卡巴斯基曝光:钉钉、微信遭黑客入侵,米哈游服务器沦为帮凶!

卡巴斯基实验室近日在博客中发布了一份关于 HZ Rat 后门程序的调查报告。该后门程序主要针对阿里巴巴旗下的企业通讯平台钉钉和腾讯旗下的即时通讯软件微信(本文提到的均为 PC 版或 Mac 版,不含手机版)。

图片[1]-卡巴斯基曝光:钉钉、微信遭黑客入侵,米哈游服务器沦为帮凶!-零度博客

HZ Rat 后门程序最初仅针对 Windows 系统,卡巴斯基此次发现的则是其专为 macOS 系统开发的新版本,目的依旧是收集机密信息。

值得关注的是,在病毒扫描平台 VirusTotal 上,HZ Rat 的样本并未被任何安全软件检测出问题(包括卡巴斯基在内)。该样本伪装成知名的加密隧道软件 OpenVPN Connect,以达到其隐藏目的。

代码分析截图:

 

图片[2]-卡巴斯基曝光:钉钉、微信遭黑客入侵,米哈游服务器沦为帮凶!-零度博客

 

卡巴斯基在调查后发现,HZ Rat 后门程序具有以下特点:

  1. 收集 macOS 系统完整性保护(SIP)的状态。
  2. 收集本地 IP 地址。
  3. 收集蓝牙设备信息。
  4. 收集可用的 WiFi 网络及网卡信息,以及已连接的 WiFi 信息。
  5. 收集硬件规格。
  6. 收集存储信息。
  7. 获取应用清单。
  8. 收集微信的用户信息。
  9. 收集钉钉的用户和组织信息。
  10. 收集谷歌密码管理器的用户名和网站信息(Chrome 内置的密码管理器)。

针对微信的收集信息包括微信用户 ID、邮箱(如有)和电话号码,这些数据以纯文本形式存储在 userinfo.data 文件中。分析显示,HZ Rat 对钉钉更感兴趣,收集的信息包括用户所在企业/组织的名称、部门名称、用户名、公司邮箱地址和电话号码。

 

图片[3]-卡巴斯基曝光:钉钉、微信遭黑客入侵,米哈游服务器沦为帮凶!-零度博客

值得注意的是,在卡巴斯基分析期间,HZ Rat 并未执行将文件写入磁盘或将文件发送到服务器的命令。这表明攻击者目前可能正在为未来的攻击收集信息,因此他们的具体意图尚不明确。

最后值得一提的是,HZ Rat 后门程序被存储在游戏开发商米哈游的服务器上,URL 为:hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip。将文件放置在知名公司的域名下通常可以增加用户的信任度或绕过某些安全软件的拦截,但黑客如何将文件上传到米哈游的服务器仍然是个谜。按理说,米哈游这样的大型公司应该对服务器的管理非常严格。

THE END
喜欢就支持一下吧
点赞2177 分享
电脑时间改成10000年!会发生什么?计算机”万年虫“是否真的存在?为你揭晓答案....| 零度解说-零度博客
shadowsocks 客户端下载| ss客户端-零度博客

shadowsocks 客户端下载| ss客户端

shadowsocks -Windows 客户端下载   Github:(点击下载)  
Windows 11 最新官方正版下载(2024)-零度博客

Windows 11 最新官方正版下载(2024)

  Windows 11 最新官方正式版:【点击下载】 下载 Windows 11 (当前版本:Windows 11 2023 更新 l 版本 23H2) 可通过下面的 3 个选项来安装或创建 Windows 11 介质。请分别查看每一个选项...
admin的头像-零度博客admin
1.4W+1527
OpenAI 正式发布其搜索引擎 SearchGPT 原型!附最新开通链接-零度博客

OpenAI 正式发布其搜索引擎 SearchGPT 原型!附最新开通链接

5 月,网上开始流传 OpenAI 即将在 5 月 13 日的春季媒体发布会上推出自己的搜索引擎的传言。这些报道很快被OpenAI 首席执行官 Sam Altman驳斥。相反,春季发布会的重点是GPT-4o AI 模型的发布...
admin的头像-零度博客admin
2W+2176
VMware 17.0 Pro 版本正式发布,还有适配MacOS 的 Fusion 13 Pro下载-零度博客

VMware 17.0 Pro 版本正式发布,还有适配MacOS 的 Fusion 13 Pro下载

VMware 17.0 Pro官方下载地址:【点击获取】或【网盘下载】VMware  Fusion 13 Pro下载:【点击获取】或【网盘下载】Manjaro 21.3 Ruah 系统下载:【点击前往】
admin的头像-零度博客admin
4.7W+2183
如何使用 VBA 合并多个 Excel 工作簿-零度博客

如何使用 VBA 合并多个 Excel 工作簿

在处理各种数据源时,您可能经常难以编译多个工作簿和工作表,然后才能获得一个最终数据。想象一下这样一种情况,在您开始新的一天之前,您有数百个工作簿要组合。 没有人愿意花无数时间处理不...
admin的头像-零度博客admin
1.7W+2250
快速检测APK程序是否安全的网站!-零度博客

快速检测APK程序是否安全的网站!

  1.MetaDefender:【官网】 2.VirusTotal: 【官网】 VirusTotal是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测,最初由Hispasec维护。它与传...
admin的头像-零度博客admin
1.8W+2251
Windows  11 最新版 Moment 5正式发布!附官方下载链接-零度博客

Windows 11 最新版 Moment 5正式发布!附官方下载链接

Windows 11 Moment 5 更新现已正式发布,其中包含大量的功能升级,虽然下一个版本升级 24H2 仍在开发中,但 Moment 5 为你提供了不错的实用的功能升级和对原生应用的改进。 您可以前往'设置'>...
admin的头像-零度博客admin
2.4W+2177
月底必须支付 15 亿美元的账单,马斯克 (Elon Musk) 的选择并不多!-零度博客

月底必须支付 15 亿美元的账单,马斯克 (Elon Musk) 的选择并不多!

迫在眉睫的 Twitter 利息支付让马斯克面临着难以接受的选择,以 440 亿美元的价格收购,公司今天的价值可能只有 150 亿美元。     埃隆·马斯克 (Elon Musk) 购买 Twitter 的账单即将...
admin的头像-零度博客admin
1.2W+6539