nhân
Thông tin người dùng trên WeChat
Thông tin người dùng và tổ chức trên DingTalk
Thông tin đăng nhập của người dùng trên Google Password Manager.
Mã độc này sẽ thực hiện thu thập thông tin WeChatID của nạn nhân, địa chỉ email và số điện thoại từ WeChat. Thông tin được lưu trữ dưới dạng bản rõ trong tệp có tên "userinfo.data".
Với riêng DingTalk, kẻ tấn công sẽ thực hiện thu thập nhiều thông tin hơn về nạn nhân bao gồm:
Thông tin về tổ chức nơi mà nạn nhân đang công tác
Thông tin đăng nhập
Địa chỉ email nơi làm việc
Số điện thoại cá nhân và số điện thoại tổ chức.
Đoạn mã dưới đây sẽ thực hiện lấy thông tin từ tệp tin có tên "orgEmployeeModel". Nếu tệp này không tồn tại, mã độc thực hiện tìm kiếm số điện thoại và email của người dùng trong tệp "sAlimailLoginEmail". Nếu tiếp tục không thành công, nó sẽ cố gắng tìm email của người dùng trong một tệp bộ nhớ đệm của DingTalk có tên ".holmes.mapping". Các tệp này cũng không được mã hóa và lưu trữ dữ liệu dưới dạng văn bản thuần.
Một số địa chỉ IP C&C được phát hiện đã từng xuất hiện trong các cuộc tấn công phần mềm độc hại nhắm vào các thiết bị Windows. Các địa chỉ này đã xuất hiện từ năm 2022, với một trong số đó xuất hiện trong các cuộc tấn công HZ Rat vào thời điểm đó. Hầu hết các máy chủ C2 được tìm thấy đều được đặt tại Trung Quốc. Các chuyên gia cũng phát hiện rằng gói cài đặt được đề cập ở trên, theo VirusTotal, trước đây đã được tải xuống từ một miền thuộc về MiHoYo, một nhà phát triển trò chơi điện tử của Trung Quốc.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
Hiện vẫn chưa biết chắc chắn cách tệp này xuất hiện trên miền hợp pháp và liệu công ty có bị tấn công hay không
- Danh sách IoC độc hại liên quan Dưới đây là danh sách giá trị băm MD5 của các tệp độc hại
- Khuyến cáo
Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để phòng chống HZ Rat:
Cập nhật hệ điều hành và phần mềm thường xuyên: Luôn cập nhật phiên bản mới nhất của hệ điều hành và các phần mềm đang sử dụng, đặc biệt là macOS, để khắc phục các lỗ hổng bảo mật cũ như CVE-2017-11882.
Cảnh giác với các tệp đính kèm và tài liệu RTF: Tránh mở các tệp RTF hoặc tài liệu không rõ nguồn gốc, vì các chuỗi tấn công HZ Rat có thể được triển khai thông qua các tài liệu này, khai thác lỗ hổng trong Microsoft Office.
Kiểm tra các gói cài đặt phần mềm: Cẩn thận khi tải phần mềm từ các nguồn không chính thức, vì HZ Rat có thể ẩn dưới dạng các trình cài đặt giả mạo, chẳng hạn như OpenVPN Connect.
Bật và duy trì System Integrity Protection (SIP) trên macOS: SIP giúp ngăn chặn phần mềm độc hại như HZ Rat thực hiện các thay đổi trên các tệp hệ thống lõi. Hãy đảm bảo rằng tính năng này luôn được bật.
Bảo vệ thông tin cá nhân và doanh nghiệp: Giới hạn quyền truy cập vào thông tin nhạy cảm và giám sát cẩn thận các hoạt động trên các nền tảng như WeChat và DingTalk, vì HZ Rat có khả năng thu thập dữ liệu người dùng từ các nền tảng này.
- Tham khảo