CHILLYHELL MacOS Backdoor

អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញមេរោគថ្មីដែលផ្តោតលើប្រព័ន្ធអេកូ macOS របស់ Apple។ វាត្រូវបានពិពណ៌នាថាជាម៉ូឌុលខាងក្រោយដែលគេឱ្យឈ្មោះថា CHILLYHELL ដែលកំពុងបង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំងដោយសារតែភាពបត់បែនរបស់វា និងវិធីសាស្ត្រតស៊ូកម្រិតខ្ពស់។

ប្រភពដើម និងគុណលក្ខណៈ

CHILLYHELL ត្រូវបានភ្ជាប់ទៅនឹងចង្កោមការគំរាមកំហែងដែលមិនត្រូវបានចាត់ថ្នាក់ដែលមានស្លាក UNC4487 ដែលត្រូវបានគេជឿថាមានសកម្មភាពចាប់តាំងពីខែតុលាឆ្នាំ 2022។ របាយការណ៍ស៊ើបការណ៍បានណែនាំថាក្រុមនេះទំនងជាតួអង្គចារកម្ម។ ប្រតិបត្តិការរបស់វារួមមានការសម្របសម្រួលគេហទំព័ររបស់អង្គភាពរដ្ឋាភិបាលអ៊ុយក្រែន និងបញ្ឆោតអ្នកទស្សនាឱ្យប្រតិបត្តិមេរោគ Matanbuchus ឬ CHILLYHELL ។

ផ្ទៃខាងក្រោយបច្ចេកទេស

Backdoor ត្រូវបានសរសេរជា C++ និងត្រូវបានរចនាឡើងដើម្បីដំណើរការលើប្រព័ន្ធ macOS ដែលមានមូលដ្ឋានលើ Intel ។ គំរូ CHILLYHELL ដែលទើបរកឃើញថ្មី ចុះថ្ងៃទី 2 ខែឧសភា ឆ្នាំ 2025 បានបង្ហាញថា មេរោគនេះត្រូវបានសម្គាល់ដោយ Apple ក្នុងឆ្នាំ 2021 ហើយបង្ហោះជាសាធារណៈនៅលើ Dropbox តាំងពីពេលនោះមក។ បន្ទាប់ពីការរកឃើញនេះ Apple បានដកហូតវិញ្ញាបនបត្រអ្នកអភិវឌ្ឍន៍ដែលពាក់ព័ន្ធ។

យន្តការនៃការឆ្លង និងការតស៊ូ

នៅពេលដែលត្រូវបានដាក់ពង្រាយនៅលើប្រព័ន្ធជនរងគ្រោះ CHILLYHELL អនុវត្តទម្រង់ម៉ាស៊ីនយ៉ាងទូលំទូលាយ ហើយបន្ទាប់មកបង្កើតការតស៊ូដោយប្រើវិធីសាស្រ្តបីផ្សេងគ្នា។ បន្ទាប់ពីនោះ វាទាក់ទងទៅម៉ាស៊ីនមេ command-and-control (C2) hard-coded លើ HTTP ឬ DNS ហើយចូលទៅក្នុង command loop ដើម្បីទទួលបានការណែនាំ។

ការ​រៀបចំ​ការ​ជាប់​ពាក់ព័ន្ធ​នឹង​យុទ្ធសាស្ត្រ​ជាច្រើន៖

• ការដំឡើងខ្លួនវាផ្ទាល់ជា LaunchAgent ឬប្រព័ន្ធ LaunchDaemon
• ការកែប្រែទម្រង់សែលដូចជា .zshrc, .bash_profile ឬ .profile ដើម្បីបញ្ចូលពាក្យបញ្ជាចាប់ផ្តើម

ការគេចវេសតាមរយៈពេលវេលា

បច្ចេកទេសគេចវេសដែលគួរឱ្យកត់សម្គាល់ជាពិសេសគឺការប្រើប្រាស់ពេលវេលារបស់ CHILLYHELL ដែលផ្លាស់ប្តូរពេលវេលានៃឯកសារព្យាបាទដើម្បីបញ្ចូលគ្នាជាមួយវត្ថុបុរាណនៃប្រព័ន្ធស្របច្បាប់។ ប្រសិនបើការហៅតាមប្រព័ន្ធដោយផ្ទាល់មិនអាចធ្វើទៅបានដោយសារតែសិទ្ធិមិនគ្រប់គ្រាន់នោះ មេរោគនឹងកំណត់លំនាំដើមទៅនឹងពាក្យបញ្ជាសែលដូចជា៖

• ប៉ះ -c -a -t (សម្រាប់ការកែប្រែពេលវេលាចូលប្រើ)
• ប៉ះ -c -m -t (សម្រាប់ការកែប្រែពេលវេលាកែតម្រូវ)

ពាក្យ​បញ្ជា​ទាំង​ពីរ​រួម​បញ្ចូល​ខ្សែ​អក្សរ​ត្រា​ពេល​វេលា​ដែល​មាន​កាល​បរិច្ឆេទ ដើម្បី​ជៀសវាង​ការ​សង្ស័យ។

សមត្ថភាពបញ្ជា

ការរចនាម៉ូឌុលរបស់ CHILLYHELL ផ្តល់ឱ្យប្រតិបត្តិករនូវមុខងារដ៏ធំទូលាយមួយ។ ក្នុងចំណោមពាក្យបញ្ជាដែលបានគាំទ្រគឺ៖

• បើកដំណើរការសែលបញ្ច្រាសទៅម៉ាស៊ីនមេ C2
• កំពុងទាញយកកំណែមេរោគដែលបានធ្វើបច្ចុប្បន្នភាព
• ការទាញយក និងដំណើរការបន្ទុកបន្ថែម
• កំពុងដំណើរការម៉ូឌុល ModuleSUBF ដើម្បីរាប់បញ្ចូលគណនីអ្នកប្រើប្រាស់ពី /etc/passwd
• ធ្វើការវាយលុកដោយបង្ខំដោយប្រើបញ្ជីពាក្យសម្ងាត់ដែលផ្តល់ដោយម៉ាស៊ីនមេ C2

ការគំរាមកំហែង macOS ទំនើប

ជាមួយនឹងយន្តការជាប់លាប់ជាច្រើន ពិធីការទំនាក់ទំនងដែលអាចប្រើប្រាស់បាន និងក្របខ័ណ្ឌម៉ូឌុល CHILLYHELL លេចធ្លោជាមេរោគ macOS ដែលស្មុគ្រស្មាញខុសពីធម្មតា។ លក្ខណៈពិសេសដូចជាការកំណត់ពេលវេលា និងការបំបែកពាក្យសម្ងាត់កំណត់វាខុសពីការគំរាមកំហែងធម្មតាដែលឃើញនៅក្នុងទិដ្ឋភាពនៃវេទិកា។

ព័ត៌មានលម្អិតគួរឱ្យព្រួយបារម្ភមួយគឺថា មេរោគត្រូវបាន Apple-notarized ដោយបង្ហាញថា មិនមែនកម្មវិធីដែលមានការជូនដំណឹងទាំងអស់មានសុវត្ថិភាពនោះទេ។ នេះបង្ហាញពីតម្រូវការសម្រាប់អ្នកប្រើប្រាស់ និងអង្គការនានាដើម្បីរក្សាការប្រុងប្រយ័ត្ន និងមិនពឹងផ្អែកលើការចុះហត្ថលេខាលើកូដ ឬសារការីជាសូចនាករនៃភាពជឿជាក់នោះទេ។