សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ Mac ZuRu Mac Malware

ZuRu Mac Malware

ដោយ Mezo ក្នុង មេរោគ Mac
បកប្រែទៅ៖

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញភស្តុតាងថ្មីដែលភ្ជាប់មេរោគ macOS malware ដ៏ល្បីល្បាញ ZuRu ទៅនឹងយុទ្ធនាការវាយប្រហារថ្មីៗ។ ត្រូវបានគេស្គាល់ថាសម្រាប់ការជ្រៀតចូលប្រព័ន្ធតាមរយៈកម្មវិធី Trojanized ZuRu បន្តវិវឌ្ឍ ដោយប្រើប្រាស់បច្ចេកទេស និងឧបករណ៍ដែលបានធ្វើបច្ចុប្បន្នភាពដើម្បីសម្របសម្រួលអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យ។

ការក្លែងបន្លំជាឧបករណ៍ដែលអាចទុកចិត្តបាន។

នៅចុងខែឧសភា ឆ្នាំ 2025 ZuRu ត្រូវបានគេឃើញក្លែងបន្លំ Termius ដែលជាម៉ាស៊ីនភ្ញៀវ SSH ឆ្លងវេទិកា និងឧបករណ៍គ្រប់គ្រងម៉ាស៊ីនមេ។ នេះជាសកម្មភាពចុងក្រោយបង្អស់នៅក្នុងយុទ្ធនាការព្យាបាទជាបន្តបន្ទាប់ ដែល ZuRu បង្កើតជាកម្មវិធី macOS ស្របច្បាប់ ដើម្បីឆ្លងដល់បរិស្ថានអ្នកអភិវឌ្ឍន៍ និងព័ត៌មានវិទ្យា។ ចាប់តាំងពីការបង្ហាញខ្លួនជាលើកដំបូងរបស់ខ្លួននៅក្នុងខែកញ្ញា ឆ្នាំ 2021 នៅពេលដែលវាបានលួចយកលទ្ធផលស្វែងរក iTerm2 នៅលើវេទិកា Q&A របស់ចិន Zhihu មេរោគបានកំណត់គោលដៅអ្នកប្រើប្រាស់ជាបន្តបន្ទាប់ដែលស្វែងរកការចូលប្រើពីចម្ងាយ និងដំណោះស្រាយគ្រប់គ្រងមូលដ្ឋានទិន្នន័យ។

យុទ្ធសាស្ត្រនេះពឹងផ្អែកយ៉ាងខ្លាំងទៅលើលទ្ធផលស្វែងរកដែលបានឧបត្ថម្ភ ដោយអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងអាចទៅដល់បុគ្គលដែលស្វែងរកឧបករណ៍បែបនេះរួចហើយ។ វិធីសាស្រ្តនេះបង្កើនលទ្ធភាពនៃការឆ្លងដោយជោគជ័យ ខណៈពេលដែលជៀសវាងការរកឃើញកាន់តែទូលំទូលាយ។

ពីកម្មវិធីលួចចម្លងទៅរូបភាពឌីសពុល

នៅខែមករាឆ្នាំ 2024 ZuRu ក៏ត្រូវបានគេប្រទះឃើញលាក់ខ្លួននៅក្នុងកំណែលួចចម្លងនៃកម្មវិធី macOS ដ៏ពេញនិយមដូចជា Microsoft's Remote Desktop, SecureCRT និង Navicat ។ ឥឡូវនេះ អ្នកស្រាវជ្រាវបានភ្ជាប់វាទៅនឹងរូបភាពថាស .dmg ដែលខូចដែលមានច្បាប់ចម្លងនៃ Termius.app ដែលខូច។

កញ្ចប់កម្មវិធីដែលបានផ្លាស់ប្តូរនេះជំនួសហត្ថលេខាកូដរបស់អ្នកអភិវឌ្ឍន៍ដើមជាមួយនឹងហត្ថលេខា ad hoc ដើម្បីរំលងការការពារការចុះហត្ថលេខាលើកូដ macOS ។ បង្កប់នៅក្នុងវាមានសមាសធាតុសំខាន់ពីរ៖

