Bilgisayar korsanları, giderek artan kullanıcı tabanı nedeniyle macOS’u giderek daha cazip bir hedef haline getirmek için bu işletim sistemini hedef alıyor.
macOS’un güçlü güvenliğiyle ilgili ününe rağmen, güvenlik açıkları da mevcut ve bunların kötüye kullanılması, bilgisayar korsanlarının değerli verilere erişmesini veya özellikle macOS’un kurumsal ortamlarda kullanıldığı ortamlarda cihazlar üzerinde kontrol sahibi olmasını sağlayabilir.
Kaspersky Lab siber güvenlik araştırmacıları, yakın zamanda HZ Rat’ın mesajlaşma platformu WeChat üzerinden macOS kullanıcılarına saldırdığını tespit etti.
HZ Rat macOS Kullanıcılarına Saldırıyor
Araştırmacılar, Haziran 2024’te Kasım 2022’den beri Windows kullanıcılarını hedef alan HZ Rat arka kapısının macOS sürümünü keşfettiler.
Bu yeni gelişme, kurumsal anlık mesajlaşma uygulaması DingTalk ve sosyal mesajlaşma platformu “WeChat” kullanıcılarına odaklanıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
macOS sürümü, Windows sürümünün işlevselliğini yakından kopyalıyor; ancak temel olarak saldırganların komuta ve kontrol (C2) sunucusundan alınan kabuk komut dosyalarını kullanan yük teslim mekanizmasında farklılık gösteriyor.
İlginçtir ki, arka kapının bazı varyantları C2’ye ait yerel adresleri kullanıyor; bu da bunların kullanımının belirli amaçlar için olduğunu ve halihazırda ihlal edilmiş ağlar arasında yatay hareketin mümkün olduğunu gösteriyor.
macOS’a yapılan bu genişlemenin sonucunda HZ Rat, başlangıçta Windows işletim sisteminde çalıştırılabilen PowerShell türünde bir tehdit olmaktan çıkıp herhangi bir işletim sisteminde kullanılabilen bir kötü amaçlı yazılıma dönüştü.
Bu gelişmiş macOS arka kapısı, Temmuz 2023’te tespit edildi ve OpenVPN Connect (OpenVPNConnect.pkg) kılığına büründü, ancak VirusTotal içindeki hiçbir satıcı varlığını tespit edemedi.
HZ Rat ile ilişkilendirilmesi gereken bu kötü amaçlı yazılım, üç dll bileşeni içeriyor:
- Düzenli OpenVPN uygulaması
- Bir kabuk betiği ‘exe’
- Başlatma dosyası ‘init’
C2 sunucularının izin ve IP adresinin ağırlıklı olarak Çin’de bulunduğu, portun 8081 ve xor şifreleme anahtarının 0x42 olduğu tespit edildi.
C++’da geliştirilen arka kapı istemcisi, rastgele 4 baytlık bir ‘çerez’ kullanarak oturum başlatma ile başlar ve kabuk komutlarını çalıştırma, dosya yazma ve/veya indirme ve kullanılabilirlik için ping atma gibi dört temel komut, Securelist raporunu okur.
Bu kötü amaçlı yazılım, SIP durumu, donanım, IP adresi, Bluetooth cihazları, WiFi ağları, depolama, uygulama listeleri vb. dahil olmak üzere çok sayıda sistem bilgisini toplar.
Özellikle WeChat’ten alınan userinfo.data ve DingTalk’tan alınan orgEmployeeModel, sAlimailLoginEmail veya holmes.mapping dosyalarına dayanmaktadır.
Bazı varyantlar özel IP adreslerini kullanıyor, bu da ağ içinde yatay hareketin mümkün olabileceğini gösteriyor.
Kötü amaçlı yazılımın kaynağı henüz bilinmiyor ancak kötü şöhretli bir etki alanına (hxxp://vpn.mihoyo) bağlı olduğu belirtiliyor.[.]com/uploads/OpenVPNConnect.zip), dolayısıyla bir sızıntı spekülasyonu.
Saldırganların şu an için en çok ilgi duyduğu konu Google Şifre Yöneticisi’nden veri toplamak olsa da, bazı dosya transfer komutlarının devre dışı kalması nedeniyle arka kapı yeteneklerinin tam kapsamı ve saldırganların hedefleri henüz spekülasyona açık.
IoC’ler
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial