Эксперт объяснила, что внутри ZuRu теперь есть специальный набор инструментов для шпионажа — Khepri. Он позволяет им воровать файлы, узнавать информацию о вашем компьютере, запускать или останавливать программы и даже давать ему команды.
«Причём он оснащён модифицированной версией Khepri-инструмента для постэксплуатации, который позволяет получать удалённый доступ к заражённым хостам. Модифицированный Khepri — это многофункциональный C2-имплант, который может передавать файлы, проводить системную разведку, запускать и контролировать процессы, а также выполнять команды с захватом вывода. Сервер C2, используемый для связи с маяком, называется ‘ctl01.termius[.]fun’».
А всё начинается с обмана пользователя. Троян скрывается под видом обычного установочного файла с расширением .dmg и содержит взломанную версию Termius.app. Там, в модифицированном ‘Termius Helper.app’, есть два дополнительных исполняемых файла: загрузчик с именем ‘.localized’ (для запуска управляющего маяка Khepri с удалённого сервера) и ‘.Termius Helper1,’ (переименованная версия оригинального помощника ‘Termius Helper’).
Для обхода системной защиты macOS от троянизированных приложений злоумышленники заменили цифровую подпись разработчика на собственную временную подпись, что помогло обойти ограничения после внесения изменений внутри образа.
Помимо загрузки маяка Khepri, загрузчик предназначен для валидации настроек на хосте и проверки, присутствует ли вредоносная нагрузка по заранее определённому пути ‘/tmp/.fseventsd’ в системе. Если файл обнаружен, программа сравнивает хеш-значение полезной нагрузки с тем, которое размещено на сервере. Если значения хеша не совпадают, загружается новая версия.
«Согласно представленным деталям о новой модификации вредоноса, стоит серьёзно отнестись к проактивному анализу угроз. Рекомендуется добавить в чёрные списки домены из публикации, а также любые другие связанные IP-адреса/домены на уровне фаерволов, DNS-фильтрации, EDR/XDR. При возможности заблокировать запуск исполняемых файлов .localized и .Termius Helper1 через сигнатуры EDR/XDR. Для ретроспективной проверки, не было ли аналогичных запросов за последние 3 месяца, стоит обратиться за помощью к квалифицированным аналитикам GSOC компании "Газинформсервис". Специалисты смогут провести анализ инфраструктуры и грамотно разрешить потенциальные угрозы после анализа телеметрии, предполагающего проведение полного цикла compromise assessment», — заключила Дмитриева.
