CHILLYHELL MacOS Backdoor

সাইবার নিরাপত্তা বিশেষজ্ঞরা অ্যাপলের ম্যাকওএস ইকোসিস্টেমকে লক্ষ্য করে একটি নতুন ম্যালওয়্যার পরিবার আবিষ্কার করেছেন। এটিকে চিলিহেল নামে একটি মডুলার ব্যাকডোর হিসাবে বর্ণনা করা হয়েছে, যা এর নমনীয়তা এবং উন্নত স্থায়িত্ব পদ্ধতির কারণে গুরুতর উদ্বেগ তৈরি করছে।

উৎপত্তি এবং বৈশিষ্ট্য

চিলিহেলকে UNC4487 লেবেলযুক্ত একটি অশ্রেণীবদ্ধ হুমকি গোষ্ঠীর সাথে যুক্ত করা হয়েছে, যা কমপক্ষে ২০২২ সালের অক্টোবর থেকে সক্রিয় বলে মনে করা হচ্ছে। গোয়েন্দা প্রতিবেদনে দেখা গেছে যে এই গোষ্ঠীটি সম্ভবত একটি গুপ্তচরবৃত্তির কারিগর। এর কার্যক্রমের মধ্যে রয়েছে ইউক্রেনীয় সরকারি সংস্থার ওয়েবসাইটের সাথে আপস করা এবং দর্শকদের মাতানবুচাস বা চিলিহেল ম্যালওয়্যার কার্যকর করার জন্য প্রতারণা করা।

প্রযুক্তিগত পটভূমি

ব্যাকডোরটি C++ এ লেখা এবং ইন্টেল-ভিত্তিক ম্যাকওএস সিস্টেমে চালানোর জন্য ডিজাইন করা হয়েছে। ২ মে, ২০২৫ তারিখের একটি নতুন আবিষ্কৃত CHILLYHELL নমুনা প্রকাশ করে যে ম্যালওয়্যারটি ২০২১ সালে অ্যাপল দ্বারা নোটারিকৃত হয়েছিল এবং তারপর থেকে ড্রপবক্সে সর্বজনীনভাবে হোস্ট করা হয়েছিল। এই আবিষ্কারের পর, অ্যাপল সংশ্লিষ্ট ডেভেলপার সার্টিফিকেট বাতিল করে।

সংক্রমণ এবং স্থায়িত্ব প্রক্রিয়া

একবার ভিকটিম সিস্টেমে স্থাপন করা হলে, CHILLYHELL বিস্তৃত হোস্ট প্রোফাইলিং সম্পাদন করে এবং তারপর তিনটি স্বতন্ত্র পদ্ধতি ব্যবহার করে স্থায়িত্ব স্থাপন করে। পরবর্তীতে, এটি HTTP বা DNS এর মাধ্যমে একটি হার্ড-কোডেড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করে এবং নির্দেশাবলী গ্রহণের জন্য একটি কমান্ড লুপে প্রবেশ করে।

স্থায়িত্ব সেটআপে একাধিক কৌশল জড়িত:

• নিজেকে LaunchAgent বা সিস্টেম LaunchDaemon হিসেবে ইনস্টল করা হচ্ছে
• লঞ্চ কমান্ড সন্নিবেশ করার জন্য .zshrc, .bash_profile, অথবা .profile এর মতো শেল প্রোফাইল পরিবর্তন করা

টাইমস্টম্পিংয়ের মাধ্যমে ফাঁকি দেওয়া

একটি বিশেষভাবে উল্লেখযোগ্য ফাঁকি দেওয়ার কৌশল হল CHILLYHELL-এর টাইমস্টম্পিং ব্যবহার, যা বৈধ সিস্টেম আর্টিফ্যাক্টের সাথে মিশে যাওয়ার জন্য ক্ষতিকারক ফাইলের টাইমস্ট্যাম্প পরিবর্তন করে। অপর্যাপ্ত সুবিধার কারণে যদি সরাসরি সিস্টেম কল সম্ভব না হয়, তাহলে ম্যালওয়্যার ডিফল্টভাবে শেল কমান্ড ব্যবহার করে যেমন:

• touch -c -a -t (অ্যাক্সেস টাইম পরিবর্তনের জন্য)
• স্পর্শ -c -m -t (পরিবর্তনের সময় সমন্বয়ের জন্য)

সন্দেহ এড়াতে উভয় কমান্ডেই একটি ব্যাকডেটেড টাইমস্ট্যাম্প স্ট্রিং অন্তর্ভুক্ত রয়েছে।

কমান্ড ক্ষমতা

CHILLYHELL এর মডুলার ডিজাইন অপারেটরদের বিস্তৃত ফাংশন প্রদান করে। সমর্থিত কমান্ডগুলির মধ্যে রয়েছে:

• C2 সার্ভারে একটি বিপরীত শেল চালু করা হচ্ছে
• আপডেট করা ম্যালওয়্যার সংস্করণ ডাউনলোড করা হচ্ছে
• অতিরিক্ত পেলোড উদ্ধার এবং কার্যকর করা
• /etc/passwd থেকে ব্যবহারকারীর অ্যাকাউন্ট গণনা করার জন্য ModuleSUBF মডিউল চালানো
• C2 সার্ভার দ্বারা সরবরাহিত পাসওয়ার্ড তালিকা ব্যবহার করে ব্রুট-ফোর্স আক্রমণ করা

একটি অত্যাধুনিক macOS হুমকি

একাধিক নিরপেক্ষতা ব্যবস্থা, বহুমুখী যোগাযোগ প্রোটোকল এবং একটি মডুলার কাঠামোর সাথে, CHILLYHELL একটি অস্বাভাবিকভাবে পরিশীলিত macOS ম্যালওয়্যার হিসাবে দাঁড়িয়েছে। টাইমস্টম্পিং এবং পাসওয়ার্ড ক্র্যাকিংয়ের মতো বৈশিষ্ট্যগুলি এটিকে প্ল্যাটফর্মের ল্যান্ডস্কেপে দেখা সাধারণ হুমকি থেকে আলাদা করে।

একটি উদ্বেগজনক বিষয় হলো, ম্যালওয়্যারটি অ্যাপল-নোটারাইজড ছিল, যা প্রমাণ করে যে সমস্ত নোটারাইজড সফ্টওয়্যার নিরাপদ নয়। এটি ব্যবহারকারী এবং সংস্থাগুলির সতর্ক থাকার এবং বিশ্বাসযোগ্যতার সূচক হিসাবে কেবল কোড-সাইনিং বা নোটারাইজেশনের উপর নির্ভর না করার প্রয়োজনীয়তা তুলে ধরে।