Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Maci pahavara ZuRu Maci pahavara

ZuRu Maci pahavara

Aastaks Mezo aastal Maci pahavara
Tõlgi:

Küberturvalisuse uurijad on leidnud uusi tõendeid, mis seovad kurikuulsa macOS-i pahavara ZuRu uute rünnakukampaaniatega. ZuRu, mis on tuntud troojalaste tarkvara abil süsteemidesse tungimise poolest, areneb pidevalt, kasutades ajakohaseid tehnikaid ja tööriistu pahaaimamatute kasutajate kompromiteerimiseks.

Maskeerumine usaldusväärseteks tööriistadeks

2025. aasta mai lõpus nähti ZuRu-d esinemas Termiusena, mis on platvormideülene SSH-kliendi ja serveri haldustööriist. See on viimane samm pahatahtlike kampaaniate seerias, kus ZuRu esineb legitiimsete macOS-rakendustena, et nakatada arendajate ja IT-keskkondi. Alates oma esimesest teadaolevast ilmumisest 2021. aasta septembris, kui see kaaperdas iTerm2 otsingutulemused Hiina küsimuste ja vastuste platvormil Zhihu, on pahavara pidevalt sihtinud kasutajaid, kes otsivad kaugjuurdepääsu ja andmebaaside halduslahendusi.

See taktika tugineb suuresti sponsoreeritud otsingutulemustele, võimaldades ohtudel oportunistlikult jõuda inimesteni, kes juba otsivad selliseid tööriistu. See lähenemisviis suurendab eduka nakatumise tõenäosust, vältides samal ajal laiemat avastamist.

Piraattarkvarast mürgitatud kettakujutisteni

2024. aasta jaanuariks oli ZuRu märgatud peidus ka populaarsete macOS-tarkvarade piraatversioonides, näiteks Microsofti Remote Desktopis, SecureCRT-s ja Navicatis. Nüüd on teadlased seostanud selle rikutud .dmg-ketta kujutisega, mis sisaldab Termius.app-i võltsitud koopiat.

See muudetud rakenduste pakett asendab algse arendaja koodiallkirja ad hoc allkirjaga, et mööda hiilida macOS-i koodiallkirjastamise kaitsest. Sellesse on sisse põimitud kaks põhikomponenti:

  • .localized: Pahatahtlik laadur, mis laadib alla ja käivitab Khepri C2 majaka aadressilt download.termius.info.
  • .Termius Helper1: Legitiimse Termius Helperi rakenduse ümbernimetatud versioon, mida kasutatakse pahatahtliku käitumise varjamiseks.

Need käivitatavad failid on peidetud Termius Helper.app-i ja nende integreerimine kujutab endast muutust ZuRu vanemast meetodist, kus .dylib-failid süstiti otse rakenduste pakettidesse.

Püsivuse ja ajakohastamise mehhanismid

.localized laadurit ei kasutata ainult kasuliku koodi toomiseks, vaid see kontrollib ka olemasolevaid installatsioone, kinnitades, kas pahavara on failis /tmp/.fseventsd. See võrdleb praeguse kasuliku koodi MD5 räsi kaughostitud omaga ja laadib mittevastavuse korral alla uue versiooni. See enesekontrolli ja värskendamise funktsioon tagab tõenäoliselt nii pahatahtliku koodi terviklikkuse kui ka ajakohasuse.

Khepri relvastamine: Šveitsi armee nuga pärast ekspluateerimist

Selle rünnaku keskmes on Khepri modifitseeritud versioon, mis on avatud lähtekoodiga ärakasutamise vastane tööriistakomplekt. Kohandatud tööriist annab ründajatele laiaulatusliku kontrolli ohustatud macOS-hostide üle, sealhulgas:

  • Failiedastus
  • Süsteemi luure
  • Süsteemiprotsesside teostamine ja haldamine
  • Käskude täitmine reaalajas väljundi hankimisega

Suhtlus toimub C2 serveri ctl01.termius.fun kaudu, mis võimaldab nakatunud masinate üle pidevat kontrolli.

Rünnakutehnikate areng

ZuRu liikumine .dylib-süstimisest troojalaste manussüsteemide abirakendusteni näib olevat tahtlik nihe, mille eesmärk on mööda hiilida keerukamatest tuvastusmeetoditest. Vaatamata sellele muutusele tugineb ohu tekitaja jätkuvalt tuttavatele indikaatoritele:

  • Domeeninimede ja failinimede taaskasutamine
  • Kaugjuurdepääsu ja andmebaasitööriistade järjepidev sihtimine
  • Tuntud püsivuse ja signaalimise tehnikad

Need näitajad peegeldavad tõestatud strateegiat, mis on efektiivne ka süsteemides, millel puudub tugev lõpp-punkti turvalisus.

Kokkuvõte: pidev oht macOS-i ökosüsteemile

ZuRu uusim variant kinnitab murettekitavat trendi: keerukad macOS-i ohud, mis on suunatud arendajatele ja IT-spetsialistidele. Kasutades ära usaldust populaarsete tööriistade vastu ja kohandades edastusmeetodeid, jätkab see pahavara kaitsest möödahiilimist ebapiisavalt kaitstud keskkondades.

Organisatsioonid ja üksikisikud peaksid jääma valvsaks, seadma esikohale kontrollitud tarkvaraallikate kasutamise ning rakendama kihilist turvalisust, et tuvastada ja neutraliseerida selliseid ohte nagu ZuRu.

Trendikas

Enim vaadatud

Laadimine...