CHILLYHELL MacOS Backdoor
Ειδικοί στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα οικογένεια κακόβουλου λογισμικού που στοχεύει το οικοσύστημα macOS της Apple. Περιγράφεται ως ένα αρθρωτό backdoor με την ονομασία CHILLYHELL, το οποίο εγείρει σοβαρές ανησυχίες λόγω της ευελιξίας και των προηγμένων μεθόδων επιμονής του.
Πίνακας περιεχομένων
Προέλευση και Απόδοση
Το CHILLYHELL έχει συνδεθεί με ένα μη κατηγοριοποιημένο σύμπλεγμα απειλών με την ονομασία UNC4487, το οποίο πιστεύεται ότι είναι ενεργό τουλάχιστον από τον Οκτώβριο του 2022. Οι αναφορές των μυστικών υπηρεσιών υποδηλώνουν ότι η ομάδα είναι πιθανό να είναι κατασκοπευτική. Οι δραστηριότητές της περιλαμβάνουν την παραβίαση ιστοσελίδων ουκρανικών κυβερνητικών φορέων και την εξαπάτηση των επισκεπτών ώστε να εκτελέσουν κακόβουλο λογισμικό Matanbuchus ή CHILLYHELL.
Τεχνικό υπόβαθρο
Το backdoor είναι γραμμένο σε C++ και έχει σχεδιαστεί για να λειτουργεί σε συστήματα macOS που βασίζονται στην Intel. Ένα πρόσφατα ανακαλυφθέν δείγμα CHILLYHELL, με ημερομηνία 2 Μαΐου 2025, αποκάλυψε ότι το κακόβουλο λογισμικό είχε πιστοποιηθεί από την Apple το 2021 και έκτοτε φιλοξενούνταν δημόσια στο Dropbox. Μετά από αυτήν την ανακάλυψη, η Apple ανακάλεσε τα σχετικά πιστοποιητικά προγραμματιστή.
Μηχανισμοί μόλυνσης και επιμονής
Μόλις αναπτυχθεί στο σύστημα ενός θύματος, το CHILLYHELL εκτελεί εκτεταμένη δημιουργία προφίλ κεντρικού υπολογιστή και στη συνέχεια δημιουργεί persistence χρησιμοποιώντας τρεις ξεχωριστές μεθόδους. Στη συνέχεια, επικοινωνεί με έναν ενσωματωμένο διακομιστή εντολών και ελέγχου (C2) μέσω HTTP ή DNS και εισέρχεται σε έναν βρόχο εντολών για να λάβει οδηγίες.
Η ρύθμιση της επιμονής περιλαμβάνει πολλαπλές στρατηγικές:
- Εγκατάσταση ως LaunchAgent ή LaunchDaemon συστήματος
- Τροποποίηση προφίλ κελύφους όπως .zshrc, .bash_profile ή .profile για την εισαγωγή μιας εντολής εκκίνησης
Διαφυγή μέσω του Timestomping
Μια ιδιαίτερα αξιοσημείωτη τεχνική αποφυγής είναι η χρήση timestomping από την CHILLYHELL, η οποία τροποποιεί τις χρονικές σημάνσεις κακόβουλων αρχείων ώστε να ενσωματώνονται με νόμιμα συστημικά αντικείμενα. Εάν οι άμεσες κλήσεις συστήματος δεν είναι δυνατές λόγω ανεπαρκών δικαιωμάτων, το κακόβουλο λογισμικό χρησιμοποιεί από προεπιλογή εντολές shell όπως:
- touch -c -a -t (για τροποποίηση χρόνου πρόσβασης)
- touch -c -m -t (για ρύθμιση χρόνου τροποποίησης)
Και οι δύο εντολές περιλαμβάνουν μια αναδρομική συμβολοσειρά χρονικής σήμανσης για την αποφυγή υποψιών.
Δυνατότητες Διοίκησης
Ο αρθρωτός σχεδιασμός του CHILLYHELL παρέχει στους χειριστές ένα ευρύ φάσμα λειτουργιών. Μεταξύ των υποστηριζόμενων εντολών είναι:
- Εκκίνηση ενός reverse shell στον διακομιστή C2
- Λήψη ενημερωμένων εκδόσεων κακόβουλου λογισμικού
- Ανάκτηση και εκτέλεση πρόσθετων ωφέλιμων φορτίων
- Εκτέλεση της ενότητας ModuleSUBF για την απαρίθμηση λογαριασμών χρηστών από το /etc/passwd
- Εκτέλεση επιθέσεων brute-force χρησιμοποιώντας μια λίστα κωδικών πρόσβασης που παρέχεται από τον διακομιστή C2
Μια εξελιγμένη απειλή για το macOS
Με πολλαπλούς μηχανισμούς διατήρησης, ευέλικτα πρωτόκολλα επικοινωνίας και ένα αρθρωτό πλαίσιο, το CHILLYHELL ξεχωρίζει ως ένα ασυνήθιστα εξελιγμένο κακόβουλο λογισμικό macOS. Χαρακτηριστικά όπως το timestomping και το spaking κωδικών πρόσβασης το διαφοροποιούν από τις τυπικές απειλές που παρατηρούνται στο τοπίο της πλατφόρμας.
Μια ανησυχητική λεπτομέρεια είναι ότι το κακόβουλο λογισμικό ήταν πιστοποιημένο από την Apple, αποδεικνύοντας ότι δεν είναι ασφαλές όλο το πιστοποιημένο λογισμικό. Αυτό υπογραμμίζει την ανάγκη οι χρήστες και οι οργανισμοί να παραμένουν σε εγρήγορση και να μην βασίζονται αποκλειστικά στην υπογραφή κώδικα ή την επικύρωση κώδικα ως δείκτες αξιοπιστίας.
