Эксперты «Лаборатории Касперского» выявили новую угрозу для пользователей macOS — бэкдор HZ Rat, нацеленный на корпоративные мессенджеры DingTalk и WeChat. Это вредоносное ПО представляет серьезную опасность для конфиденциальности корпоративных данных и требует повышенного внимания со стороны специалистов по информационной безопасности.
Особенности и механизм работы HZ Rat
HZ Rat, впервые обнаруженный в ноябре 2022 года, изначально атаковал системы Windows. Новая версия для macOS практически идентична своему предшественнику, за исключением специфичной для платформы полезной нагрузки. Бэкдор получает команды в виде shell-скриптов с серверов злоумышленников, что позволяет им гибко управлять зараженными системами.
Механизм распространения HZ Rat пока не установлен, однако исследователи обнаружили установочный пакет OpenVPNConnect.pkg, содержащий вредоносный код. Примечательно, что антивирусные решения не определяли этот файл как угрозу на момент исследования, что подчеркивает важность постоянного обновления средств защиты.
Целевые атаки и сбор конфиденциальных данных
Анализ HZ Rat показал, что некоторые версии бэкдора используют локальные IP-адреса для подключения к управляющим серверам. Это может свидетельствовать о целевом характере атак, возможно, направленных на конкретные организации или сети.
Бэкдор фокусируется на сборе личной информации пользователей популярных корпоративных мессенджеров:
Данные, извлекаемые из WeChat:
- WeChatID
- Адрес электронной почты
- Номер телефона
Информация, собираемая из DingTalk:
- Название организации и отдела
- Имя пользователя
- Корпоративная электронная почта
- Номер телефона
HZ Rat извлекает эти данные из незашифрованных файлов, хранящихся локально на устройстве пользователя. Такой подход подчеркивает важность шифрования конфиденциальной информации даже на уровне локального хранения.
Инфраструктура и географическое распределение атак
Исследователи выявили четыре активных управляющих сервера, большинство из которых расположены в Китае. Отдельные серверы также были обнаружены в США и Нидерландах, что может указывать на глобальный масштаб операции. Некоторые IP-адреса, используемые в текущей кампании, ранее фигурировали в атаках на Windows-системы, что свидетельствует о продолжительной активности группировки, стоящей за HZ Rat.
Использование приватных IP-адресов в некоторых образцах малвари указывает на возможное применение прокси-серверов для сокрытия коммуникаций с управляющими серверами. Эта тактика затрудняет обнаружение вредоносной активности стандартными средствами сетевого мониторинга.
Хотя полные намерения злоумышленников остаются неясными, собираемая информация может быть использована для подготовки более сложных целевых атак или промышленного шпионажа. Организациям рекомендуется усилить меры безопасности, особенно в отношении корпоративных коммуникационных платформ и устройств с macOS.
Обнаружение HZ Rat подчеркивает растущую угрозу для пользователей macOS и необходимость комплексного подхода к кибербезопасности, включающего регулярное обновление программного обеспечения, использование надежных средств защиты и обучение сотрудников основам информационной безопасности. Только сочетание технических мер и повышения осведомленности пользователей может обеспечить эффективную защиту от современных киберугроз.