มัลแวร์ ZuRu Mac
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงมัลแวร์ ZuRu อันโด่งดังบน macOS กับการโจมตีรูปแบบใหม่ ZuRu เป็นที่รู้จักในด้านการแทรกซึมระบบผ่านซอฟต์แวร์โทรจัน และยังคงพัฒนาอย่างต่อเนื่อง โดยใช้ประโยชน์จากเทคนิคและเครื่องมือที่ทันสมัยเพื่อโจมตีผู้ใช้ที่ไม่ทันระวัง
สารบัญ
การปลอมตัวเป็นเครื่องมือที่เชื่อถือได้
ปลายเดือนพฤษภาคม 2568 มีผู้พบเห็น ZuRu ปลอมตัวเป็น Termius ซึ่งเป็นเครื่องมือจัดการไคลเอ็นต์และเซิร์ฟเวอร์ SSH ข้ามแพลตฟอร์ม นับเป็นความเคลื่อนไหวล่าสุดในชุดแคมเปญอันตรายที่ ZuRu ปลอมตัวเป็นแอปพลิเคชัน macOS ที่ถูกต้องตามกฎหมายเพื่อแพร่เชื้อให้กับนักพัฒนาและสภาพแวดล้อมด้านไอที นับตั้งแต่ปรากฏตัวครั้งแรกในเดือนกันยายน 2564 เมื่อแฮ็กผลการค้นหา iTerm2 บนแพลตฟอร์มถาม-ตอบ Zhihu ของจีน มัลแวร์ตัวนี้ได้พุ่งเป้าไปที่ผู้ใช้ที่กำลังมองหาโซลูชันการเข้าถึงระยะไกลและการจัดการฐานข้อมูลอย่างต่อเนื่อง
กลยุทธ์นี้อาศัยผลการค้นหาที่ได้รับการสนับสนุนเป็นหลัก ซึ่งทำให้ผู้คุกคามสามารถเข้าถึงบุคคลที่กำลังค้นหาเครื่องมือดังกล่าวอยู่แล้วได้อย่างฉวยโอกาส วิธีนี้ช่วยเพิ่มโอกาสในการติดไวรัสสำเร็จ ขณะเดียวกันก็หลีกเลี่ยงการตรวจจับในวงกว้าง
จากซอฟต์แวร์ละเมิดลิขสิทธิ์สู่ภาพดิสก์ที่เป็นพิษ
ภายในเดือนมกราคม 2567 พบว่า ZuRu ซ่อนตัวอยู่ในซอฟต์แวร์ macOS ยอดนิยมเวอร์ชันละเมิดลิขสิทธิ์ เช่น Remote Desktop, SecureCRT และ Navicat ของ Microsoft ปัจจุบัน นักวิจัยได้เชื่อมโยง ZuRu เข้ากับดิสก์อิมเมจ .dmg ที่เสียหาย ซึ่งมีไฟล์ Termius.app ที่ถูกดัดแปลง
ชุดแอปพลิเคชันที่ปรับเปลี่ยนนี้จะแทนที่ลายเซ็นโค้ดของนักพัฒนาเดิมด้วยลายเซ็นเฉพาะกิจเพื่อเลี่ยงการป้องกันการลงนามโค้ดของ macOS ภายในชุดประกอบด้วยส่วนประกอบสำคัญสองส่วน ได้แก่
- .localized: ตัวโหลดที่เป็นอันตรายซึ่งดึงและเปิดใช้งานบีคอน Khepri C2 จาก download.termius.info
- .Termius Helper1: เวอร์ชันใหม่ของแอป Termius Helper ที่ถูกกฎหมาย ซึ่งใช้เพื่อปกปิดพฤติกรรมที่เป็นอันตราย
ไฟล์ปฏิบัติการเหล่านี้ซ่อนอยู่ภายใน Termius Helper.app และการรวมเข้าด้วยกันถือเป็นการเปลี่ยนแปลงจากวิธีการเก่าของ ZuRu ที่ต้องฉีดไฟล์ .dylib ลงในชุดแอปพลิเคชันโดยตรง
ความคงอยู่และกลไกการอัปเดต
