Biến thể tinh vi của malware macOS.ZuRu, được phát hiện lần đầu bởi một blogger Trung Quốc vào tháng 7 năm 2021, đã tái xuất hiện với phương thức tấn công mới nhắm vào người dùng macOS thông qua một phiên bản bị trojan hóa của ứng dụng khách SSH đa nền tảng phổ biến Termius.
Ban đầu, ZuRu lây lan qua kết quả tìm kiếm Baidu bị nhiễm độc cho các công cụ như iTerm2, SecureCRT, và Microsoft Remote Desktop for Mac, cho thấy sự tập trung nhất quán vào người dùng các tiện ích kết nối từ xa và backend.
Mẫu mới nhất, được phát hiện vào cuối tháng 5 năm 2025 qua các báo cáo trên mạng xã hội, cho thấy cơ chế phân phối đã phát triển và một framework C2 Khepri đã được sửa đổi để kiểm soát sau lây nhiễm. Điều này đánh dấu một sự thay đổi đáng kể trong chiến thuật của malware trong khi vẫn duy trì trọng tâm là né tránh phát hiện.
Phương Thức Phân Phối và Lây Nhiễm
Trojan Hóa Ứng Dụng Termius
Malware được phân phối thông qua một ảnh đĩa .dmg chứa ứng dụng Termius.app đã bị sửa đổi. Kích thước của tệp .dmg độc hại này đã tăng từ 225MB (kích thước hợp pháp) lên 248MB do các binary độc hại được nhúng.
Không giống như các biến thể ZuRu trước đây dựa vào kỹ thuật Dylib injection để sửa đổi tệp thực thi chính, phiên bản này nhúng hai tệp thực thi bổ sung bên trong gói ứng dụng Termius Helper.app.
Binary hợp pháp của Termius Helper bị đổi tên và được thay thế bằng một tệp Mach-O có kích thước 25MB. Tệp Mach-O này sẽ khởi chạy cả trình tải malware có tên .localized và tệp helper gốc đã được đổi tên để duy trì chức năng ứng dụng bình thường.
Cơ Chế Hoạt Động và Duy Trì Quyền Truy Cập
Trình Tải (.localized) và Liên Lạc C2
Trình tải .localized truy xuất beacon Khepri C2 từ download.termius[.]info, giải mã nó bằng một khóa được mã hóa cứng là my_secret_key, và cài đặt nó tại /tmp/.fseventsd.
Ngoài ra, trình tải này cũng triển khai một cơ chế cập nhật bằng cách xác minh hash MD5 của payload so với một giá trị từ xa, tải xuống các phiên bản mới hơn nếu phát hiện sự khác biệt.
Cơ Chế Duy Trì (Persistence)
Quyền truy cập duy trì được thực hiện thông qua một tệp LaunchDaemon plist độc hại có nhãn com.apple.xssooxxagent, được ghi vào /Library/LaunchDaemons/. Điều này đảm bảo malware được thực thi hàng giờ từ /Users/Shared/.
Framework Khepri C2
Beacon Khepri, một phiên bản tùy chỉnh của framework C2 mã nguồn mở, là một binary Mach-O universal yêu cầu macOS Sonoma 14.1 hoặc mới hơn. Nó giao tiếp với máy chủ command-and-control (C2) của nó tại ctl01.termius[.]fun (phân giải thành 47.238.28.21) qua cổng 53, mô phỏng lưu lượng DNS.
Khả năng của Khepri bao gồm: chuyển tệp (file transfer), thu thập thông tin hệ thống (system reconnaissance), và thực thi lệnh (command execution), biến nó thành một công cụ mạnh mẽ cho những kẻ tấn công.
Kỹ Thuật Né Tránh và Tiến Hóa
Quy trình giải mã mới nhất, mặc dù vẫn sử dụng XOR kết hợp với phép cộng và trừ, nhưng đã thay thế khóa một byte cũ bằng một chuỗi 13 byte, bổ sung thêm một lớp che giấu để ngăn chặn phân tích tự động.
Mặc dù các kỹ thuật đã phát triển, chẳng hạn như chuyển từ Dylib injection sang trojan hóa ứng dụng helper, những kẻ đe dọa vẫn tái sử dụng các mẫu quen thuộc trong đặt tên miền và phương pháp duy trì, cho thấy thành công liên tục trong các môi trường thiếu bảo vệ endpoint mạnh mẽ.
Chỉ Số Bị Tổn Thương (Indicators of Compromise – IOCs)
- Tên tệp độc hại:
.localized(trong Termius.app bundle) - Đường dẫn cài đặt beacon:
/tmp/.fseventsd - Tệp LaunchDaemon độc hại:
com.apple.xssooxxagent.plist - Đường dẫn LaunchDaemon:
/Library/LaunchDaemons/com.apple.xssooxxagent.plist - Đường dẫn thực thi persistence:
/Users/Shared/. - Miền C2:
download.termius[.]infoctl01.termius[.]fun
- Địa chỉ IP C2:
47.238.28.21 - Khóa giải mã cứng:
my_secret_key
Phát Hiện và Khuyến Nghị Bảo Mật
SentinelOne Singularity phát hiện và chặn mối đe dọa này một cách hiệu quả.
Các tổ chức không có các biện pháp phòng thủ tương tự được khuyến nghị theo dõi chặt chẽ các chỉ số bị tổn thương (IOCs) đã liệt kê để phát hiện và giảm thiểu rủi ro.
