Ponuda s popustom na više licenci
Baza prijetnji Zlonamjerni softver za Mac CHILLYHELL MacOS stražnja vrata

CHILLYHELL MacOS stražnja vrata

Do Mezo. Zlonamjerni softver za Mac, Stražnja vrata. godine
Prevedi na:

Stručnjaci za kibernetičku sigurnost otkrili su novu obitelj zlonamjernog softvera koja cilja Appleov macOS ekosustav. Opisan je kao modularni backdoor nazvan CHILLYHELL, koji izaziva ozbiljnu zabrinutost zbog svoje fleksibilnosti i naprednih metoda perzistentnosti.

Podrijetlo i pripisivanje

CHILLYHELL je povezan s nekategoriziranim klasterom prijetnji označenim UNC4487, za koji se vjeruje da je aktivan barem od listopada 2022. Obavještajna izvješća sugeriraju da je grupa vjerojatno špijunski akter. Njihove operacije uključuju kompromitiranje web stranica ukrajinskih vladinih subjekata i navođenje posjetitelja na pokretanje zlonamjernog softvera Matanbuchus ili CHILLYHELL.

Tehnička pozadina

Stražnja vrata napisana su u C++ i dizajnirana za rad na macOS sustavima temeljenim na Intelu. Novootkriveni uzorak CHILLYHELL-a, datiran 2. svibnja 2025., otkrio je da je zlonamjerni softver ovjerio Apple 2021. godine i od tada javno hostiran na Dropboxu. Nakon ovog otkrića, Apple je opozvao povezane certifikate razvojnih programera.

Mehanizmi infekcije i perzistencije

Nakon što se instalira na sustav žrtve, CHILLYHELL provodi opsežno profiliranje hosta, a zatim uspostavlja postojanost pomoću tri različite metode. Nakon toga, kontaktira čvrsto kodirani poslužitelj za naredbe i kontrolu (C2) putem HTTP-a ili DNS-a i ulazi u naredbenu petlju za primanje uputa.

Postavljanje perzistencije uključuje više strategija:

  • Instalira se kao LaunchAgent ili sistemski LaunchDaemon
  • Izmjena profila ljuske kao što su .zshrc, .bash_profile ili .profile za umetanje naredbe za pokretanje

Izbjegavanje kroz gaženje vremena

Posebno značajna tehnika izbjegavanja je CHILLYHELL-ovo korištenje vremenskog označavanja, koje mijenja vremenske oznake zlonamjernih datoteka kako bi se stopile s legitimnim sistemskim artefaktima. Ako izravni sistemski pozivi nisu mogući zbog nedovoljnih privilegija, zlonamjerni softver prema zadanim postavkama koristi shell naredbe kao što su:

  • touch -c -a -t (za promjenu vremena pristupa)
  • touch -c -m -t (za podešavanje vremena modifikacije)

Obje naredbe uključuju niz vremenske oznake s retroaktivnim datumom kako bi se izbjegla sumnja.

Zapovjedne sposobnosti

CHILLYHELL-ov modularni dizajn pruža operaterima širok raspon funkcija. Među podržanim naredbama su:

  • Pokretanje obrnute ljuske na C2 poslužitelj
  • Preuzimanje ažuriranih verzija zlonamjernog softvera
  • Dohvaćanje i izvršavanje dodatnih korisnih tereta
  • Pokretanje modula ModuleSUBF za nabrajanje korisničkih računa iz /etc/passwd
  • Izvođenje napada grubom silom korištenjem popisa lozinki koje je dostavio C2 poslužitelj

Sofisticirana prijetnja za macOS

S višestrukim mehanizmima perzistencije, svestranim komunikacijskim protokolima i modularnim okvirom, CHILLYHELL se ističe kao neobično sofisticirani zlonamjerni softver za macOS. Značajke poput vremenskog označavanja i probijanja lozinki izdvajaju ga od tipičnih prijetnji koje se viđaju na platformi.

Jedan alarmantan detalj je da je zlonamjerni softver ovjerio Apple, što dokazuje da nije sav ovjereni softver siguran. To naglašava potrebu da korisnici i organizacije ostanu oprezni i da se ne oslanjaju isključivo na potpisivanje koda ili ovjeru kao pokazatelje pouzdanosti.

U trendu

Nagledanije

Učitavam...