Sicherheitsexperten von Kaspersky haben eine besorgniserregende Entdeckung gemacht: Eine macOS-Version des gefährlichen Backdoors HZ Rat wurde identifiziert, die speziell auf Nutzer der Unternehmens-Messenger DingTalk und WeChat abzielt. Diese Malware stellt eine ernsthafte Bedrohung für die Cybersicherheit von Unternehmen dar, insbesondere da einige Varianten lokale IP-Adressen für die Kommunikation mit Command-and-Control-Servern (C2) nutzen – ein Indiz für gezielte Angriffe.
Technische Analyse des HZ Rat Backdoors
Der HZ Rat Backdoor wurde erstmals im November 2022 von DCSO-Forschern entdeckt, damals noch als Windows-Variante. Die neue macOS-Version weist große Ähnlichkeiten auf, unterscheidet sich jedoch in der Payload, die als Shell-Skripte von den Angreifern geliefert wird. Ein bemerkenswerter Infektionsvektor ist ein Installationspaket namens „OpenVPNConnect.pkg“, das im Juli 2023 auf VirusTotal hochgeladen wurde und zum Zeitpunkt der Analyse von keinem Antiviren-Anbieter erkannt wurde.
Funktionsweise und Kommunikation
Nach der Infektion verbindet sich HZ Rat mit vordefinierten C2-Servern, meist über Port 8081. Die Kommunikation wird mit XOR-Verschlüsselung (Schlüssel 0x42) gesichert. Der Backdoor unterstützt vier Hauptbefehle:
- Ausführung von Shell-Befehlen
- Dateien auf die Festplatte schreiben
- Dateien an den Server senden
- Verfügbarkeit des Opfers prüfen
Datenexfiltration aus Messaging-Apps
Die Analyse ergab, dass HZ Rat gezielt sensible Informationen aus beliebten Messaging-Apps sammelt:
Aus WeChat extrahiert die Malware die WeChat-ID, E-Mail-Adresse und Telefonnummer des Opfers aus der unverschlüsselten Datei „userinfo.data“.
DingTalk
Bei DingTalk sind die Angreifer an detaillierteren Informationen interessiert, darunter:
- Name der Organisation und Abteilung
- Benutzername
- Geschäftliche E-Mail-Adresse
- Telefonnummer
Diese Daten werden aus verschiedenen unverschlüsselten Dateien wie „orgEmployeeModel“, „sAlimailLoginEmail“ oder Cache-Dateien mit dem Muster „<datum>.holmes.mapping“ extrahiert.
Geografische Verteilung und mögliche Ziele
Die Forscher identifizierten vier aktive C2-Server, von denen die meisten in China lokalisiert waren. Einzelne Server befanden sich in den USA und den Niederlanden. Die Verwendung privater IP-Adressen in einigen Samples deutet auf eine fortgeschrittene Taktik hin, bei der bereits kompromittierte Geräte im lokalen Netzwerk als Proxy für die C2-Kommunikation genutzt werden.
Obwohl die genauen Absichten der Angreifer unklar bleiben, ermöglicht die gesammelte Information über Arbeitsplatz und Kontaktdaten der Opfer potenziell gezielte Überwachung und die Vorbereitung weiterer Angriffe. Die Entdeckung unterstreicht die wachsende Bedrohung durch hochentwickelte Malware, die speziell auf macOS-Systeme und Unternehmensnetzwerke abzielt. Organisationen sollten ihre Sicherheitsmaßnahmen überprüfen, Mitarbeiter schulen und moderne Endpoint-Detection-and-Response (EDR) Lösungen implementieren, um sich vor solchen raffinierten Angriffen zu schützen.
