Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mac Kötü Amaçlı Yazılım ZuRu Mac Kötü Amaçlı Yazılım

ZuRu Mac Kötü Amaçlı Yazılım

Mezo'de Mac Kötü Amaçlı Yazılım'de
Çevir:

Siber güvenlik araştırmacıları, kötü şöhretli macOS kötü amaçlı yazılımı ZuRu'yu yeni saldırı kampanyalarıyla ilişkilendiren yeni kanıtlar ortaya çıkardı. Truva atı yazılımları aracılığıyla sistemlere sızmasıyla bilinen ZuRu, şüphelenmeyen kullanıcıları tehlikeye atmak için güncel teknik ve araçlardan yararlanarak gelişmeye devam ediyor.

Güvenilir Araçlar Gibi Görünmek

Mayıs 2025'in sonlarında, ZuRu'nun platformlar arası bir SSH istemcisi ve sunucu yönetim aracı olan Termius'u taklit ettiği görüldü. Bu, ZuRu'nun geliştirici ve BT ortamlarını etkilemek için meşru macOS uygulamaları gibi davrandığı bir dizi kötü amaçlı saldırının son adımı. Eylül 2021'de Çinli soru-cevap platformu Zhihu'da iTerm2 arama sonuçlarını ele geçirdiği ilk bilinen görünümünden bu yana, kötü amaçlı yazılım sürekli olarak uzaktan erişim ve veritabanı yönetimi çözümleri arayan kullanıcıları hedef aldı.

Bu taktik, büyük ölçüde sponsorlu arama sonuçlarına dayanıyor ve tehdit aktörlerinin bu tür araçları arayan kişilere fırsatçı bir şekilde ulaşmasını sağlıyor. Bu yaklaşım, daha geniş çaplı bir tespitten kaçınırken başarılı bir bulaşma olasılığını artırıyor.

Korsan Yazılımlardan Zehirli Disk Görüntülerine

Ocak 2024 itibarıyla ZuRu, Microsoft'un Uzak Masaüstü, SecureCRT ve Navicat gibi popüler macOS yazılımlarının korsan sürümlerinde de saklandığı tespit edilmişti. Şimdi ise araştırmacılar, ZuRu'yu, Termius.app'in değiştirilmiş bir kopyasını içeren bozuk bir .dmg disk görüntüsüne bağladılar.

Bu değiştirilmiş uygulama paketi, macOS kod imzalama korumalarını aşmak için orijinal geliştiricinin kod imzasını geçici bir imzayla değiştirir. İçerisinde iki temel bileşen bulunur:

  • .localized: download.termius.info adresinden bir Khepri C2 işaretçisini alıp başlatan kötü amaçlı bir yükleyici.
  • .Termius Helper1: Kötü niyetli davranışları maskelemek için kullanılan, meşru Termius Helper uygulamasının yeniden markalanmış bir sürümü.

Bu yürütülebilir dosyalar Termius Helper.app içerisinde gizlidir ve bunların entegrasyonu, ZuRu'nun .dylib dosyalarını doğrudan uygulama paketlerine enjekte etme şeklindeki eski yönteminden bir değişikliği temsil eder.

Kalıcılık ve Güncelleme Mekanizmaları

.localized yükleyici yalnızca yükleri almak için kullanılmaz, aynı zamanda kötü amaçlı yazılımın /tmp/.fseventsd dizininde mevcut olup olmadığını doğrulayarak mevcut yüklemeleri de kontrol eder. Mevcut yükün MD5 karma değerini, uzakta barındırılanla karşılaştırır ve bir uyumsuzluk varsa yeni bir sürüm indirir. Bu kendi kendini kontrol etme ve güncelleme işlevi, kötü amaçlı kodun hem bütünlüğünü hem de güncelliğini sağlar.

Khepri’nin Silahlandırılması: Sömürü Sonrası Bir İsviçre Çakısı

Bu saldırının merkezinde, açık kaynaklı bir saldırı sonrası araç seti olan Khepri'nin değiştirilmiş bir sürümü yer alıyor. Uyarlanan araç, saldırganlara ele geçirilmiş macOS ana bilgisayarları üzerinde geniş bir kontrol sağlıyor. Bunlar arasında şunlar yer alıyor:

  • Dosya transferleri
  • Sistem keşfi
  • Sistem süreçlerinin yürütülmesi ve yönetimi
  • Gerçek zamanlı çıktı alma ile komut yürütme

İletişim, enfekte olmuş makineler üzerinde sürekli kontrol sağlayan ctl01.termius.fun C2 sunucusu üzerinden sağlanır.

Saldırı Tekniklerinin Evrimi

ZuRu'nun .dylib enjeksiyonundan gömülü yardımcı uygulamaları truva atı haline getirmeye geçişi, daha gelişmiş tespit yöntemlerini atlatmayı amaçlayan bilinçli bir değişiklik gibi görünüyor. Bu değişikliğe rağmen, tehdit aktörü bilindik göstergelere güvenmeye devam ediyor:

  • Alan adlarının ve dosya adlarının yeniden kullanımı
  • Uzaktan erişim ve veritabanı araçlarının tutarlı bir şekilde hedeflenmesi
  • Bilinen kalıcılık ve işaretleme teknikleri

Bu göstergeler, güçlü uç nokta güvenliğinden yoksun sistemlerde etkili olmaya devam eden kanıtlanmış bir stratejiyi yansıtıyor.

Sonuç: macOS Ekosistemi için Süregelen Bir Tehdit

ZuRu'nun en yeni sürümü, endişe verici bir eğilimi pekiştiriyor: Geliştiricileri ve BT uzmanlarını hedef alan karmaşık macOS tehditleri. Popüler araçlara olan güveni istismar ederek ve dağıtım yöntemlerini uyarlayarak, bu kötü amaçlı yazılım, yetersiz korunan ortamlarda savunmaları aşmaya devam ediyor.

Kuruluşlar ve bireyler tetikte olmalı, doğrulanmış yazılım kaynaklarının kullanımına öncelik vermeli ve ZuRu gibi tehditleri tespit edip etkisiz hale getirmek için katmanlı güvenlik uygulamalıdır.

trend

En çok görüntülenen

Yükleniyor...