ZuRu Mac Malware
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਬਦਨਾਮ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਜ਼ੂਰੂ ਨੂੰ ਤਾਜ਼ਾ ਹਮਲੇ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੋੜਨ ਵਾਲੇ ਨਵੇਂ ਸਬੂਤ ਲੱਭੇ ਹਨ। ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੌਫਟਵੇਅਰ ਰਾਹੀਂ ਸਿਸਟਮਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ, ਜ਼ੂਰੂ ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ, ਬੇਖਬਰ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਅੱਪਡੇਟ ਕੀਤੀਆਂ ਤਕਨੀਕਾਂ ਅਤੇ ਸਾਧਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਭਰੋਸੇਯੋਗ ਔਜ਼ਾਰਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਣਾ
ਮਈ 2025 ਦੇ ਅਖੀਰ ਵਿੱਚ, ZuRu ਨੂੰ ਇੱਕ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ SSH ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਪ੍ਰਬੰਧਨ ਟੂਲ, Termius ਦੀ ਨਕਲ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ। ਇਹ ਖਤਰਨਾਕ ਮੁਹਿੰਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਵਿੱਚ ਨਵੀਨਤਮ ਕਦਮ ਹੈ ਜਿੱਥੇ ZuRu ਡਿਵੈਲਪਰ ਅਤੇ IT ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਜਾਇਜ਼ macOS ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਸਤੰਬਰ 2021 ਵਿੱਚ ਇਸਦੀ ਪਹਿਲੀ ਜਾਣੀ-ਪਛਾਣੀ ਦਿੱਖ ਤੋਂ ਬਾਅਦ, ਜਦੋਂ ਇਸਨੇ ਚੀਨੀ ਸਵਾਲ-ਜਵਾਬ ਪਲੇਟਫਾਰਮ Zhihu 'ਤੇ iTerm2 ਖੋਜ ਨਤੀਜਿਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕੀਤਾ, ਮਾਲਵੇਅਰ ਨੇ ਲਗਾਤਾਰ ਰਿਮੋਟ ਐਕਸੈਸ ਅਤੇ ਡੇਟਾਬੇਸ ਪ੍ਰਬੰਧਨ ਹੱਲਾਂ ਦੀ ਭਾਲ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।
ਇਹ ਰਣਨੀਤੀ ਸਪਾਂਸਰ ਕੀਤੇ ਖੋਜ ਨਤੀਜਿਆਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵਿਅਕਤੀ ਮੌਕਾਪ੍ਰਸਤ ਤਰੀਕੇ ਨਾਲ ਅਜਿਹੇ ਸਾਧਨਾਂ ਦੀ ਖੋਜ ਕਰ ਰਹੇ ਵਿਅਕਤੀਆਂ ਤੱਕ ਪਹੁੰਚ ਸਕਦੇ ਹਨ। ਇਹ ਪਹੁੰਚ ਵਿਆਪਕ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ ਸਫਲ ਲਾਗ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।
ਪਾਈਰੇਟਿਡ ਸੌਫਟਵੇਅਰ ਤੋਂ ਜ਼ਹਿਰੀਲੇ ਡਿਸਕ ਚਿੱਤਰਾਂ ਤੱਕ
ਜਨਵਰੀ 2024 ਤੱਕ, ZuRu ਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ, ਸਕਿਓਰਸੀਆਰਟੀ, ਅਤੇ ਨੈਵੀਕੈਟ ਵਰਗੇ ਪ੍ਰਸਿੱਧ ਮੈਕੋਸ ਸੌਫਟਵੇਅਰ ਦੇ ਪਾਈਰੇਟਿਡ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਲੁਕਦੇ ਹੋਏ ਵੀ ਦੇਖਿਆ ਗਿਆ ਸੀ। ਹੁਣ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਇੱਕ ਖਰਾਬ .dmg ਡਿਸਕ ਚਿੱਤਰ ਨਾਲ ਜੋੜਿਆ ਹੈ ਜਿਸ ਵਿੱਚ Termius.app ਦੀ ਛੇੜਛਾੜ ਕੀਤੀ ਗਈ ਕਾਪੀ ਹੈ।
ਇਹ ਬਦਲਿਆ ਹੋਇਆ ਐਪਲੀਕੇਸ਼ਨ ਬੰਡਲ ਮੈਕੋਸ ਕੋਡ ਸਾਈਨਿੰਗ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਮੂਲ ਡਿਵੈਲਪਰ ਦੇ ਕੋਡ ਦਸਤਖਤ ਨੂੰ ਇੱਕ ਐਡਹਾਕ ਦਸਤਖਤ ਨਾਲ ਬਦਲ ਦਿੰਦਾ ਹੈ। ਇਸਦੇ ਅੰਦਰ ਦੋ ਮੁੱਖ ਭਾਗ ਸ਼ਾਮਲ ਹਨ:
- .localized: ਇੱਕ ਖਤਰਨਾਕ ਲੋਡਰ ਜੋ download.termius.info ਤੋਂ ਇੱਕ Khepri C2 ਬੀਕਨ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ।
- .Termius Helper1: ਜਾਇਜ਼ Termius Helper ਐਪ ਦਾ ਇੱਕ ਰੀਬ੍ਰਾਂਡਡ ਸੰਸਕਰਣ, ਜੋ ਕਿ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ Termius Helper.app ਦੇ ਅੰਦਰ ਲੁਕੇ ਹੋਏ ਹਨ, ਅਤੇ ਇਹਨਾਂ ਦਾ ਏਕੀਕਰਨ ZuRu ਦੇ ਪੁਰਾਣੇ ਢੰਗ ਤੋਂ ਇੱਕ ਬਦਲਾਅ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ .dylib ਫਾਈਲਾਂ ਨੂੰ ਸਿੱਧੇ ਐਪਲੀਕੇਸ਼ਨ ਬੰਡਲਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਸਥਿਰਤਾ ਅਤੇ ਅੱਪਡੇਟ ਵਿਧੀਆਂ
