CHILLYHELL MacOS hátsó ajtó
Kiberbiztonsági szakértők egy új kártevőcsaládot fedeztek fel, amely az Apple macOS ökoszisztémáját veszi célba. A kártevőt egy CHILLYHELL névre keresztelt moduláris hátsó ajtóként írják le, amely rugalmassága és fejlett biztonsági módszerei miatt komoly aggodalmakat kelt.
Tartalomjegyzék
Eredet és hozzárendelés
A CHILLYHELL csoportot egy UNC4487 azonosítójú, besorolatlan fenyegetéscsoporthoz kapcsolták, amelyről úgy vélik, hogy legalább 2022 októbere óta aktív. A hírszerzési jelentések szerint a csoport valószínűleg kémkedéssel foglalkozik. Tevékenysége magában foglalja az ukrán kormányzati szervek weboldalainak feltörését és a látogatók rávevését a Matanbuchus vagy a CHILLYHELL rosszindulatú programok futtatására.
Műszaki háttér
A hátsó ajtó C++ nyelven íródott, és Intel alapú macOS rendszereken való futtatásra tervezték. Egy újonnan felfedezett, 2025. május 2-i keltezésű CHILLYHELL minta feltárta, hogy a rosszindulatú programot az Apple 2021-ben hitelesítette, és azóta nyilvánosan tárolja a Dropboxon. A felfedezést követően az Apple visszavonta a kapcsolódó fejlesztői tanúsítványokat.
Fertőzés és perzisztencia mechanizmusok
Miután a CHILLYHELL telepítve van az áldozat rendszerére, kiterjedt host profilalkotást végez, majd három különböző módszerrel létrehozza az állandó hozzáférést. Ezt követően HTTP vagy DNS kapcsolaton keresztül kapcsolatba lép egy fixen kódolt parancs-és-vezérlő (C2) szerverrel, és egy parancsciklusba lép az utasítások fogadása érdekében.
A kitartás beállítása több stratégiát foglal magában:
- Telepíti magát LaunchAgentként vagy rendszer LaunchDaemonként
- Shell profilok, például .zshrc, .bash_profile vagy .profile módosítása indítási parancs beszúrásához
Időzítéssel való kibúvás
Egy különösen figyelemre méltó kitérési technika a CHILLYHELL időbélyegző használata, amely megváltoztatja a rosszindulatú fájlok időbélyegeit, hogy azok illeszkedjenek a legitim rendszerösszetevőkhöz. Ha a közvetlen rendszerhívások nem lehetségesek a nem megfelelő jogosultságok miatt, a rosszindulatú program alapértelmezés szerint shell parancsokat használ, például:
- touch -c -a -t (hozzáférési idő módosításához)
- touch -c -m -t (a módosítási idő beállításához)
Mindkét parancs tartalmaz egy visszadátumozott időbélyeg-karakterláncot a gyanú elkerülése érdekében.
Parancsnoki képességek
A CHILLYHELL moduláris felépítése széleskörű funkciókat kínál a kezelőknek. A támogatott parancsok közé tartoznak:
- Fordított shell indítása a C2 szerverre
- Frissített kártevő verziók letöltése
- További hasznos adatok lekérése és végrehajtása
- A ModuleSUBF modul futtatása a felhasználói fiókok felsorolásához az /etc/passwd fájlból
- Nyers erővel végrehajtott támadások a C2 szerver által biztosított jelszólista használatával
Kifinomult macOS fenyegetés
Többszörös megmaradási mechanizmusával, sokoldalú kommunikációs protokolljaival és moduláris keretrendszerével a CHILLYHELL szokatlanul kifinomult macOS kártevőként tűnik ki. Az olyan funkciók, mint az időbélyegzés és a jelszófeltörés, megkülönböztetik a platform környezetében található tipikus fenyegetésektől.
Egy riasztó részlet, hogy a rosszindulatú programot az Apple hitelesítette, ami azt bizonyítja, hogy nem minden hitelesített szoftver biztonságos. Ez rávilágít arra, hogy a felhasználóknak és a szervezeteknek továbbra is ébernek kell lenniük, és nem szabad kizárólag a kódaláírásra vagy a hitelesítésre hagyatkozniuk a megbízhatóság mutatójaként.
