CHILLYHELL MacOS:n takaportti
Kyberturvallisuusasiantuntijat ovat paljastaneet uuden haittaohjelmaperheen, joka hyökkää Applen macOS-ekosysteemiin. Sitä kuvataan modulaariseksi takaportiksi nimeltä CHILLYHELL, ja se herättää vakavia huolenaiheita joustavuutensa ja edistyneiden pysyvyysmenetelmiensä vuoksi.
Sisällysluettelo
Alkuperä ja Attribuutio
CHILLYHELL on yhdistetty luokittelemattomaan uhkaryppääseen UNC4487, jonka uskotaan olleen aktiivinen ainakin lokakuusta 2022 lähtien. Tiedusteluraporttien mukaan ryhmä on todennäköisesti vakoilutoimija. Sen toimintaan kuuluu Ukrainan hallituksen yksiköiden verkkosivustojen vaarantaminen ja kävijöiden huijaaminen suorittamaan joko Matanbuchus- tai CHILLYHELL-haittaohjelmia.
Tekninen tausta
Takaovi on kirjoitettu C++:lla ja suunniteltu toimimaan Intel-pohjaisissa macOS-järjestelmissä. Äskettäin löydetty CHILLYHELL-näyte, päivätty 2. toukokuuta 2025, paljasti, että Apple oli vahvistanut haittaohjelman vuonna 2021 ja että sitä oli siitä lähtien isännöity julkisesti Dropboxissa. Tämän löydön jälkeen Apple peruutti siihen liittyvät kehittäjäsertifikaatit.
Infektio- ja pysyvyysmekanismit
Kun CHILLYHELL on asennettu uhrin järjestelmään, se suorittaa laajan isäntäprofiloinnin ja muodostaa pysyvyyden kolmella eri menetelmällä. Tämän jälkeen se ottaa yhteyden kiinteästi koodattuun komento- ja hallintapalvelimeen (C2) HTTP:n tai DNS:n kautta ja siirtyy komentosilmukkaan vastaanottaakseen ohjeita.
Pysyvyysasetus sisältää useita strategioita:
- Asentaa itsensä LaunchAgentiksi tai järjestelmän LaunchDaemoniksi
- Muokkaamalla komentotulkkiprofiileja, kuten .zshrc, .bash_profile tai .profile, käynnistyskomennon lisäämiseksi
Väistäminen ajanlaskun kautta
Erityisen huomionarvoinen väistötekniikka on CHILLYHELLin käyttämä aikaleimaus, joka muuttaa haitallisten tiedostojen aikaleimoja sulautumaan yhteen laillisten järjestelmätiedostojen kanssa. Jos suorat järjestelmäkutsuja ei voida tehdä riittämättömien käyttöoikeuksien vuoksi, haittaohjelma käyttää oletusarvoisesti komentokehotuksia, kuten:
- touch -c -a -t (käyttöajan muokkaamiseen)
- touch -c -m -t (muokkausajan säätöä varten)
Molemmat komennot sisältävät takautuvasti päivätyn aikaleimamerkkijonon epäilysten välttämiseksi.
Komentokyvyt
CHILLYHELLin modulaarinen rakenne tarjoaa käyttäjille laajan valikoiman toimintoja. Tuettuihin komentoihin kuuluvat:
- Käänteisen komentotulkin käynnistäminen C2-palvelimelle
- Päivitettyjen haittaohjelmaversioiden lataaminen
- Lisähyötykuormien hakeminen ja suorittaminen
- ModuleSUBF-moduulin suorittaminen käyttäjätilien luetteloimiseksi tiedostosta /etc/passwd
- Suoritetaan raa'an voiman hyökkäyksiä C2-palvelimen toimittaman salasanalistan avulla
Hienostunut macOS-uhka
Useiden pysyvyysmekanismien, joustavien kommunikaatioprotokollien ja modulaarisen kehyksen ansiosta CHILLYHELL erottuu epätavallisen hienostuneena macOS-haittaohjelmana. Ominaisuudet, kuten aikaleikkaukset ja salasanan murtaminen, erottavat sen alustan tyypillisistä uhkista.
Yksi hälyttävä yksityiskohta on, että haittaohjelma oli Applen notaarisesti vahvistama, mikä osoittaa, että kaikki notaarisesti vahvistetut ohjelmistot eivät ole turvallisia. Tämä korostaa, että käyttäjien ja organisaatioiden on pysyttävä valppaina eivätkä pidä luottaa pelkästään koodin allekirjoittamiseen tai notaariseen vahvistukseen luotettavuuden indikaattoreina.
