macOS.ZuRu backdoor
A SentinelOne szakértői észlelték, hogy a macOS.ZuRu kampány ezúttal egy módosított Termius.app tokenben használja, amely fejlesztők és IT szakemberek által széles körben használt SSH-kliens. A telepített .dmg fájlba beépített hamis alkalmazás első ránézésre nem gyanús, hiszen a normál Termius is betöltődik, de mellett fut egy rejtett loader, a .localized bináris.
A .localized egy darabban tartalmazza a működésért felelős modult, létrehoz a /Library/LaunchDaemons/com.apple.xssooxxagent.plist fájlt, ami minden óra elején újraindítja az (/Users/Shared/com.apple.xssooxxagent) másolatát, és ezáltal biztosítja a rendszerbetöltést. Emellett egy frissítő mechanizmus is működik, ellenőrzi a payloadot a /tmp/.fseventsd helyen, összeveti az MD5-ét a C2-től érkezett bn.log.md5 értékkel, és szükség esetén újratölti azt a download.termius[.]info/bn.log.enc címről, amit a hardcoded my_secret_key kulccsal dekódol.
A letöltött payload egy Mach-O formátumú, több architektúrára épített Khepri C2 backdoor, amely támogatja a fájlátvitelt, rendszerfelderítést, folyamatvezérlést és parancs végrehajtását kimeneti visszacsatolással. A C2 kommunikációt az ctl01.termius[.]fun (Alibaba Cloud IP: 47.238.28.21) szervezettel folytatja, látszólag port 53-on, DNS tráffikként álcázva, míg az orr-app kommunikációját a www.baidu.com álcázódomain rejti.
A támadás fontos része, hogy a legitim Termius.app normál használata mellett fut a malware is, ezáltal az operációs rendszer felhasználója nem gyanakszik. A cifra technika mögött álló trend az, hogy a korábbi dinamikus könyvtárbetöltést (dylib injekciót) elhagyva immár közvetlenül a helper alkalmazásba ágyazva rejtik el a rosszindulatú kódot, ami megnehezíti a detektálást.
Eddigi elemzések szerint a fertőzés célkitűzése az ISP és IT környezetek elleni kompromittálás. A módszer célzottabb és direktkötésű, hiszen nem TDY-n keresztül, hanem közvetlenül próbál bejutni a fejlesztői eszközökbe, amelyek biztonsági réseket hordozhatnak. Azonosított indikátorok között megtalálhatók a fent említett fájlnevek, LaunchDaemon path, a C2 címek, valamint a my_secret_key kulcs és az MD5-frissítések mechanizmusa.