  • .localized: កម្មវិធីផ្ទុកមេរោគដែលទាញយក និងបើកដំណើរការកម្មវិធី Khepri C2 beacon ពី download.termius.info ។
  • .Termius Helper1៖ កំណែ​ម៉ាក​ថ្មី​នៃ​កម្មវិធី Termius Helper ស្របច្បាប់ ដែល​ប្រើ​ដើម្បី​បិទបាំង​អាកប្បកិរិយា​ព្យាបាទ។

កម្មវិធីប្រតិបត្តិទាំងនេះត្រូវបានលាក់នៅខាងក្នុង Termius Helper.app ហើយការរួមបញ្ចូលរបស់ពួកគេតំណាងឱ្យការផ្លាស់ប្តូរពីវិធីសាស្ត្រចាស់របស់ ZuRu ក្នុងការបញ្ចូលឯកសារ .dylib ដោយផ្ទាល់ទៅក្នុងកញ្ចប់កម្មវិធី។

ការតស៊ូនិងយន្តការធ្វើឱ្យទាន់សម័យ

កម្មវិធីផ្ទុកទិន្នន័យ .localized មិនត្រឹមតែប្រើសម្រាប់ការទាញយកបន្ទុកប៉ុណ្ណោះទេ វាក៏ពិនិត្យមើលការដំឡើងដែលមានស្រាប់ផងដែរ ដោយផ្ទៀងផ្ទាត់ថាតើមេរោគមានវត្តមាននៅ /tmp/.fsevensd ដែរឬទេ។ វាប្រៀបធៀប MD5 hash នៃ payload បច្ចុប្បន្នធៀបនឹងការបង្ហោះពីចម្ងាយ ដោយទាញយកកំណែថ្មីប្រសិនបើមានភាពមិនស៊ីគ្នា មុខងារពិនិត្យ និងធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯងនេះទំនងជាធានាទាំងភាពត្រឹមត្រូវ និងរូបិយប័ណ្ណនៃកូដព្យាបាទ។

អាវុធខេព្រី៖ កាំបិតកងទ័ពស្វីស ក្រោយការកេងប្រវ័ញ្ច

ចំណុចស្នូលនៃការវាយប្រហារនេះគឺជាកំណែដែលបានកែប្រែរបស់ Khepri ដែលជាកញ្ចប់ឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចប្រភពបើកចំហ។ ឧបករណ៍ដែលបានកែសម្រួលផ្តល់ឱ្យអ្នកវាយប្រហារគ្រប់គ្រងយ៉ាងទូលំទូលាយលើម៉ាស៊ីន macOS ដែលត្រូវបានសម្របសម្រួល រួមមានៈ

  • ការផ្ទេរឯកសារ
  • ការស៊ើបអង្កេតប្រព័ន្ធ
  • ការប្រតិបត្តិ និងការគ្រប់គ្រងដំណើរការប្រព័ន្ធ
  • ការប្រតិបត្តិពាក្យបញ្ជាជាមួយនឹងការទាញយកលទ្ធផលតាមពេលវេលាជាក់ស្តែង

ការប្រាស្រ័យទាក់ទងត្រូវបានរក្សាតាមរយៈម៉ាស៊ីនមេ C2 ctl01.termius.fun ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងជាបន្តបន្ទាប់លើម៉ាស៊ីនដែលមានមេរោគ។

ការវិវត្តន៍នៃបច្ចេកទេសវាយប្រហារ

ការវិវឌ្ឍន៍របស់ ZuRu ពីការចាក់ .dylib ទៅកម្មវិធីជំនួយដែលបានបង្កប់ trojanizing ហាក់ដូចជាការផ្លាស់ប្តូរដោយចេតនាក្នុងគោលបំណងរំលងវិធីសាស្ត្រស្វែងរកកម្រិតខ្ពស់បន្ថែមទៀត។ ទោះបីជាមានការផ្លាស់ប្តូរនេះក៏ដោយ តួអង្គគំរាមកំហែងនៅតែបន្តពឹងផ្អែកលើសូចនាករដែលធ្លាប់ស្គាល់៖

