کاربران اپهای پیامرسان سازمانی DingTalk و شبکه اجتماعی و پلتفرم پیامرسانی WeChat هدف نسخه macOS اپل از یک درب پشتی به نام HZ RAT هستند.
محقق کسپرسکی اظهار کرد، عملکرد نسخه macOS از HZ RAT، دقیقاً با عملکرد نسخه ویندوز درب پشتی همپوشانی دارد و صرفا در یک payload که به شکل shell scriptهایی از سرور مهاجمان دریافت میشود، متفاوت هستند.
HZ RAT برای اولین بار توسط شرکت امنیت سایبری آلمان DCSO در نوامبر 2022 مشاهده شد که بدافزار را از طریق بایگانیهای فشرده خود استخراجشونده (self-extracting zip) یا اسناد مخرب RTF که احتمالاً با استفاده از Royal Road RTF weaponizer ساخته شده بودند، توزیع میکرد.
زنجیرههای حمله شامل اسناد RTF جهت استقرار نسخه ویندوز بدافزاری طراحی شدهاند که با بهرهبرداری از یک نقص قدیمی مایکروسافت آفیس در Equation Editor با شناسه CVE-2017-11882 با امتیاز 7.8، روی میزبان در معرض خطر اجرا میشود.
روش توزیع دوم، به عنوان یک نصب کننده برای نرم افزارهای قانونی مانند OpenVPN، PuTTYgen یا EasyConnect ظاهر میشود که علاوه بر نصب برنامه lure، یک اسکریپت ویژوال بیسیک (VBS) را نیز اجرا میکند که مسئول راهاندازی RAT است.
https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513/
