CHILLYHELL Задна вратичка за MacOS
Експерти по киберсигурност откриха ново семейство зловреден софтуер, насочено към екосистемата на macOS на Apple. То е описано като модулна задна врата, наречена CHILLYHELL, която поражда сериозни опасения поради своята гъвкавост и усъвършенствани методи за запазване на данните.
Съдържание
Произход и приписване
CHILLYHELL е свързана с некатегоризиран клъстер от заплахи с обозначение UNC4487, за който се смята, че е активен поне от октомври 2022 г. Според разузнавателни данни, групата вероятно е шпионаж. Операциите ѝ включват компрометиране на уебсайтове на украински правителствени организации и подвеждане на посетителите да изпълнят зловредния софтуер Matanbuchus или CHILLYHELL.
Техническа информация
Задната вратичка е написана на C++ и е проектирана да работи на macOS системи, базирани на Intel. Новооткрит пример на CHILLYHELL, датиран на 2 май 2025 г., разкри, че зловредният софтуер е бил нотариално заверен от Apple през 2021 г. и оттогава е публично хостван в Dropbox. След това откритие Apple отмени свързаните с него сертификати за разработчици.
Механизми за инфекция и персистиране
След като бъде внедрен в системата на жертвата, CHILLYHELL извършва обширно профилиране на хоста и след това установява постоянство, използвайки три различни метода. След това се свързва с твърдо кодиран сървър за командване и управление (C2) чрез HTTP или DNS и влиза в команден цикъл, за да получава инструкции.
Настройката на постоянството включва множество стратегии:
- Инсталира се като LaunchAgent или системен LaunchDaemon
- Промяна на профили на shell, като например .zshrc, .bash_profile или .profile, за да се вмъкне команда за стартиране
Избягване чрез заглушаване на времето
Особено забележителна техника за избягване е използването на времеви отпечатъци от CHILLYHELL, които променят времевите отпечатъци на злонамерени файлове, за да се слеят с легитимни системни артефакти. Ако директните системни извиквания не са възможни поради недостатъчни привилегии, злонамереният софтуер по подразбиране използва команди на shell, като например:
- touch -c -a -t (за промяна на времето за достъп)
- touch -c -m -t (за регулиране на времето за модификация)
И двете команди включват низ с обратна дата, за да се избегне подозрение.
Командни способности
Модулният дизайн на CHILLYHELL предоставя на операторите широк набор от функции. Сред поддържаните команди са:
- Стартиране на обратна обвивка към C2 сървъра
- Изтегляне на актуализирани версии на зловреден софтуер
- Извличане и изпълнение на допълнителни полезни товари
- Стартиране на модула ModuleSUBF за изброяване на потребителски акаунти от /etc/passwd
- Извършване на атаки с груба сила, използвайки списък с пароли, предоставен от C2 сървъра
Сложна заплаха за macOS
С множество механизми за запазване на данни, гъвкави комуникационни протоколи и модулна рамка, CHILLYHELL се откроява като необичайно сложен зловреден софтуер за macOS. Функции като прекъсване на времето и разбиване на пароли го отличават от типичните заплахи, наблюдавани в средата на платформата.
Една тревожна подробност е, че зловредният софтуер е бил нотариално заверен от Apple, което доказва, че не целият нотариално заверен софтуер е безопасен. Това подчертава необходимостта потребителите и организациите да останат бдителни и да не разчитат единствено на подписване на код или нотариална заверка като показатели за надеждност.
