다중 라이센스 할인 견적
위협 데이터베이스 맥 맬웨어 ZuRu Mac 맬웨어

ZuRu Mac 맬웨어

맥 맬웨어년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 악명 높은 macOS 악성코드 ZuRu가 새로운 공격 캠페인과 연관이 있다는 새로운 증거를 발견했습니다. 트로이 목마 소프트웨어를 통해 시스템에 침투하는 것으로 알려진 ZuRu는 끊임없이 진화하며 최신 기술과 도구를 활용하여 무방비 상태의 사용자를 감염시키고 있습니다.

신뢰할 수 있는 도구로 위장

2025년 5월 말, ZuRu가 크로스 플랫폼 SSH 클라이언트 및 서버 관리 도구인 Termius를 사칭하는 것이 발견되었습니다. 이는 ZuRu가 개발자 및 IT 환경을 감염시키기 위해 합법적인 macOS 애플리케이션으로 위장하는 일련의 악성 캠페인 중 가장 최근의 움직임입니다. 2021년 9월 중국 Q&A 플랫폼 Zhihu에서 iTerm2 검색 결과를 탈취하며 처음 발견된 이후, 이 맬웨어는 원격 액세스 및 데이터베이스 관리 솔루션을 찾는 사용자를 지속적으로 표적으로 삼아 왔습니다.

이 전술은 스폰서 검색 결과에 크게 의존하여 위협 행위자가 이미 해당 도구를 검색하고 있는 개인에게 기회주의적으로 접근할 수 있도록 합니다. 이러한 접근 방식은 광범위한 탐지를 피하는 동시에 감염 성공 가능성을 높입니다.

불법 복제 소프트웨어에서 악성 디스크 이미지까지

2024년 1월까지 ZuRu는 마이크로소프트 원격 데스크톱, SecureCRT, Navicat 등 인기 macOS 소프트웨어의 불법 복제 버전에도 숨어 있는 것으로 발견되었습니다. 이제 연구원들은 ZuRu가 변조된 Termius.app 파일이 포함된 손상된 .dmg 디스크 이미지와 연관되어 있음을 발견했습니다.

이 변경된 애플리케이션 번들은 macOS 코드 서명 보호를 우회하기 위해 원래 개발자의 코드 서명을 임시 서명으로 대체합니다. 여기에는 두 가지 핵심 구성 요소가 내장되어 있습니다.

  • .localized: download.termius.info에서 Khepri C2 비콘을 가져와 실행하는 악성 로더입니다.
  • .Termius Helper1: 합법적인 Termius Helper 앱의 리브랜딩 버전으로, 악성 동작을 가리는 데 사용됩니다.

이러한 실행 파일은 Termius Helper.app 내부에 숨겨져 있으며, 이를 통합한 것은 .dylib 파일을 애플리케이션 번들에 직접 주입하는 ZuRu의 기존 방식과 달라진 점을 보여줍니다.

지속성 및 업데이트 메커니즘

.localized 로더는 페이로드를 가져오는 데 사용되는 것뿐만 아니라, /tmp/.fseventsd에 맬웨어가 있는지 확인하여 기존 설치를 확인합니다. 현재 페이로드의 MD5 해시값을 원격으로 호스팅된 페이로드의 MD5 해시값과 비교하여 불일치가 있는 경우 새 버전을 다운로드합니다. 이러한 자체 검사 및 업데이트 기능은 악성 코드의 무결성과 최신성을 모두 보장합니다.

케프리의 무기화: 착취 이후의 스위스 군용 칼

이 공격의 핵심은 오픈소스 사후 공격 툴킷인 Khepri의 수정된 버전입니다. 이 수정된 툴은 공격자에게 다음을 포함한 손상된 macOS 호스트에 대한 광범위한 제어권을 부여합니다.

  • 파일 전송
  • 시스템 정찰
  • 시스템 프로세스의 실행 및 관리
  • 실시간 출력 검색을 통한 명령 실행

통신은 C2 서버 ctl01.termius.fun을 통해 유지되며, 이를 통해 감염된 컴퓨터에 대한 지속적인 제어가 가능합니다.

공격 기술의 진화

ZuRu가 .dylib 주입에서 내장된 도우미 앱에 트로이 목마를 설치하는 방식으로 전환한 것은 더욱 발전된 탐지 방법을 우회하기 위한 의도적인 변화로 보입니다. 이러한 변화에도 불구하고, ZuRu는 여전히 익숙한 지표에 의존하고 있습니다.

  • 도메인 이름과 파일 이름의 재사용
  • 원격 액세스 및 데이터베이스 도구의 일관된 타겟팅
  • 알려진 지속성 및 비콘 기술

이러한 지표는 강력한 엔드포인트 보안이 부족한 시스템에서도 효과적인 것으로 입증된 플레이북을 반영합니다.

결론: macOS 생태계에 대한 지속적인 위협

최신 ZuRu 변종은 개발자와 IT 전문가를 노리는 정교한 macOS 위협이라는 우려스러운 추세를 더욱 강화합니다. 이 악성코드는 널리 사용되는 도구에 대한 신뢰를 악용하고 배포 방식을 변경함으로써, 보호가 부족한 환경에서도 방어 체계를 계속 우회하고 있습니다.

조직과 개인은 항상 경계해야 하며, 검증된 소프트웨어 소스 사용을 우선시하고, ZuRu와 같은 위협을 탐지하고 무력화하기 위해 다층 보안을 구현해야 합니다.

트렌드

트럼프 코인 에어드랍 사기

불량 웹사이트
디지털 화폐가 금융의 판도를 뒤흔드는 시대에, 이 분야를 악용하는 온라인 사기가 급증했습니다. 블록체인 거래의 익명성, 탈중앙화, 그리고 돌이킬 수 없는 특성은 암호화폐를 사이버 범죄자들의 매력적인 표적이 되게 합니다. 따라서 사용자들은 온라인 암호화폐 공간을 이용할 때 항상 경계해야 합니다. 그렇지 않으면 막대한 재정적 손실과 디지털 자산 유출로...

Ijony.click

불량 웹사이트, 애드웨어
Infosec 연구원들은 Ijony.click 페이지가 운영자가 온라인 전술을 실행하기 위한 플랫폼으로 사용하는 악성 웹사이트임을 확인했습니다. 실제로, 사이트는 방문자를 속이기 위해 평판이 좋은 정보 보안 소스에서 오는 것처럼 표시되는 수많은 가짜 보안 경고를 표시하는 것으로 관찰되었습니다. 이러한 의심스러운 페이지는 종종 합법적인 컴퓨터 보안...

주문 사기

멀웨어, 피싱, 스팸
디지털 시대에 이메일은 가장 흔한 의사소통 도구 중 하나이자 가장 많이 남용되는 도구 중 하나입니다. 온라인에서 유포되는 수많은 악성 이메일 캠페인 중 소위 '주문 배치 사기'는 사이버 범죄자들이 어떻게 속임수와 사회 공학을 이용하여 악성 코드를 유포하고 피해자의 시스템을 손상시키는지 보여주는 명백한 사례입니다. 이 캠페인은 설득력 있는...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,430
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
46,715
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,962
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...