CHILLYHELL MacOS 백도어

사이버 보안 전문가들이 Apple macOS 생태계를 표적으로 삼는 새로운 악성코드군을 발견했습니다. CHILLYHELL이라는 이름의 모듈식 백도어로 알려진 이 악성코드는 유연성과 고도화된 지속성으로 인해 심각한 우려를 불러일으키고 있습니다.

기원 및 귀속

CHILLYHELL은 최소 2022년 10월부터 활동한 것으로 추정되는 UNC4487이라는 분류되지 않은 위협 클러스터와 연관되어 있습니다. 정보 보고서에 따르면 이 그룹은 간첩 활동가일 가능성이 높습니다. 이들의 활동 범위에는 우크라이나 정부 기관 웹사이트를 해킹하고 방문자를 속여 Matanbuchus 또는 CHILLYHELL 악성코드를 실행하도록 유도하는 것이 포함됩니다.

기술적 배경

백도어는 C++로 작성되었으며 인텔 기반 macOS 시스템에서 실행되도록 설계되었습니다. 2025년 5월 2일자로 새로 발견된 CHILLYHELL 샘플에 따르면, 이 악성코드는 2021년 Apple의 공증을 거쳐 Dropbox에 공개적으로 호스팅된 것으로 나타났습니다. 이 발견 이후 Apple은 관련 개발자 인증서를 취소했습니다.

감염 및 지속성 메커니즘

CHILLYHELL은 피해자 시스템에 배포되면 광범위한 호스트 프로파일링을 수행한 후 세 가지 고유한 방법을 사용하여 지속성을 확립합니다. 그 후 HTTP 또는 DNS를 통해 하드코딩된 명령 및 제어(C2) 서버에 접속하여 명령 루프에 진입하여 명령을 수신합니다.

지속성 설정에는 여러 가지 전략이 포함됩니다.

• LaunchAgent 또는 시스템 LaunchDaemon으로 설치
• .zshrc, .bash_profile 또는 .profile과 같은 셸 프로필을 수정하여 시작 명령을 삽입합니다.

타임스톰핑을 통한 회피

특히 주목할 만한 회피 기법은 CHILLYHELL이 사용하는 타임스탬핑(timestomping)입니다. 타임스탬핑은 악성 파일의 타임스탬프를 변경하여 정상적인 시스템 아티팩트와 섞이도록 합니다. 권한이 부족하여 직접적인 시스템 호출이 불가능한 경우, 맬웨어는 다음과 같은 셸 명령을 기본적으로 사용합니다.

• touch -c -a -t (접속 시간 수정용)
• touch -c -m -t (수정시간 조정용)

두 명령 모두 의심을 피하기 위해 과거 날짜의 타임스탬프 문자열을 포함합니다.

명령 기능

CHILLYHELL의 모듈형 디자인은 운영자에게 다양한 기능을 제공합니다. 지원되는 명령은 다음과 같습니다.

• C2 서버에 역방향 셸 실행
• 업데이트된 맬웨어 버전 다운로드
• 추가 페이로드 검색 및 실행
• /etc/passwd에서 사용자 계정을 열거하기 위해 ModuleSUBF 모듈 실행
• C2 서버에서 제공한 암호 목록을 사용하여 무차별 대입 공격 수행

정교한 macOS 위협

다양한 지속성 메커니즘, 다재다능한 통신 프로토콜, 그리고 모듈형 프레임워크를 갖춘 CHILLYHELL은 유례없이 정교한 macOS 악성코드로 손꼽힙니다. 타임스톰핑 및 비밀번호 크래킹과 같은 기능은 플랫폼 환경에서 흔히 볼 수 있는 위협과 차별화됩니다.

한 가지 놀라운 사실은 해당 악성코드가 Apple의 인증을 받았다는 것입니다. 이는 모든 인증된 소프트웨어가 안전한 것은 아니라는 것을 보여줍니다. 이는 사용자와 조직이 코드 서명이나 인증만을 신뢰도의 지표로 삼지 않고 경계를 늦추지 않아야 함을 보여줍니다.