İlk olarak Temmuz 2021’de bir Çinli blog yazarı tarafından tanımlanan MacOS.zuru kötü amaçlı yazılımının sofistike bir varyantı, popüler çapraz platformlar arası SSH istemci Termius’un truva atışlı bir versiyonu aracılığıyla macOS kullanıcılarını hedefleyen yeni bir saldırı yöntemiyle yeniden ortaya çıktı.
Başlangıçta ITerM2, Securecrt ve Microsoft uzak masaüstü gibi araçlar için zehirli Baidu arama sonuçları ile yayılan Zuru, arka uç ve uzaktan bağlantı yardımcı programlarının kullanıcılarını sürekli olarak avladı.
MacOS.zuru’nun evriminde yeni bir bölüm
Mayıs 2025’in sonlarında sosyal medya raporları aracılığıyla keşfedilen en son örnek, enfeksiyon sonrası kontrol için gelişmiş bir teslimat mekanizması ve değiştirilmiş bir Khepri C2 çerçevesi sergiliyor ve kötü amaçlı yazılımların taktiklerinde önemli bir kaymayı işaret ederken, tespit edilmeye odaklanıyor.
Kötü amaçlı yazılım, hacklenmiş bir termius.app içeren bir .dmg disk görüntüsü ile dağıtılır ve gömülü kötü niyetli ikili dosyalar nedeniyle 225MB ila 248MB’lık meşru boyutundan şişirilir.
Ana yürütülebilir dosyayı değiştirmek için dylib enjeksiyonuna dayanan önceki Zuru varyantlarının aksine, bu sürüm Termius Helper.App Paketi’ne iki ek yürütülebilir ürün yerleştirir.
Meşru Termius yardımcı ikili, yeniden adlandırılır ve değiştirilir ve normal uygulama işlevselliğini korumak için hem “.localize” adlı bir kötü amaçlı yazılım yükleyicisini hem de yeniden adlandırılan orijinal yardımcısı başlatır.
“.Lokalize” yükleyici, indir.[.]Bilgi, sert kodlanmış bir “my_secret_key” anahtarı kullanarak şifresini çözer ve /tmp/.fseventsd adresine yükler.
Trojanize uygulamanın teknik dökümü
Rapora göre, kalıcılık,/kullanıcılar/shared/arasından kötü amaçlı yazılımın saatlik olarak yürütülmesini sağlayan Com.apple.xssooxxagent etiketli kötü amaçlı bir LaunchDaemon Plict ile gerçekleştirilir.
Yükleyici ayrıca, tutarsızlıklar algılanırsa daha yeni sürümleri indirerek, yükün MD5 karmasını uzak bir değere karşı doğrulayarak bir güncelleme mekanizması uygular.
Bu en son şifre çözme rutini, ekleme ve çıkarma ile birleştirilmiş XOR kullanırken, eski tek bayt anahtarını 13 baytlık bir ip ile değiştirerek otomatik analizi engellemek için bir gizleme katmanı ekler.
Açık kaynaklı C2 çerçevesinin özelleştirilmiş bir versiyonu olan Khepri Beacon, MacOS Sonoma 14.1 veya üstü gerektiren evrensel bir Mach-O ikilidir ve CTL01.Termius adresindeki komut ve kontrol sunucusu ile iletişim kurar.[.]DNS trafiğini taklit ederek, eğlence (47.238.28.21’e çözümleme).
Yetenekleri, dosya aktarımı, sistem keşfi ve komuta yürütmeyi içerir, bu da onu saldırganlar için güçlü bir araç haline getirir.
Dylib enjeksiyonundan yardımcı uygulama trojanizasyonuna kayma gibi gelişen tekniklere rağmen, tehdit aktörleri, etki alanı adlandırma ve kalıcılık yöntemlerinde tanıdık kalıpları yeniden kullanır ve bu da sağlam uç nokta koruması olmayan ortamlarda sürekli başarıyı gösterir.
Sentinelone tekillik bu tehdidi etkili bir şekilde tespit eder ve engellerken, bu tür savunma olmayan kuruluşların aşağıda listelenen uzlaşma göstergelerini izlemeleri istenir.
Uzlaşma göstergeleri
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya Yolu | /Library/launchdaemons/com.apple.xssooxxagent.plist | Kalıcılık Plist Dosyası |
| Dosya Yolu | /Users/shared/com.apple.xssooxxagent | Kötü Yazılım Yürütülebilir Konumu |
| Dosya Yolu | /tmp/.fseventsd | Khepri C2 Beacon Konumu |
| SHA-1 | A7A9B0F8C1C89F5C195AF74CE3AD74733B15C0 | .FSEVENTSD (Khepri C2 Beacon) |
| SHA-1 | DE8ACA685871ADE8A75E4614ADA219025E2D6FD7 | Termius9.5.0.dmg (Truva Görüntüsü) |
| Ağ | http: //download.tertius[.]info/bn.log.enc | Yük indir url |
| Ağ | CTL01.Termius[.]eğlence | C2 Sunucu Etki Alanı |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.