随着MacOS市场份额和用户的针对不断增长，特别是钉钉大规谍活动在企业高价值个人用户（例如管理和研发人员）中广泛使用，黑客们也开始将目光投向这一曾被认为较为安全的微信平台。近日，模间卡巴斯基曝光了一个针对MacOS平台上的针对钉钉和微信用户的大规模间谍活动 。

卡巴斯基的钉钉大规谍活动研究人员Sergey Puzan发现 ，一种名为HZ RAT的微信后门恶意软件已经针对苹果MacOS系统进行了专门设计，这一版本几乎完全复制了HZ RAT在Windows系统上的模间功能，仅在负载（payload）形式上有所不同，香港云服务器针对MacOS版本通过攻击者服务器发送的钉钉大规谍活动shell脚本来接收指令 。

一个简单但极其危险的微信后门间谍程序

HZ RAT首次由德国网络安全公司DCSO于2022年11月发现并记录，该恶意软件通常通过自解压zip压缩包或使用Royal Road RTF武器化工具生成的模间恶意RTF文档传播。这些攻击链通过RTF文档部署Windows版本的针对恶意软件 ，利用微软Office中存在多年的钉钉大规谍活动Equation Editor漏洞（CVE-2017-11882）执行代码。

HZ RAT的微信另一种传播方式是伪装成合法软件的安装程序 ，如OpenVPN 、PuTTYgen或EasyConnect 。源码下载这些伪装的软件除了正常安装外 ，还会执行一个Visual Basic脚本（VBS），该脚本负责启动RAT（远程访问工具）。

HZ RAT虽然功能相对简单
 ，但却不容小觑 。它能够连接到命令与控制（C2）服务器接收进一步指令
，这些指令包括执行PowerShell命令和脚本、向系统写入任意文件、将文件上传到服务器
，以及发送心跳信息 。这些功能表明 ，HZ RAT可能主要用于凭据窃取和系统侦察活动。

研究显示，HZ RAT的早期版本至少可以追溯到2020年6月。亿华云DCSO表示，这一恶意软件的攻击活动至少自2020年10月起便已开始。

MacOS版本的新威胁

卡巴斯基在2023年7月上传至VirusTotal的最新样本中发现，恶意软件伪装成OpenVPN Connect的安装包（"OpenVPNConnect.pkg"） ，一旦启动便与C2服务器建立联系 ，并执行四个与Windows版本类似的基本命令：

执行shell命令（如系统信息、本地IP地址 、已安装应用列表 、钉钉  、Google密码管理器和微信的数据）

向磁盘写入文件将文件发送到C2服务器检查受害者的服务器租用可用性

“恶意软件试图从微信中获取受害者的WeChatID 、电子邮件和电话号码
，”Puzan表示，“至于钉钉，攻击者对更详细的受害者数据感兴趣 ，如用户所在的组织和部门名称 、用户名 、公司电子邮件地址以及电话号码 。”

攻击活动仍在持续

进一步的分析显示 ，几乎所有C2服务器都位于中国 ，除两台服务器分别位于美国和荷兰之外 。此外，源码库MacOS安装包的ZIP压缩包曾被下载自中国知名游戏开发公司米哈游（miHoYo）的域名 ，miHoYo因开发了《原神》和《崩坏》系列游戏而闻名。目前尚不清楚该文件是如何上传到该公司域名的，也无法确定其服务器是否曾遭到入侵 。

HZ RAT推出MacOS版本表明 ，之前的攻击者仍然活跃。尽管目前这些恶意软件的主要目的是收集用户数据 ，模板下载但考虑到样本中包含的私有IP地址，未来它可能被用于在受害者网络中进行横向移动。

通过系统侦察、凭据收集，黑客可进一步入侵用户网络
，获取高价值信息，如企业机密和个人隐私数据。