  • ការប្រើប្រាស់ឡើងវិញនៃឈ្មោះដែន និងឈ្មោះឯកសារ
  • ការកំណត់គោលដៅស្របគ្នានៃការចូលប្រើពីចម្ងាយ និងឧបករណ៍មូលដ្ឋានទិន្នន័យ
  • ស្គាល់​ពី​បច្ចេក​ទេស​នៅ​ជាប់​និង​ការ​ចាប់​សញ្ញា

សូចនាករទាំងនេះឆ្លុះបញ្ចាំងពីសៀវភៅលេងដែលបង្ហាញឱ្យឃើញ ដែលនៅតែមានប្រសិទ្ធភាពនៅក្នុងប្រព័ន្ធដែលខ្វះសុវត្ថិភាពចំណុចបញ្ចប់ខ្លាំង។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងដែលកំពុងបន្តសម្រាប់ប្រព័ន្ធអេកូ macOS

វ៉ារ្យ៉ង់ ZuRu ចុងក្រោយបំផុតពង្រឹងនិន្នាការពាក់ព័ន្ធ៖ ការគំរាមកំហែង macOS ដ៏ទំនើបបានកំណត់គោលដៅអ្នកអភិវឌ្ឍន៍ និងអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា។ តាមរយៈការទាញយកការជឿទុកចិត្តលើឧបករណ៍ពេញនិយម និងការសម្របតាមវិធីចែកចាយ មេរោគនេះនៅតែបន្តឆ្លងកាត់ការការពារនៅក្នុងបរិស្ថានដែលមានការការពារមិនគ្រប់គ្រាន់។

ស្ថាប័ន និងបុគ្គលគួរតែរក្សាការប្រុងប្រយ័ត្ន ផ្តល់អាទិភាពដល់ការប្រើប្រាស់ប្រភពកម្មវិធីដែលបានផ្ទៀងផ្ទាត់ និងអនុវត្តសុវត្ថិភាពជាស្រទាប់ ដើម្បីស្វែងរក និងបន្សាបការគំរាមកំហែងដូចជា ZuRu ជាដើម។

និន្នាការ

Trump Coin Airdrop គ្រោងការក្បត់

គេហទំព័រក្លែងក្លាយ
នៅក្នុងយុគសម័យដែលរូបិយប័ណ្ណឌីជីថលកំពុងផ្លាស់ប្តូរហិរញ្ញវត្ថុឡើងវិញ ចំនួននៃការបោកប្រាស់តាមអ៊ីនធឺណិតដែលទាញយកប្រយោជន៍ពីកន្លែងនេះបានកើនឡើងយ៉ាងខ្លាំង។ ភាពអនាមិក វិមជ្ឈការ...

Ijony.click

គេហទំព័រក្លែងក្លាយ, Adware
អ្នកស្រាវជ្រាវ Infosec បានបញ្ជាក់ថា ទំព័រ Ijony.click គឺជាគេហទំព័របញ្ឆោតទាំងឡាយដែលប្រើដោយប្រតិបត្តិកររបស់ខ្លួនជាវេទិកាសម្រាប់ដំណើរការយុទ្ធសាស្ត្រលើអ៊ីនធឺណិត។ ជាការពិត...

បញ្ជាទិញកន្លែងបោកប្រាស់

មេរោគ, ការបន្លំ, សារឥតបានការ
នៅក្នុងយុគសម័យឌីជីថល អ៊ីមែលនៅតែជាឧបករណ៍ទំនាក់ទំនងដ៏សាមញ្ញបំផុតមួយ និងមួយក្នុងចំណោមការបំពានច្រើនបំផុត។ ក្នុងចំណោមយុទ្ធនាការអ៊ីមែលព្យាបាទរាប់មិនអស់ដែលកំពុងចរាចរលើអ៊ីនធឺណិត...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
35,697
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
22,947
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...