Rabattilbud med flere licenser
Trusseldatabase Mac Malware CHILLYHELL MacOS Bagdør

CHILLYHELL MacOS Bagdør

Med Mezo i Mac Malware, Bagdøre
Oversæt til:

Cybersikkerhedseksperter har afdækket en ny malwarefamilie, der er rettet mod Apples macOS-økosystem. Den beskrives som en modulær bagdør kaldet CHILLYHELL, der giver anledning til alvorlig bekymring på grund af dens fleksibilitet og avancerede vedholdenhedsmetoder.

Oprindelse og tilskrivning

CHILLYHELL er blevet forbundet med en ukategoriseret trusselsklynge mærket UNC4487, som menes at have været aktiv siden mindst oktober 2022. Efterretningsrapporter tyder på, at gruppen sandsynligvis er en spionageaktør. Dens operationer omfatter kompromittering af ukrainske regeringsenheders hjemmesider og narring af besøgende til at køre enten Matanbuchus- eller CHILLYHELL-malware.

Teknisk baggrund

Bagdøren er skrevet i C++ og designet til at køre på Intel-baserede macOS-systemer. En nyligt opdaget CHILLYHELL-prøve, dateret 2. maj 2025, afslørede, at malwaren var blevet notariseret af Apple i 2021 og siden da blevet hostet offentligt på Dropbox. Efter denne opdagelse tilbagekaldte Apple de tilhørende udviklercertifikater.

Infektions- og persistensmekanismer

Når CHILLYHELL er installeret på et offers system, udfører den omfattende værtsprofilering og etablerer derefter persistens ved hjælp af tre forskellige metoder. Derefter kontakter den en hardcoded command-and-control (C2) server via HTTP eller DNS og går ind i en kommandoløkke for at modtage instruktioner.

Persistensopsætningen involverer flere strategier:

  • Installation af sig selv som en LaunchAgent eller system LaunchDaemon
  • Ændring af shell-profiler såsom .zshrc, .bash_profile eller .profile for at indsætte en startkommando

Undvigelse gennem tidsfordriv

En særlig bemærkelsesværdig undvigelsesteknik er CHILLYHELLs brug af timestamping, som ændrer tidsstemplerne på ondsindede filer, så de blandes med legitime systemartefakter. Hvis direkte systemkald ikke er mulige på grund af utilstrækkelige rettigheder, bruger malwaren som standard shell-kommandoer såsom:

  • touch -c -a -t (til ændring af adgangstid)
  • tryk på -c -m -t (til justering af ændringstidspunkt)

Begge kommandoer inkluderer en tilbagedateret tidsstempelstreng for at undgå mistanke.

Kommandofunktioner

CHILLYHELLs modulære design giver operatører en bred vifte af funktioner. Blandt de understøttede kommandoer er:

  • Start af en reverse shell til C2-serveren
  • Download af opdaterede malwareversioner
  • Hentning og udførelse af yderligere nyttelast
  • Kørsel af ModuleSUBF-modulet for at opregne brugerkonti fra /etc/passwd
  • Udførelse af brute-force-angreb ved hjælp af en adgangskodeliste leveret af C2-serveren

En sofistikeret macOS-trussel

Med flere persistensmekanismer, alsidige kommunikationsprotokoller og et modulært framework skiller CHILLYHELL sig ud som en usædvanligt sofistikeret macOS-malware. Funktioner som timestomping og adgangskodeknækket software adskiller den fra typiske trusler, der ses i platformens landskab.

En alarmerende detalje er, at malwaren blev notariseret af Apple, hvilket beviser, at ikke al notariseret software er sikker. Dette understreger behovet for, at brugere og organisationer forbliver årvågne og ikke udelukkende stoler på kodesignering eller notarisering som indikatorer for troværdighed.

Trending

Mest sete

Indlæser...