隨著MacOS市場份額和用戶的不斷增長，特別是在企業高價值個人用戶(例如管理和研發人員)中廣泛使用，黑客們也開始將目光投向這一曾被認為較為安全的平臺。近日，卡巴斯基曝光了一個針對MacOS平臺上的釘釘和微信用戶的大規模間諜活動。

　　卡巴斯基的研究人員Sergey Puzan發現，一種名為HZ RAT的后門惡意軟件已經針對蘋果MacOS系統進行了專門設計，這一版本幾乎完全復制了HZ RAT在Windows系統上的功能，僅在負載(payload)形式上有所不同，MacOS版本通過攻擊者服務器發送的shell腳本來接收指令。

　　一個簡單但極其危險的后門間諜程序

　　HZ RAT首次由德國網絡安全公司DCSO于2022年11月發現并記錄，該惡意軟件通常通過自解壓zip壓縮包或使用Royal Road RTF武器化工具生成的惡意RTF文檔傳播。這些攻擊鏈通過RTF文檔部署Windows版本的惡意軟件，利用微軟Office中存在多年的Equation Editor漏洞(CVE-2017-11882)執行代碼。

　　HZ RAT的另一種傳播方式是偽裝成合法軟件的安裝程序，如OpenVPN、PuTTYgen或EasyConnect。這些偽裝的軟件除了正常安裝外，還會執行一個Visual Basic腳本(VBS)，該腳本負責啟動RAT(遠程訪問工具)。

　　HZ RAT雖然功能相對簡單，但卻不容小覷。它能夠連接到命令與控制(C2)服務器接收進一步指令，這些指令包括執行PowerShell命令和腳本、向系統寫入任意文件、將文件上傳到服務器，以及發送心跳信息。這些功能表明，HZ RAT可能主要用于憑據竊取和系統偵察活動。

　　研究顯示，HZ RAT的早期版本至少可以追溯到2020年6月。DCSO表示，這一惡意軟件的攻擊活動至少自2020年10月起便已開始。

　　MacOS版本的新威脅

　　卡巴斯基在2023年7月上傳至VirusTotal的最新樣本中發現，惡意軟件偽裝成OpenVPN Connect的安裝包("OpenVPNConnect.pkg")，一旦啟動便與C2服務器建立聯系，并執行四個與Windows版本類似的基本命令：

　　執行shell命令(如系統信息、本地IP地址、已安裝應用列表、釘釘、Google密碼管理器和微信的數據)

　　向磁盤寫入文件

　　將文件發送到C2服務器

　　檢查受害者的可用性

　　“惡意軟件試圖從微信中獲取受害者的WeChatID、電子郵件和電話號碼，”Puzan表示，“至于釘釘，攻擊者對更詳細的受害者數據感興趣，如用戶所在的組織和部門名稱、用戶名、公司電子郵件地址以及電話號碼。”

　　攻擊活動仍在持續

　　進一步的分析顯示，幾乎所有C2服務器都位于中國，除兩臺服務器分別位于美國和荷蘭之外。此外，MacOS安裝包的ZIP壓縮包曾被下載自中國知名游戲開發公司米哈游(miHoYo)的域名，miHoYo因開發了《原神》和《崩壞》系列游戲而聞名。目前尚不清楚該文件是如何上傳到該公司域名的，也無法確定其服務器是否曾遭到入侵。

　　HZ RAT推出MacOS版本表明，之前的攻擊者仍然活躍。盡管目前這些惡意軟件的主要目的是收集用戶數據，但考慮到樣本中包含的私有IP地址，未來它可能被用于在受害者網絡中進行橫向移動。

　　通過系統偵察、憑據收集，黑客可進一步入侵用戶網絡，獲取高價值信息，如企業機密和個人隱私數據。