Một biến thể mới tinh vi của mã độc macOS.ZuRu, được xác định lần đầu vào năm 2021, đã tái xuất hiện. Biến thể này sử dụng một phiên bản trojan hóa của ứng dụng khách Termius SSH để triển khai một beacon command-and-control (C2) Khepri đã được sửa đổi.
Phiên bản hiện tại, được phát hiện vào cuối tháng 5 năm 2025, thể hiện các kỹ thuật lẩn tránh tiên tiến nhắm vào các nhà phát triển và chuyên gia IT. Nó tạo điều kiện cho truy cập từ xa bền bỉ trong khi vượt qua các cơ chế bảo mật của macOS.
Chiến thuật lẩn tránh mới của macOS.ZuRu
Phân tích gần đây của SentinelOne làm nổi bật cách các tác nhân đe dọa đã tinh chỉnh phương pháp tiếp cận của họ. Thay vì tiêm thư viện động (dynamic library injections), chúng chuyển sang trojan hóa ứng dụng trực tiếp. Kỹ thuật này giúp mã độc lẩn tránh các hệ thống phát hiện giám sát việc tải thư viện bất thường.
Sự thay đổi chiến thuật này thể hiện sự thích nghi của các tác nhân đe dọa với các biện pháp phòng thủ hiện đại. Bằng cách nhúng mã độc trực tiếp vào các ứng dụng hợp pháp, chúng giảm thiểu rủi ro bị công cụ Endpoint Detection and Response (EDR) gắn cờ các bất thường khi tải động.
Kỹ thuật lây nhiễm và thực thi
Vector phân phối của mã độc liên quan đến một ảnh đĩa .dmg bị xâm phạm chứa một gói ứng dụng Termius.app bị phình to. Kích thước của gói này đã được mở rộng từ 225MB hợp pháp lên 248MB bằng cách nhúng hai tệp thực thi độc hại vào trong gói phụ Termius Helper.app.
Vector lây nhiễm
Trong gói phụ này, tệp nhị phân Termius Helper gốc đã được đổi tên thành .Termius Helper1. Nó được thay thế bằng một tệp thực thi Mach-O độc hại có kích thước 25MB, giả mạo như tệp trợ giúp hợp pháp.
Luồng thực thi mã độc
Khi thực thi, tệp giả mạo này sẽ khởi chạy tệp .Termius Helper1 gốc để duy trì chức năng bình thường của ứng dụng Termius. Đồng thời, nó triệu hồi một bộ nạp có tên .localized. Bộ nạp này sau đó sẽ trích xuất và triển khai một beacon C2 Khepri, duy trì sự tồn tại của nó tại đường dẫn /tmp/.fseventsd để đảm bảo hoạt động bí mật.
Hoạt động của Khepri C2 Beacon
Beacon Khepri, được phát triển từ một framework hậu khai thác mã nguồn mở, đã được tùy chỉnh để hoạt động ở chế độ bỏ qua (skip mode) hoặc như một daemon chạy nền. Nó có khoảng thời gian heartbeat được tăng tốc là 5 giây, bằng một nửa so với khoảng thời gian mặc định 10 giây, cho phép giao tiếp C2 nhanh chóng qua cổng 53.
Chức năng của Khepri
Để che giấu lưu lượng truy cập, Khepri sử dụng một miền mồi nhử như www.baidu[.]com, nhưng chuyển hướng các lệnh thực tế đến các máy chủ tuân theo các mẫu đặt tên đã được thiết lập của ZuRu, ví dụ như ctl01.macnavicat[.]com. Điều này giúp mã độc hòa lẫn vào lưu lượng truy cập mạng thông thường, gây khó khăn cho việc phát hiện.
# Ví dụ về giám sát lưu lượng C2 (giả định)
sudo tcpdump -i en0 'port 53 and (host www.baidu.com or host ctl01.macnavicat.com)'
Các cơ chế lẩn tránh và duy trì
Bỏ qua Gatekeeper
Để bỏ qua các biện pháp bảo vệ của macOS Gatekeeper, ứng dụng đã bị trojan hóa thay thế chữ ký mã hợp pháp của nhà phát triển bằng một chữ ký ad hoc. Kỹ thuật này khai thác sự tin cậy ngầm đối với các tệp nhị phân đã được ký, cho phép chúng chạy mà không bị cảnh báo bảo mật nghiêm ngặt.
Cơ chế duy trì và cập nhật
Bộ nạp .localized tiếp tục tăng cường khả năng phục hồi thông qua xác minh tính toàn vẹn dựa trên hàm băm MD5. Nếu phát hiện sự không khớp, nó sẽ tự động tải xuống các payload cập nhật. Cơ chế cập nhật này, kết hợp với các khả năng mở rộng của Khepri, bao gồm trích xuất tệp (file exfiltration), liệt kê hệ thống (system enumeration), tiêm tiến trình (process injection), và thực thi lệnh (command execution) với chuyển hướng đầu ra, gây ra rủi ro nghiêm trọng cho các môi trường bị xâm nhập. Điều này cho phép gián điệp lâu dài hoặc di chuyển ngang trong mạng lưới IT và phát triển.
Tác động và rủi ro
Việc ZuRu tập trung vào các công cụ phụ trợ như Termius, SecureCRT và Navicat cho thấy một chiến lược cố ý nhằm xâm nhập vào các quy trình làm việc chuyên nghiệp, thường thông qua các bản tải xuống lậu hoặc bị nhiễm độc. Điều này nhấn mạnh sự nguy hiểm của các nguồn phần mềm không được xác minh. Theo báo cáo của PolySwarm, macOS.ZuRu được phân loại là một mối đe dọa đang phát triển, với biến thể mới nhất đánh dấu một sự thay đổi chiến thuật theo hướng các phương pháp duy trì bí mật hơn.
Mã độc này tận dụng các ứng dụng bị trojan hóa thay vì tiêm thư viện, giảm thiểu rủi ro từ các công cụ phát hiện và phản hồi điểm cuối (EDR) thường gắn cờ các bất thường tải động. Sự phụ thuộc của mã độc vào các công cụ mã nguồn mở đã sửa đổi như Khepri minh họa sự tinh vi ngày càng tăng của các chiến dịch nhắm mục tiêu vào macOS, kết hợp các framework thương mại với logic lẩn tránh tùy chỉnh.
Chỉ số thỏa hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) liên quan đến biến thể macOS.ZuRu mới nhất bao gồm:
- Miền C2:
ctl01.macnavicat[.]com - Miền mồi nhử:
www.baidu[.]com - Đường dẫn tồn tại:
/tmp/.fseventsd - Cổng C2:
53(DNS)
Phòng ngừa và giảm thiểu
Các tổ chức được khuyến nghị thực thi kiểm tra tính toàn vẹn phần mềm nghiêm ngặt, bao gồm xác minh hàm băm và xác thực nguồn. Đồng thời, cần giám sát các hành vi mạng bất thường như heartbeat nhanh qua các cổng không chuẩn. Vì ZuRu tiếp tục thích nghi, việc săn tìm mối đe dọa chủ động và giáo dục người dùng về các thực hành tải xuống an toàn vẫn là những biện pháp phòng thủ quan trọng chống lại đối thủ dai dẳng này trên macOS.
