ZuRu Mac 惡意軟體
網路安全研究人員發現了新證據,將臭名昭著的 macOS 惡意軟體 ZuRu 與新的攻擊活動聯繫起來。 ZuRu 以透過木馬病毒入侵系統而聞名,並且不斷演變,利用更新的技術和工具來攻擊毫無戒心的用戶。
目錄
偽裝成值得信賴的工具
2025年5月下旬,ZuRu被發現冒充了跨平台SSH客戶端和伺服器管理工具Termius。這標誌著ZuRu一系列惡意攻擊活動的最新進展,這些攻擊活動偽裝成合法的macOS應用程序,感染開發者和IT環境。自2021年9月首次現身並劫持了中國問答平台知乎上的iTerm2搜尋結果以來,該惡意軟體一直以尋求遠端存取和資料庫管理解決方案的用戶為目標。
該策略嚴重依賴贊助搜尋結果,使威脅行為者能夠趁機接觸那些已經在搜尋此類工具的用戶。這種方法增加了成功感染的可能性,同時避免了被更大範圍地檢測到。
從盜版軟體到中毒磁碟映像
到 2024 年 1 月,ZuRu 也被發現隱藏在盜版的熱門 macOS 軟體中,例如微軟的遠端桌面、SecureCRT 和 Navicat。現在,研究人員將其與一個損壞的 .dmg 磁碟映像聯繫起來,該映像包含一個已篡改的 Termius.app 副本。
這個修改過的應用程式套件會用一個臨時簽名替換原始開發者的程式碼簽名,從而繞過 macOS 的程式碼簽名保護。其中嵌入了兩個關鍵組件:
- .localized:一種惡意載入器,從 download.termius.info 取得並啟動 Khepri C2 信標。
- .Termius Helper1:合法 Termius Helper 應用程式的更名版本,用於掩蓋惡意行為。
這些可執行檔隱藏在 Termius Helper.app 內部,它們的整合代表了 ZuRu 將 .dylib 檔案直接注入應用程式套件的舊方法的變更。
持久性和更新機制
.localized 載入器不僅用於取得有效載荷,還會透過驗證惡意軟體是否存在於 /tmp/.fseventsd 來檢查現有安裝。它會將當前有效載荷的 MD5 雜湊值與遠端託管的 MD5 雜湊值進行比較,如果不匹配,則下載新版本。這種自我檢測和更新功能很可能確保了惡意程式碼的完整性和時效性。
凱布利武器化:後漏洞時代的瑞士軍刀
這次攻擊的核心是 Khepri 的修改版本,這是一個開源的後漏洞利用工具包。經過修改的工具使攻擊者能夠廣泛控制受感染的 macOS 主機,包括:
- 文件傳輸
- 系統偵察
- 系統流程的執行與管理
- 執行命令並即時檢索輸出
透過 C2 伺服器 ctl01.termius.fun 維持通信,從而實現對受感染機器的持續控制。
攻擊技術的演變
ZuRu 從 .dylib 注入到嵌入輔助應用程式的木馬攻擊,似乎是一次刻意的轉變,旨在繞過更高級的檢測方法。儘管發生了這種變化,但威脅行為者仍然依賴一些熟悉的指標:
- 網域名稱和檔案名稱的重複使用
- 持續瞄準遠端存取和資料庫工具
- 已知的持久性和信標技術
這些指標反映了經過驗證的劇本,在缺乏強大端點安全性的系統中仍然有效。
結論:macOS 生態系統面臨持續威脅
最新的 ZuRu 變種進一步凸顯了一個令人擔憂的趨勢:針對開發人員和 IT 專業人員的複雜 macOS 威脅層出不窮。該惡意軟體利用人們對常用工具的信任,並調整傳播方式,在保護不足的環境中持續繞過防禦措施。
組織和個人應保持警惕,優先使用經過驗證的軟體來源,並實施分層安全措施來偵測和消除像 ZuRu 這樣的威脅。
