Kaspersky Labは8月27日(現地時間)、「HZ Rat backdoor for macOS harvests data from WeChat and DingTalk|Securelist」において、エンタープライズメッセンジャー「DingTalk」およびメッセージングプラットフォーム「WeChat」のユーザーを標的とするバックドア「HZ Rat」のmacOS版を発見したと伝えた。

HZ Ratは2022年11月にドイツのセキュリティ企業「DCSO」によりWindowsを標的とするサンプルが確認されている(参考:「HZ RAT goes China. Walking down the Royal Road as we did… | by DCSO CyTec Blog | Medium」)。今回はほぼ同じ機能を持つmacOSのサンプルが初めて確認された。

HZ Rat backdoor for macOS harvests data from WeChat and DingTalk|Securelist

○バックドア「HZ Rat」の正体

Kaspersky Labは今回に発見したサンプルの侵害経路を不明としている。しかしながら、インストールパッケージ「OpenVPNConnect.pkg」の入手に成功したとして分析結果を公開した。この悪意のあるパッケージは2023年7月にVirusTotalにアップロードされているが、分析時点において主要なセキュリティソリューションから検出されないことがわかっている。

VirusTotalにアップロードされたパッケージ - Securelist

パッケージを開くと内部に含まれる「exe」というファイル名のシェルスクリプトが実行され、そこからバックドア本体とOpenVPNアプリが実行される。バックドアはコマンド&コントロール(C2: Command and Control)サーバとの接続を確立すると、単純な暗号化通信を使用して次の情報を窃取するとされる。

システム整合性保護(SIP: System Integrity Protection)ステータス

システムおよびデバイス情報

アプリケーションの一覧

DingTalkのユーザーおよび組織情報(勤務先情報、ユーザー名、メールアドレス、電話番号)

WeChatのユーザー情報(WeChatID、メールアドレス、電話番号)

Google Chromeのパスワードマネージャー

○バックドアとしての目的

発見されたコマンド&コントロールサーバの大部分は中国のIPアドレスとされる。また、悪意のあるパッケージが中国のゲーム開発会社「MiHoYo」のドメインから過去に配布されていたことも確認されている。MiHoYoが故意に配布したのか、侵害されたのかはわかっていない。

このバックドアにはファイルのアップロード、ダウンロード機能がある。しかしながら、これら機能の使用は分析中に確認されていない。Kaspersky Labはこれらの事実を総合的に評価した結果、攻撃者の意図がわからないと結論づけている。

攻撃者の目的や侵害経路が不明のため、対策の検討は難しい。だが、攻撃に使用されたパッケージがOpenVPNに偽装していることから、アプリを公式ストアまたは正規サイトからのみダウンロードすることで回避できるものとみられる。Kaspersky Labは調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。