CHILLYHELL MacOS-i tagauks
Küberjulgeolekueksperdid on avastanud uue pahavara perekonna, mis on suunatud Apple'i macOS-i ökosüsteemile. Seda kirjeldatakse modulaarse tagauksena nimega CHILLYHELL, mis tekitab oma paindlikkuse ja täiustatud püsivusmeetodite tõttu tõsiseid probleeme.
Sisukord
Päritolu ja omistamine
CHILLYHELL on seostatud kategoriseerimata ohuklastriga UNC4487, mis arvatakse olevat aktiivne vähemalt alates 2022. aasta oktoobrist. Luurearuanded viitavad sellele, et rühmitus on tõenäoliselt spionaažitegelane. Selle tegevus hõlmab Ukraina valitsusasutuste veebisaitide ohtu seadmist ja külastajate petmist Matanbuchuse või CHILLYHELLi pahavara käivitamiseks.
Tehniline taust
Tagauks on kirjutatud C++ keeles ja loodud töötama Inteli-põhistel macOS-süsteemidel. Äsja avastatud CHILLYHELLi näidis, dateeritud 2. mail 2025, näitas, et pahavara oli Apple'i poolt 2021. aastal notariaalselt kinnitatud ja sellest ajast alates avalikult Dropboxis majutatud. Pärast seda avastust tühistas Apple seotud arendajasertifikaadid.
Nakkus- ja püsivusmehhanismid
Kui CHILLYHELL on ohvri süsteemi juurutatud, teostab see ulatusliku hostiprofiilimise ja seejärel loob püsivuse kolme erineva meetodi abil. Seejärel võtab see HTTP või DNS-i kaudu ühendust kõvakodeeritud käsklus- ja juhtimisserveriga (C2) ja siseneb käskluste tsüklisse juhiste saamiseks.
Püsivuse seadistamine hõlmab mitut strateegiat:
- Enda installimine LaunchAgendina või süsteemi LaunchDaemonina
- Shelli profiilide (nt .zshrc, .bash_profile või .profile) muutmine käivituskäsu lisamiseks
Ajatrampimise kaudu kõrvalehoidumine
Eriti tähelepanuväärne kõrvalehoidumistehnika on CHILLYHELLI ajatempli kasutamine, mis muudab pahatahtlike failide ajatempleid, et need sulanduksid õigustatud süsteemiartefaktidega. Kui otsesed süsteemikõned pole ebapiisavate õiguste tõttu võimalikud, kasutab pahavara vaikimisi järgmisi käske:
- touch -c -a -t (juurdepääsu aja muutmiseks)
- touch -c -m -t (muutmisaja reguleerimiseks)
Mõlemad käsud sisaldavad kahtluste vältimiseks tagasiulatuvat ajatempli stringi.
Käsklusvõimed
CHILLYHELLI modulaarne disain pakub operaatoritele laia valikut funktsioone. Toetatud käskude hulgas on:
- C2 serverile pöördkesta käivitamine
- Uuendatud pahavara versioonide allalaadimine
- Lisakoormuste hankimine ja käivitamine
- Mooduli ModuleSUBF käivitamine kasutajakontode loendamiseks failist /etc/passwd
- Jõurünnakute sooritamine C2 serveri pakutava parooliloendi abil
Keerukas macOS-i oht
Mitme püsivusmehhanismi, mitmekülgsete sideprotokollide ja modulaarse raamistikuga paistab CHILLYHELL silma ebatavaliselt keeruka macOS-i pahavarana. Sellised funktsioonid nagu ajatempli avamine ja paroolide murdmine eristavad seda platvormi maastikul esinevatest tüüpilistest ohtudest.
Üks murettekitav detail on see, et pahavara oli Apple'i notariaalselt kinnitatud, mis tõestab, et mitte kõik notariaalselt kinnitatud tarkvara pole ohutu. See rõhutab vajadust, et kasutajad ja organisatsioonid jääksid valvsaks ega lootksid usaldusväärsuse näitajana ainult koodiallkirjastamisele või notariaalsele kinnitusele.
