サイバーセキュリティ企業SentinelOneは2025年7月10日、macOSマルウェア「ZuRu」の新亜種を発見したと発表した。
このマルウェアは2025年5月下旬、クロスプラットフォームSSHクライアント「Termius」のトロイの木馬化されたバージョンとして配布されていた。研究者Phil StokesとDinesh Devadossが分析を担当した。
ZuRuは2021年9月に中国のQ&Aサイト『知乎(Zhihu)』のユーザーによって初めて報告され、中国の検索エンジンBaiduでmacOSターミナルアプリ「iTerm2」の検索結果を毒化して偽サイトに誘導する手法で拡散していた。2024年1月にはJamf Threat Labsが海賊版macOSアプリを通じた配布を確認している。過去にはMicrosoft Remote Desktop for Mac、SecureCRT、Navicatなどもトロイの木馬化の対象となった。
新亜種はオープンソースのポストエクスプロイテーションツールキット「Khepri」の改変版を使用し、攻撃者が感染したホストを遠隔制御できる。マルウェアは.dmgディスクイメージで配布され、正規のTermius.app(225MB)をハッキングして248MBに拡大している。C2サーバーは「ctl01.termius[.]fun」を使用し、ポート53で通信を行う。
From: 
New ZuRu Malware Variant Targeting Developers via Trojanized Termius macOS App
【編集部解説】
今回のZuRuマルウェア事案は、macOSユーザー、特に開発者コミュニティにとって重要な警鐘となっています。検索結果から得られた詳細情報を基に、技術的な背景から将来への影響まで解説いたします。
攻撃手法の巧妙な進化
ZuRuマルウェアの最も注目すべき点は、その攻撃手法の継続的な進化にあります。初期のZuRuは外部の.dylibファイルを参照する追加のロードコマンドをメインバンドルの実行ファイルに追加する手法を使用していました。しかし、今回の新亜種では、埋め込まれたヘルパーアプリケーション(Termius Helper.app)内に2つの追加実行ファイルを配置する手法に変更されています。
具体的には、正規の「Termius Helper」バイナリ(248KB)を「.Termius Helper1」にリネームし、25MBの悪意のあるMach-Oファイルに置き換えています。この新しいファイルは、マルウェアローダー「.localized」と元のヘルパーアプリの両方を起動することで、アプリケーションの正常な動作を維持しながら感染を実行します。
高度な永続化メカニズム
新亜種の永続化メカニズムは特に洗練されています。マルウェアは管理者権限を要求し、許可されると「com.apple.xssooxxagent」という名前の永続化plistファイルを「/Library/LaunchDaemons/」に書き込みます。これにより、マルウェアは1時間ごとに実行されるようになります。
さらに、「/tmp/apple-local-ipc.sock.lock」というロックファイルを使用して、同時に実行されるインスタンスが1つだけになるよう制御しています。このような細かな制御機能は、マルウェアの検出回避と安定動作を目的としています。
自動更新機能の実装
今回の新亜種で特に注目すべきは、自動更新機能の実装です。「.localized」ローダーは、マルウェアが既に「/tmp/.fseventsd」パスに存在するかをチェックし、存在する場合はペイロードのMD5ハッシュ値をサーバー上のものと比較します。ハッシュ値が一致しない場合、新しいバージョンが自動的にダウンロードされます。
この機能は、マルウェアの継続的な進化を可能にし、セキュリティ対策の回避を容易にする重要な要素となっています。
Khepriフレームワークの悪用
改変されたKhepriツールは、以下の機能を提供する包括的なC2インプラントとして機能します:
- ファイル転送
- システム偵察
- プロセス実行と制御
- 出力キャプチャ付きコマンド実行
注目すべきは、この改変版がmacOS Sonoma 14.1以降を要求し、ハートビート間隔をオープンソース版の10秒から5秒に短縮している点です。これは、より迅速な応答性と制御を可能にします。
検索エンジンポイズニングの継続
ZuRuは一貫して検索エンジンポイズニングを主要な配布手法として使用しています。初期のBaiduでの「iTerm2」検索結果操作から始まり、現在も同様の手法が継続されています。これは、攻撃者が機会主義的なアプローチを取りながらも、特定のターゲット層(開発者・IT専門家)に効果的にリーチできることを示しています。
