حمله درب پشتی HZ Rat نسخه macOS به کاربران DingTalk و WeChat چین

security news

کاربران اپ‌های پیام‌رسان سازمانی DingTalk و شبکه اجتماعی و پلت‌فرم پیام‌رسانی WeChat هدف نسخه macOS اپل از یک درب پشتی به نام HZ RAT هستند.

محقق کسپرسکی اظهار کرد، عملکرد نسخه macOS از HZ RAT، دقیقاً با عملکرد نسخه ویندوز درب پشتی همپوشانی دارد و صرفا در یک payload که به شکل shell scriptهایی از سرور مهاجمان دریافت می‌شود، متفاوت هستند.

HZ RAT برای اولین بار توسط شرکت امنیت سایبری آلمان DCSO در نوامبر 2022 مشاهده شد که بدافزار را از طریق بایگانی‌های فشرده خود استخراج‌شونده (self-extracting zip) یا اسناد مخرب RTF که احتمالاً با استفاده از Royal Road RTF weaponizer ساخته شده بودند، توزیع می‌کرد.

زنجیره‌های حمله شامل اسناد RTF جهت استقرار نسخه ویندوز بدافزاری طراحی شده‌اند که با بهره‌برداری از یک نقص قدیمی مایکروسافت آفیس در Equation Editor با شناسه CVE-2017-11882 با امتیاز 7.8، روی میزبان در معرض خطر اجرا می‌شود.

روش توزیع دوم، به عنوان یک نصب کننده برای نرم افزارهای قانونی مانند OpenVPN، PuTTYgen یا EasyConnect ظاهر می‌شود که علاوه بر نصب برنامه lure، یک اسکریپت ویژوال بیسیک (VBS) را نیز اجرا می‌کند که مسئول راه‌اندازی RAT است.

 

https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/