Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma ZuRu Mac -haittaohjelma

ZuRu Mac -haittaohjelma

Vuonna Mezo vuonna Mac-haittaohjelma
Käännä:

Kyberturvallisuustutkijat ovat löytäneet uusia todisteita, jotka yhdistävät pahamaineisen macOS-haittaohjelman ZuRu:n uusiin hyökkäyskampanjoihin. Troijalaisohjelmistojen kautta järjestelmiin tunkeutumisestaan tunnettu ZuRu kehittyy jatkuvasti hyödyntäen päivitettyjä tekniikoita ja työkaluja tietämättömien käyttäjien vaarantamiseen.

Luotettaviksi työkaluiksi tekeytyminen

Toukokuun lopulla 2025 ZuRun nähtiin tekeytyvän Termiukseksi, alustojen rajat ylittäväksi SSH-asiakas- ja palvelinhallintatyökaluksi. Tämä on viimeisin siirto sarjassa haitallisia kampanjoita, joissa ZuRu esiintyy laillisina macOS-sovelluksina tartuttaakseen kehittäjä- ja IT-ympäristöjä. Ensimmäisestä tunnetusta esiintymisestään syyskuussa 2021, jolloin se kaappasi iTerm2-hakutulokset kiinalaisella Zhihu-kysymys- ja vastausalustalla, lähtien haittaohjelma on jatkuvasti kohdistanut hyökkäyksiä käyttäjiin, jotka etsivät etäkäyttö- ja tietokannanhallintaratkaisuja.

Taktiikka perustuu vahvasti sponsoroituihin hakutuloksiin, joiden avulla uhkatoimijat voivat opportunistisesti tavoittaa henkilöitä, jotka jo etsivät tällaisia työkaluja. Tämä lähestymistapa lisää onnistuneen tartunnan todennäköisyyttä ja estää samalla laajemman havaitsemisen.

Piraattiohjelmistoista myrkytettyihin levykuviin

Tammikuuhun 2024 mennessä ZuRu oli myös havaittu piileskelevän suosittujen macOS-ohjelmistojen, kuten Microsoftin Remote Desktopin, SecureCRT:n ja Navicatin, piraattiversioissa. Nyt tutkijat ovat yhdistäneet sen vioittuneeseen .dmg-levykuvaan, joka sisältää muokatun kopion Termius.app-tiedostosta.

Tämä muokattu sovelluspaketti korvaa alkuperäisen kehittäjän koodin allekirjoituksen tilapäisellä allekirjoituksella ohittaakseen macOS:n koodin allekirjoitussuojaukset. Pakettiin on upotettu kaksi keskeistä komponenttia:

  • .localized: Haitallinen latausohjelma, joka noutaa ja käynnistää Khepri C2 -majakan osoitteesta download.termius.info.
  • .Termius Helper1: Uudelleenbrändätty versio laillisesta Termius Helper -sovelluksesta, jota käytetään peittämään haitallista toimintaa.

Nämä suoritettavat tiedostot ovat piilotettuina Termius Helper.app-tiedostoon, ja niiden integrointi edustaa muutosta ZuRun vanhemmasta menetelmästä, jossa .dylib-tiedostot lisättiin suoraan sovelluspaketteihin.

Pysyvyys- ja päivitysmekanismit

.localized-lataajaa ei käytetä vain hyötykuormien noutamiseen, vaan se tarkistaa myös olemassa olevat asennukset varmistamalla, onko haittaohjelmaa tiedostossa /tmp/.fseventsd. Se vertaa nykyisen hyötykuormituksen MD5-hajautusarvoa etäispalvelimella olevaan hyötykuormitukseen ja lataa uuden version, jos eroja on. Tämä itsetarkistus- ja päivitystoiminto todennäköisesti varmistaa sekä haitallisen koodin eheyden että ajantasaisuuden.

Kheprin aseistaminen: Sveitsin armeijan linkkuveitsi hyväksikäytön jälkeisenä

Tämän hyökkäyksen ytimessä on muunneltu versio Khepristä, avoimen lähdekoodin hyökkäysten jälkeisestä työkalupakista. Mukautettu työkalu antaa hyökkääjille laajan hallinnan vaarantuneisiin macOS-palvelimiin, mukaan lukien:

  • Tiedostonsiirrot
  • Järjestelmän tiedustelu
  • Järjestelmäprosessien toteutus ja hallinta
  • Komentojen suorittaminen reaaliaikaisella tulosteen haulla

Viestintä ylläpidetään C2-palvelimen ctl01.termius.fun kautta, mikä mahdollistaa tartunnan saaneiden koneiden jatkuvan hallinnan.

Hyökkäystekniikoiden kehitys

ZuRun siirtyminen .dylib-injektiosta troijalaisia aiheuttaviin upotettuihin apusovelluksiin näyttää olevan tarkoituksellinen muutos, jonka tarkoituksena on ohittaa edistyneemmät tunnistusmenetelmät. Tästä muutoksesta huolimatta uhkatoimija luottaa edelleen tuttuihin indikaattoreihin:

  • Verkkotunnusten ja tiedostonimien uudelleenkäyttö
  • Etäkäyttö- ja tietokantatyökalujen johdonmukainen kohdentaminen
  • Tunnetut pysyvyys- ja jäljitystekniikat

Nämä indikaattorit heijastavat hyväksi havaittua toimintatapaa, joka on edelleen tehokas järjestelmissä, joissa ei ole vahvaa päätepisteiden suojausta.

Johtopäätös: Jatkuva uhka macOS-ekosysteemille

Uusin ZuRu-variantti vahvistaa huolestuttavaa trendiä: kehittyneitä macOS-uhkia, jotka kohdistuvat kehittäjiin ja IT-ammattilaisiin. Hyödyntämällä luottamusta suosittuihin työkaluihin ja mukauttamalla toimitustapoja tämä haittaohjelma jatkaa puolustusjärjestelmien ohittamista riittämättömästi suojatuissa ympäristöissä.

Organisaatioiden ja yksilöiden tulisi pysyä valppaina, priorisoida varmennettujen ohjelmistolähteiden käyttöä ja ottaa käyttöön kerrostettuja suojauksia uhkien, kuten ZuRun, havaitsemiseksi ja neutraloimiseksi.

Trendaavat

Eniten katsottu

Ladataan...