.localized ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਸਿਰਫ਼ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਹੀ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ, ਇਹ /tmp/.fseventsd 'ਤੇ ਮਾਲਵੇਅਰ ਮੌਜੂਦ ਹੈ ਜਾਂ ਨਹੀਂ ਇਸਦੀ ਪੁਸ਼ਟੀ ਕਰਕੇ ਮੌਜੂਦਾ ਸਥਾਪਨਾਵਾਂ ਦੀ ਵੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਇਹ ਮੌਜੂਦਾ ਪੇਲੋਡ ਦੇ MD5 ਹੈਸ਼ ਦੀ ਤੁਲਨਾ ਰਿਮੋਟਲੀ ਹੋਸਟ ਕੀਤੇ ਗਏ ਪੇਲੋਡ ਨਾਲ ਕਰਦਾ ਹੈ, ਜੇਕਰ ਕੋਈ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ ਤਾਂ ਇੱਕ ਨਵਾਂ ਸੰਸਕਰਣ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। ਇਹ ਸਵੈ-ਜਾਂਚ ਅਤੇ ਅੱਪਡੇਟ ਫੰਕਸ਼ਨ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਕੋਡ ਦੀ ਇਕਸਾਰਤਾ ਅਤੇ ਮੁਦਰਾ ਦੋਵਾਂ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਖੇਪਰੀ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣਾ: ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦਾ ਇੱਕ ਸਵਿਸ ਆਰਮੀ ਚਾਕੂ
ਇਸ ਹਮਲੇ ਦੇ ਮੂਲ ਵਿੱਚ ਖੇਪਰੀ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਪੋਸਟ-ਐਕਸਪਲੋਇਟੇਸ਼ਨ ਟੂਲਕਿੱਟ ਹੈ। ਅਨੁਕੂਲਿਤ ਟੂਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਮੈਕੋਸ ਹੋਸਟਾਂ 'ਤੇ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ
- ਸਿਸਟਮ ਖੋਜ
- ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਪ੍ਰਬੰਧਨ
- ਰੀਅਲ-ਟਾਈਮ ਆਉਟਪੁੱਟ ਪ੍ਰਾਪਤੀ ਦੇ ਨਾਲ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
ਸੰਚਾਰ C2 ਸਰਵਰ ctl01.termius.fun ਰਾਹੀਂ ਬਣਾਈ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨਾਂ 'ਤੇ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਸੰਭਵ ਹੁੰਦਾ ਹੈ।
ਹਮਲੇ ਦੀਆਂ ਤਕਨੀਕਾਂ ਦਾ ਵਿਕਾਸ
.dylib ਇੰਜੈਕਸ਼ਨ ਤੋਂ ਲੈ ਕੇ ਏਮਬੈਡਡ ਹੈਲਪਰ ਐਪਸ ਨੂੰ ਟ੍ਰੋਜਨਾਈਜ਼ ਕਰਨ ਤੱਕ ਜ਼ੂਰੂ ਦੀ ਤਰੱਕੀ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਤਬਦੀਲੀ ਜਾਪਦੀ ਹੈ ਜਿਸਦਾ ਉਦੇਸ਼ ਵਧੇਰੇ ਉੱਨਤ ਖੋਜ ਵਿਧੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਹੈ। ਇਸ ਬਦਲਾਅ ਦੇ ਬਾਵਜੂਦ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਜਾਣੇ-ਪਛਾਣੇ ਸੂਚਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ:
- ਡੋਮੇਨ ਨਾਮਾਂ ਅਤੇ ਫਾਈਲ ਨਾਮਾਂ ਦੀ ਮੁੜ ਵਰਤੋਂ
- ਰਿਮੋਟ ਐਕਸੈਸ ਅਤੇ ਡੇਟਾਬੇਸ ਟੂਲਸ ਦਾ ਇਕਸਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ
- ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਦ੍ਰਿੜਤਾ ਅਤੇ ਬੀਕਨਿੰਗ ਤਕਨੀਕਾਂ
ਇਹ ਸੂਚਕ ਇੱਕ ਸਾਬਤ ਹੋਈ ਪਲੇਬੁੱਕ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ, ਜੋ ਕਿ ਮਜ਼ਬੂਤ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਦੀ ਘਾਟ ਵਾਲੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਹਿੰਦਾ ਹੈ।
ਸਿੱਟਾ: ਮੈਕੋਸ ਈਕੋਸਿਸਟਮ ਲਈ ਇੱਕ ਨਿਰੰਤਰ ਖ਼ਤਰਾ
ਨਵੀਨਤਮ ZuRu ਵੇਰੀਐਂਟ ਇੱਕ ਚਿੰਤਾਜਨਕ ਰੁਝਾਨ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ: ਡਿਵੈਲਪਰਾਂ ਅਤੇ IT ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸੂਝਵਾਨ macOS ਧਮਕੀਆਂ। ਪ੍ਰਸਿੱਧ ਟੂਲਸ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਅਤੇ ਡਿਲੀਵਰੀ ਤਰੀਕਿਆਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾ ਕੇ, ਇਹ ਮਾਲਵੇਅਰ ਨਾਕਾਫ਼ੀ ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਬਚਾਅ ਪੱਖ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ।
ਸੰਗਠਨਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਪ੍ਰਮਾਣਿਤ ਸਾਫਟਵੇਅਰ ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ZuRu ਵਰਗੇ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਬੇਅਸਰ ਕਰਨ ਲਈ ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਲਾਗੂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।
