قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار مک CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

تا Mezo در بدافزار مک, درهای پشتی
ترجمه به:

کارشناسان امنیت سایبری یک خانواده بدافزار جدید را کشف کرده‌اند که اکوسیستم macOS اپل را هدف قرار می‌دهد. این بدافزار که CHILLYHELL نام دارد، یک در پشتی ماژولار است که به دلیل انعطاف‌پذیری و روش‌های پیشرفته ماندگاری، نگرانی‌های جدی را برانگیخته است.

ریشه‌ها و انتساب

CHILLYHELL به یک خوشه تهدید طبقه‌بندی نشده با برچسب UNC4487 مرتبط شده است که گمان می‌رود حداقل از اکتبر 2022 فعال باشد. گزارش‌های اطلاعاتی نشان می‌دهد که این گروه احتمالاً یک عامل جاسوسی است. عملیات آن شامل نفوذ به وب‌سایت‌های نهادهای دولتی اوکراین و فریب بازدیدکنندگان برای اجرای بدافزار Matanbuchus یا CHILLYHELL است.

پیشینه فنی

این درِ پشتی با زبان ++C نوشته شده و برای اجرا روی سیستم‌های macOS مبتنی بر اینتل طراحی شده است. یک نمونه CHILLYHELL که به تازگی کشف شده و مربوط به ۲ مه ۲۰۲۵ است، نشان داد که این بدافزار در سال ۲۰۲۱ توسط اپل تأیید شده و از آن زمان به طور عمومی در دراپ‌باکس میزبانی شده است. پس از این کشف، اپل گواهینامه‌های توسعه‌دهندگان مربوطه را لغو کرد.

مکانیسم‌های عفونت و ماندگاری

پس از استقرار در سیستم قربانی، CHILLYHELL پروفایل‌بندی گسترده‌ای از میزبان انجام می‌دهد و سپس با استفاده از سه روش متمایز، پایداری خود را برقرار می‌کند. پس از آن، از طریق HTTP یا DNS با یک سرور فرمان و کنترل (C2) که به صورت کد ثابت نوشته شده است، تماس می‌گیرد و برای دریافت دستورالعمل‌ها وارد یک حلقه فرمان می‌شود.

راه‌اندازی پایداری شامل چندین استراتژی است:

  • نصب خود به عنوان LaunchAgent یا LaunchDaemon سیستم
  • اصلاح پروفایل‌های پوسته مانند ‎.zshrc‎، ‎.bash_profile‎ یا ‎.profile‎ برای درج یک دستور راه‌اندازی

فرار از طریق زمانبندی

یک تکنیک فرار قابل توجه، استفاده CHILLYHELL از timestomping است که مهرهای زمانی فایل‌های مخرب را تغییر می‌دهد تا با مصنوعات سیستم قانونی ترکیب شود. اگر فراخوانی‌های مستقیم سیستم به دلیل امتیازات ناکافی امکان‌پذیر نباشد، بدافزار به طور پیش‌فرض از دستورات shell مانند موارد زیر استفاده می‌کند:

  • ‎touch -c -a -t‎ (برای تغییر زمان دسترسی)
  • ‎touch -c -m -t‎ (برای تنظیم زمان اصلاح)

هر دو دستور شامل یک رشته مهر زمانی با تاریخ معکوس هستند تا از سوءظن جلوگیری شود.

قابلیت‌های فرماندهی

طراحی ماژولار CHILLYHELL طیف گسترده‌ای از عملکردها را در اختیار اپراتورها قرار می‌دهد. از جمله دستورات پشتیبانی شده می‌توان به موارد زیر اشاره کرد:

  • اجرای یک شل معکوس به سرور C2
  • دانلود نسخه‌های به‌روز شده بدافزار
  • بازیابی و اجرای پیلودهای اضافی
  • اجرای ماژول ModuleSUBF برای شمارش حساب‌های کاربری از /etc/passwd
  • انجام حملات جستجوی فراگیر با استفاده از فهرست رمزهای عبور ارائه شده توسط سرور C2

یک تهدید پیچیده برای macOS

با مکانیسم‌های پایداری چندگانه، پروتکل‌های ارتباطی متنوع و یک چارچوب ماژولار، CHILLYHELL به عنوان یک بدافزار macOS غیرمعمول و پیچیده شناخته می‌شود. ویژگی‌هایی مانند زمان‌سنجی و شکستن رمز عبور، آن را از تهدیدات معمولی که در چشم‌انداز این پلتفرم دیده می‌شود، متمایز می‌کند.

یکی از جزئیات نگران‌کننده این است که این بدافزار توسط اپل تأیید شده است، که ثابت می‌کند همه نرم‌افزارهای تأیید شده توسط اپل ایمن نیستند. این موضوع، نیاز کاربران و سازمان‌ها را به هوشیاری و عدم تکیه صرف بر امضای کد یا تأییدیه به عنوان شاخص‌های قابل اعتماد بودن، برجسته می‌کند.

پرطرفدار

Miaiw Qoaks by Suproa Tm Asjs

برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
محافظت از دستگاه شما در برابر برنامه‌های مزاحم برای تضمین امنیت و عملکرد آن حیاتی است. در میان بسیاری از برنامه‌های ناخواسته (PUP) که توسط کارشناسان امنیت سایبری مورد تجزیه و تحلیل قرار گرفته‌اند،...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,407
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...