ตัวโหลด .localized ไม่เพียงแต่ใช้สำหรับดึงข้อมูลเพย์โหลดเท่านั้น แต่ยังตรวจสอบการติดตั้งที่มีอยู่แล้วโดยตรวจสอบว่ามีมัลแวร์อยู่ใน /tmp/.fseventsd หรือไม่ โดยจะเปรียบเทียบค่าแฮช MD5 ของเพย์โหลดปัจจุบันกับเพย์โหลดที่โฮสต์จากระยะไกล และดาวน์โหลดเวอร์ชันใหม่หากพบความไม่ตรงกัน ฟังก์ชันตรวจสอบและอัปเดตตัวเองนี้น่าจะช่วยรับประกันทั้งความสมบูรณ์และความทันสมัยของโค้ดอันตราย
การนำเคปรีมาใช้เป็นอาวุธ: มีดพกสวิสหลังการใช้ประโยชน์
หัวใจสำคัญของการโจมตีนี้คือ Khepri เวอร์ชันดัดแปลง ซึ่งเป็นชุดเครื่องมือโอเพนซอร์สหลังการถูกโจมตี เครื่องมือที่ดัดแปลงนี้ช่วยให้ผู้โจมตีสามารถควบคุมโฮสต์ macOS ที่ถูกบุกรุกได้อย่างกว้างขวาง ซึ่งรวมถึง:
- การถ่ายโอนไฟล์
- การลาดตระเวนระบบ
- การดำเนินการและการจัดการกระบวนการของระบบ
- การดำเนินการคำสั่งพร้อมการดึงข้อมูลผลลัพธ์แบบเรียลไทม์
การสื่อสารจะได้รับการรักษาผ่านเซิร์ฟเวอร์ C2 ctl01.termius.fun ช่วยให้สามารถควบคุมเครื่องที่ติดไวรัสได้อย่างต่อเนื่อง
วิวัฒนาการของเทคนิคการโจมตี
ความก้าวหน้าของ ZuRu จากการฉีด .dylib ไปสู่การสร้างโทรจันในแอปตัวช่วยแบบฝังตัว ดูเหมือนจะเป็นการเปลี่ยนแปลงที่จงใจเพื่อหลีกเลี่ยงวิธีการตรวจจับขั้นสูง แม้จะมีการเปลี่ยนแปลงนี้ แต่ผู้ก่อภัยคุกคามก็ยังคงใช้ตัวบ่งชี้ที่คุ้นเคย:
- การใช้ชื่อโดเมนและชื่อไฟล์ซ้ำ
- การกำหนดเป้าหมายของการเข้าถึงระยะไกลและเครื่องมือฐานข้อมูลที่สอดคล้องกัน
- เทคนิคการคงอยู่และการส่งสัญญาณที่รู้จัก
ตัวบ่งชี้เหล่านี้สะท้อนถึงแนวทางปฏิบัติที่ได้รับการพิสูจน์แล้ว ซึ่งยังคงมีประสิทธิภาพในระบบที่ขาดการรักษาความปลอดภัยปลายทางที่แข็งแกร่ง
บทสรุป: ภัยคุกคามต่อเนื่องต่อระบบนิเวศ macOS
ZuRu เวอร์ชันล่าสุดตอกย้ำแนวโน้มที่น่ากังวล นั่นคือภัยคุกคาม macOS ที่ซับซ้อนซึ่งพุ่งเป้าไปที่นักพัฒนาและผู้เชี่ยวชาญด้านไอที มัลแวร์ตัวนี้ใช้ประโยชน์จากความไว้วางใจในเครื่องมือยอดนิยมและปรับเปลี่ยนวิธีการส่งมัลแวร์อย่างต่อเนื่อง จึงสามารถหลบเลี่ยงการป้องกันในสภาพแวดล้อมที่ไม่ได้รับการป้องกันอย่างเพียงพอได้
องค์กรและบุคคลต่างๆ ควรเฝ้าระวัง ให้ความสำคัญกับการใช้แหล่งซอฟต์แวร์ที่ผ่านการตรวจสอบ และใช้ระบบรักษาความปลอดภัยแบบหลายชั้นเพื่อตรวจจับและกำจัดภัยคุกคาม เช่น ZuRu