macOSセキュリティエコシステムへの影響
この事案は、macOSのセキュリティエコシステムに重要な示唆を与えています。攻撃者は正規の開発者コード署名を自身のアドホック署名に置き換えることで、macOSのコード署名ルールを巧妙に回避しています。これは、現在のmacOSセキュリティ機能の限界を示しており、より高度な検出メカニズムの必要性を浮き彫りにしています。
長期的な脅威の進化
ZuRuマルウェアの4年間にわたる進化は、サイバー脅威の継続的な適応能力を示しています。攻撃者は検出回避のために技術を変更しながらも、標的アプリケーションの選択、ドメイン名パターン、ファイル名の再利用など、成功している戦術を維持しています。
この一貫性は、十分なエンドポイント保護を欠く環境での継続的な成功を示唆しており、組織レベルでの包括的なセキュリティ対策の重要性を強調しています。
【用語解説】
ZuRu
2021年7月に中国のブロガーによって初めて発見されたmacOS向けマルウェア。正規ソフトウェアのトロイの木馬化されたバージョンを通じて拡散し、主に開発者やIT専門家を標的とする。4年間にわたって継続的に進化している。
Khepri
オープンソースのポストエクスプロイテーション(侵入後攻撃)ツールキット。本来はセキュリティ研究者やペネトレーションテスターが使用する正当なツールだが、ZuRuマルウェアでは改変されて悪用されている。
C2(Command and Control)
マルウェアが感染したコンピューターと攻撃者のサーバー間で通信を行うための仕組み。攻撃者が遠隔から感染したデバイスを制御するために使用される。
検索エンジンポイズニング
検索結果を操作して、正規サイトの代わりに悪意のあるサイトを上位に表示させる攻撃手法。ユーザーが正規ソフトを検索した際に偽サイトに誘導される。
アドホック署名
開発者が一時的に使用するコード署名。正規の開発者証明書を持たない場合に使用されるが、ZuRuでは正規署名を偽装するために悪用されている。
LaunchDaemons
macOSでシステム起動時やスケジュールに従ってプロセスを自動実行するためのメカニズム。マルウェアの永続化に悪用されることがある。
MD5ハッシュ
ファイルの内容から生成される固有の文字列。ファイルが改変されていないかを確認するために使用される。ZuRuでは自動更新機能で利用されている。
【参考リンク】
SentinelOne(外部)
AI技術を活用したサイバーセキュリティプラットフォームを提供する米国企業。エンドポイント、クラウド、アイデンティティ、データ保護を統合したソリューションを展開している。
Termius(外部)
クロスプラットフォーム対応のSSHクライアントおよびサーバー管理ツール。開発者とIT専門家の生産性向上を目的として開発されている。
Jamf Threat Labs(外部)
Apple製品に特化したサイバーセキュリティ研究チーム。macOS、iOS、iPadOSを標的とする脅威の調査と分析を専門とする。
Intego(外部)
Mac専門のセキュリティソフトウェア企業。VirusBarrier、NetBarrierなどのMac向けセキュリティ製品を提供している。
【参考動画】
【参考記事】
macOS.ZuRu Resurfaces | Modified Khepri C2 Hides Inside Doctored Termius App(外部)
SentinelOneによる今回の事案の詳細な技術分析レポート。ZuRuマルウェアの最新亜種の動作メカニズムと検出指標について包括的に解説している。
Weaponized Termius App Delivers Latest ZuRu Malware to macOS Users(外部)
GB Hackersによる技術的分析記事。ZuRuマルウェアの進化過程と新しい攻撃手法について、セキュリティ専門家の視点から解説している。
OSX/ZuRu Mac malware spread through Trojan apps(外部)
Integoによる2021年のZuRu初期発見時の詳細レポート。検索エンジンポイズニングによる配布手法と感染後の動作について歴史的経緯を含めて解説している。
【編集部後記】
今回のZuRuマルウェア事案を通じて、私たちは「信頼できるソフトウェアの見極め」という根本的な課題に直面しています。開発者の皆さんは、普段どのような基準でアプリケーションの信頼性を判断されているでしょうか?皆さんの開発環境では、どのようなセキュリティ対策を講じていらっしゃいますか?また、チーム内でのセキュリティ意識の共有はどのように行われているのでしょうか?読者の皆さんの実践的な対策や経験談を、ぜひSNSで共有していただけると嬉しいです。
