ZuRu Mac 恶意软件
网络安全研究人员发现了新证据,将臭名昭著的 macOS 恶意软件 ZuRu 与新的攻击活动联系起来。ZuRu 以通过木马病毒入侵系统而闻名,并且不断演变,利用更新的技术和工具来攻击毫无戒心的用户。
目录
伪装成值得信赖的工具
2025年5月下旬,ZuRu被发现冒充了跨平台SSH客户端和服务器管理工具Termius。这标志着ZuRu一系列恶意攻击活动的最新进展,这些攻击活动伪装成合法的macOS应用程序,感染开发者和IT环境。自2021年9月首次现身并劫持了中国问答平台知乎上的iTerm2搜索结果以来,该恶意软件一直以寻求远程访问和数据库管理解决方案的用户为目标。
该策略严重依赖赞助搜索结果,使威胁行为者能够趁机接触那些已经在搜索此类工具的用户。这种方法增加了成功感染的可能性,同时避免了被更大范围地检测到。
从盗版软件到中毒磁盘映像
到 2024 年 1 月,ZuRu 还被发现隐藏在盗版的热门 macOS 软件中,例如微软的远程桌面、SecureCRT 和 Navicat。现在,研究人员将其与一个损坏的 .dmg 磁盘映像联系起来,该映像包含一个被篡改的 Termius.app 副本。
这个修改过的应用程序包会用一个临时签名替换原始开发者的代码签名,从而绕过 macOS 的代码签名保护。其中嵌入了两个关键组件:
- .localized:一种恶意加载器,从 download.termius.info 获取并启动 Khepri C2 信标。
- .Termius Helper1:合法 Termius Helper 应用程序的更名版本,用于掩盖恶意行为。
这些可执行文件隐藏在 Termius Helper.app 内部,它们的集成代表了 ZuRu 将 .dylib 文件直接注入应用程序包的旧方法的改变。
持久性和更新机制
.localized 加载器不仅用于获取有效载荷,还会通过验证恶意软件是否存在于 /tmp/.fseventsd 来检查现有安装。它会将当前有效载荷的 MD5 哈希值与远程托管的 MD5 哈希值进行比较,如果不匹配,则下载新版本。这种自检和更新功能很可能确保了恶意代码的完整性和时效性。
凯布利武器化:后漏洞时代的瑞士军刀
此次攻击的核心是 Khepri 的修改版本,这是一个开源的后漏洞利用工具包。经过修改的工具使攻击者能够广泛控制受感染的 macOS 主机,包括:
- 文件传输
- 系统侦察
- 系统流程的执行和管理
- 执行命令并实时检索输出
通过 C2 服务器 ctl01.termius.fun 维持通信,从而实现对受感染机器的持续控制。
攻击技术的演变
ZuRu 从 .dylib 注入到嵌入辅助应用程序的木马攻击,似乎是一次刻意的转变,旨在绕过更高级的检测方法。尽管发生了这种变化,但威胁行为者仍然依赖于一些熟悉的指标:
- 域名和文件名的重复使用
- 持续瞄准远程访问和数据库工具
- 已知的持久性和信标技术
这些指标反映了经过验证的剧本,在缺乏强大端点安全性的系统中仍然有效。
结论:macOS 生态系统面临持续威胁
最新的 ZuRu 变种进一步凸显了一个令人担忧的趋势:针对开发人员和 IT 专业人员的复杂 macOS 威胁层出不穷。该恶意软件利用人们对常用工具的信任,并调整传播方式,在保护不足的环境中持续绕过防御措施。
组织和个人应保持警惕,优先使用经过验证的软件源,并实施分层安全措施来检测和消除像 ZuRu 这样的威胁。
