網路安全公司卡巴斯基實驗室日前發布部落格介紹關於後門程式HZ Rat 的調查報告，該後門程式主要針對阿里巴巴旗下的企業通訊平台釘釘和騰訊旗下的即時通訊軟體微信(本文提到的均為PC 版或Mac 版，不含手機版)。

HZ Rat 後門最初僅針對Windows 系統，此次卡巴斯基發現的新版本屬於Windows 版HZ Rat 的移植版，專門針對macOS 系統，主要目的也是收集機密資訊。

值得注意的是在病毒掃描平台VirusTotal 上，HZ Rat 樣本沒有被任何安全軟體偵測到問題(也包括卡巴斯基)，樣本主要是冒充知名的加密隧道軟體OpenVPN Connect。

下圖也可以看到駭客使用的是中文：

卡巴斯基經過調查後發現HZ Rat 後門程序具有以下特點：

• 收集macOS 系統完整性(SIP) 保護狀態
• 收集本地IP 位址
• 收集有關藍牙設備的信息
• 收集可用的WiFi 網路以及網路卡和已連接的WiFi 信息
• 收集硬體規格
• 收集儲存資訊
• 申請清單
• 收集來自微信的用戶信息
• 收集來自釘釘的用戶和組織信息
• 收集Google密碼管理器的使用者名稱和網站(Chrome 內建的密碼管理器)

其中針對微信收集的資訊包括微信用戶ID、郵箱(如有) 和電話號碼，這些資訊以純文字形式儲存在usderinfo.data 檔案中；分析發現該後門程式似乎對釘釘更感興趣，收集的釘釘資訊包括使用者所在的企業/ 組織以及部門名稱、使用者名稱、公司郵箱地址、電話號碼。

值得注意的是在卡巴斯基進行分析的這段時間，HZ Rat 並未使用將文件寫入到磁碟和將文件發送到伺服器兩個命令，這表明攻擊者當前收集資訊可能是在未來的攻擊做準備，所以暫時還不清楚攻擊者的具體意圖。

最後比較有趣的是HZ Rat 後門程式被儲存在遊戲開發商米哈遊的伺服器中：hxxp://vpn.mihoyo [.] com/uploads/OpenVPNConnect.zip

將檔案放到知名公司的網域通常可以獲得使用者信任或規避某些安全軟體的攔截策略，但駭客如何將檔案放到米哈遊伺服器就是個迷了，按理說米哈遊這種規模的公司應該對伺服器的管理非常嚴格才對。