Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė „Mac“ kenkėjiška programa CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

Autorius Mezo, „Mac“ kenkėjiška programa, Užpakalinės durys
Versti į:

Kibernetinio saugumo ekspertai atskleidė naują kenkėjiškų programų šeimą, skirtą „Apple“ „macOS“ ekosistemai. Ji apibūdinama kaip modulinė užpakalinė durų sistema, vadinama „CHILLYHELL“, kuri kelia rimtą susirūpinimą dėl savo lankstumo ir pažangių atkaklumo metodų.

Kilmė ir priskyrimas

„CHILLYHELL“ buvo susieta su neįslaptinta grėsmių grupe, pažymėta UNC4487, kuri, kaip manoma, veikia mažiausiai nuo 2022 m. spalio mėn. Žvalgybos ataskaitos rodo, kad ši grupė greičiausiai yra šnipinėjimo veikėja. Jos veikla apima Ukrainos vyriausybinių įstaigų svetainių atakavimą ir lankytojų apgaulę, kad jie paleistų „Matanbuchus“ arba „CHILLYHELL“ kenkėjiškas programas.

Techninis pagrindas

Užpakalinės durys parašytos C++ kalba ir skirtos veikti „Intel“ pagrindu sukurtose „macOS“ sistemose. Naujai atrastas „CHILLYHELL“ pavyzdys, datuotas 2025 m. gegužės 2 d., atskleidė, kad kenkėjiška programa buvo patvirtinta „Apple“ 2021 m. ir nuo to laiko viešai talpinama „Dropbox“. Po šio atradimo „Apple“ atšaukė susijusius kūrėjo sertifikatus.

Infekcijos ir išlikimo mechanizmai

Įdiegus aukos sistemoje, „CHILLYHELL“ atlieka išsamų pagrindinio kompiuterio profiliavimą ir tada, naudodamas tris skirtingus metodus, nustato ryšio tęstinumą. Vėliau jis susisiekia su užprogramuotu komandų ir valdymo (C2) serveriu per HTTP arba DNS ir patenka į komandų ciklą, kad gautų instrukcijas.

Tvarumo nustatymas apima kelias strategijas:

  • Įdiegia save kaip „LaunchAgent“ arba sistemos „LaunchDaemon“
  • Apvalkalo profilių, tokių kaip .zshrc, .bash_profile arba .profile, modifikavimas norint įterpti paleidimo komandą

Išsisukimas per laiko žymėjimą

Ypač pastebimas apėjimo būdas yra CHILLYHELL naudojamas laiko žymėjimas, kuris pakeičia kenkėjiškų failų laiko žymas, kad jos susilietų su teisėtais sistemos artefaktais. Jei dėl nepakankamų privilegijų tiesioginiai sistemos iškvietimai neįmanomi, kenkėjiška programa pagal numatytuosius nustatymus naudoja tokias apvalkalo komandas kaip:

  • touch -c -a -t (prieigos laiko keitimui)
  • touch -c -m -t (modifikavimo laiko koregavimui)

Abiejose komandose yra atgaline data datuota laiko žymos eilutė, kad būtų išvengta įtarimų.

Komandų galimybės

Modulinis CHILLYHELL dizainas suteikia operatoriams platų funkcijų spektrą. Tarp palaikomų komandų yra:

  • Paleidžiamas atvirkštinis apvalkalas į C2 serverį
  • Atsisiunčiamos atnaujintos kenkėjiškų programų versijos
  • Papildomų naudingųjų apkrovų gavimas ir vykdymas
  • Paleidžiamas modulis „ModuleSUBF“, skirtas vartotojų paskyrų išvardijimui iš /etc/passwd
  • Atliekant „brute-force“ atakas naudojant C2 serverio pateiktą slaptažodžių sąrašą

Sudėtinga „macOS“ grėsmė

Dėl daugybės atkaklumo mechanizmų, universalių ryšio protokolų ir moduliarinės struktūros „CHILLYHELL“ išsiskiria kaip neįprastai sudėtinga „macOS“ kenkėjiška programa. Tokios funkcijos kaip laiko žymėjimas ir slaptažodžių nulaužimas išskiria ją iš įprastų platformos grėsmių.

Viena nerimą kelianti detalė yra ta, kad kenkėjiška programa buvo patvirtinta „Apple“ notaro, įrodanti, kad ne visa notaro patvirtinta programinė įranga yra saugi. Tai pabrėžia, kad vartotojai ir organizacijos turi išlikti budrūs ir nepasikliauti vien kodo pasirašymu ar notaro patvirtinimu kaip patikimumo rodikliu.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,407
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...