CHILLYHELL MacOS aizmugurējā durvis
Kiberdrošības eksperti ir atklājuši jaunu ļaunprogrammatūru saimi, kas vērsta pret Apple macOS ekosistēmu. Tā tiek raksturota kā modulāra aizmugurējā durvju sistēma ar nosaukumu CHILLYHELL, kas rada nopietnas bažas tās elastības un uzlaboto noturības metožu dēļ.
Satura rādītājs
Izcelsme un attiecinājums
CHILLYHELL ir saistīts ar nekategorizētu apdraudējumu klasteri ar apzīmējumu UNC4487, kas, domājams, ir aktīvs vismaz kopš 2022. gada oktobra. Izlūkošanas ziņojumi liecina, ka grupa, visticamāk, ir spiegošanas dalībnieks. Tās darbības ietver Ukrainas valdības iestāžu tīmekļa vietņu kompromitēšanu un apmeklētāju maldināšanu, lai tie izpildītu Matanbuchus vai CHILLYHELL ļaunprogrammatūru.
Tehniskā informācija
Aizmugurējā lūka ir rakstīta C++ valodā un paredzēta darbībai Intel bāzes macOS sistēmās. Jaunatklāts CHILLYHELL paraugs, kas datēts ar 2025. gada 2. maiju, atklāja, ka ļaunprogrammatūru 2021. gadā ir notariāli apstiprinājis Apple un kopš tā laika tā ir publiski mitināta Dropbox. Pēc šī atklājuma Apple atsauca saistītos izstrādātāja sertifikātus.
Infekcijas un noturības mehānismi
Kad CHILLYHELL ir izvietots upura sistēmā, tas veic plašu resursdatora profilēšanu un pēc tam, izmantojot trīs atšķirīgas metodes, izveido noturību. Pēc tam tas sazinās ar stingri kodētu komandu un vadības (C2) serveri, izmantojot HTTP vai DNS, un nonāk komandu cilpā, lai saņemtu instrukcijas.
Noturības iestatīšana ietver vairākas stratēģijas:
- Instalējot sevi kā LaunchAgent vai sistēmas LaunchDaemon
- Čaulas profilu, piemēram, .zshrc, .bash_profile vai .profile, modificēšana, lai ievietotu palaišanas komandu
Izvairīšanās caur laika mīņāšanu
Īpaši ievērojama apiešanas metode ir CHILLYHELL laika zīmogu izmantošana, kas maina ļaunprātīgu failu laika zīmogus, lai tie saplūstu ar likumīgiem sistēmas artefaktiem. Ja tiešie sistēmas izsaukumi nav iespējami nepietiekamu privilēģiju dēļ, ļaunprogrammatūra pēc noklusējuma izmanto čaulas komandas, piemēram:
- touch -c -a -t (piekļuves laika modificēšanai)
- touch -c -m -t (modifikācijas laika pielāgošanai)
Abas komandas ietver atpakaļejošu laika zīmoga virkni, lai izvairītos no aizdomām.
Komandu spējas
CHILLYHELL modulārais dizains nodrošina operatoriem plašu funkciju klāstu. Starp atbalstītajām komandām ir:
- C2 servera apgrieztās čaulas palaišana
- Atjauninātu ļaunprogrammatūras versiju lejupielāde
- Papildu vērtumu izgūšana un izpilde
- ModuleSUBF moduļa palaišana, lai uzskaitītu lietotāju kontus no /etc/passwd
- Veicot brutāla spēka uzbrukumus, izmantojot C2 servera sniegto paroļu sarakstu
Izsmalcināts macOS apdraudējums
Ar vairākiem saglabāšanas mehānismiem, daudzpusīgiem saziņas protokoliem un modulāru struktūru CHILLYHELL izceļas kā neparasti sarežģīta macOS ļaunprogrammatūra. Tādas funkcijas kā laika bloķēšana un paroļu uzlaušana to atšķir no tipiskiem apdraudējumiem, kas novērojami platformas vidē.
Viena satraucoša detaļa ir tā, ka ļaunprogrammatūru apstiprināja Apple notariāli, kas pierāda, ka ne visa notariāli apstiprināta programmatūra ir droša. Tas uzsver nepieciešamību lietotājiem un organizācijām saglabāt modrību un nepaļauties tikai uz koda parakstīšanu vai notariālu apliecinājumu kā uzticamības rādītājiem.
