Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Mac Malware Pintu Belakang MacOS CHILLYHELL

Pintu Belakang MacOS CHILLYHELL

Menjelang Mezo pada Mac Malware, Pintu belakang
Terjemahkan ke

Pakar keselamatan siber telah menemui keluarga perisian hasad baharu yang menyasarkan ekosistem macOS Apple. Ia digambarkan sebagai pintu belakang modular yang digelar CHILLYHELL, yang menimbulkan kebimbangan serius disebabkan fleksibiliti dan kaedah kegigihan lanjutannya.

Asal-usul dan Atribusi

CHILLYHELL telah dikaitkan dengan kluster ancaman tidak berkategori berlabel UNC4487, dipercayai aktif sejak sekurang-kurangnya Oktober 2022. Laporan perisikan mencadangkan kumpulan itu berkemungkinan seorang pelakon pengintipan. Operasinya termasuk menjejaskan tapak web entiti kerajaan Ukraine dan menipu pelawat untuk melaksanakan sama ada perisian hasad Matanbuchus atau CHILLYHELL.

Latar Belakang Teknikal

Pintu belakang ditulis dalam C++ dan direka bentuk untuk dijalankan pada sistem macOS berasaskan Intel. Sampel CHILLYHELL yang baru ditemui, bertarikh 2 Mei 2025, mendedahkan bahawa perisian hasad itu telah disahkan oleh Apple pada 2021 dan dihoskan secara terbuka di Dropbox sejak itu. Berikutan penemuan ini, Apple membatalkan sijil pembangun yang berkaitan.

Jangkitan dan Mekanisme Kegigihan

Setelah digunakan pada sistem mangsa, CHILLYHELL melakukan pemprofilan hos yang meluas dan kemudian mewujudkan kegigihan menggunakan tiga kaedah yang berbeza. Selepas itu, ia menghubungi pelayan perintah dan kawalan (C2) berkod keras melalui HTTP atau DNS dan memasuki gelung arahan untuk menerima arahan.

Persediaan kegigihan melibatkan pelbagai strategi:

  • Memasang dirinya sebagai LaunchAgent atau sistem LaunchDaemon
  • Mengubah suai profil shell seperti .zshrc, .bash_profile atau .profile untuk memasukkan arahan pelancaran

Mengelak Melalui Timestomping

Teknik pengelakan yang ketara ialah penggunaan tanda masa oleh CHILLYHELL, yang mengubah cap masa fail berniat jahat untuk digabungkan dengan artifak sistem yang sah. Jika panggilan sistem terus tidak dapat dilakukan kerana keistimewaan yang tidak mencukupi, perisian hasad lalai kepada arahan shell seperti:

  • sentuh -c -a -t (untuk pengubahsuaian masa akses)
  • sentuh -c -m -t (untuk pelarasan masa pengubahsuaian)

Kedua-dua arahan termasuk rentetan cap masa terbelakang untuk mengelakkan syak wasangka.

Keupayaan Perintah

Reka bentuk modular CHILLYHELL menyediakan operator dengan pelbagai fungsi. Antara arahan yang disokong ialah:

  • Melancarkan shell terbalik ke pelayan C2
  • Memuat turun versi perisian hasad yang dikemas kini
  • Mendapatkan semula dan melaksanakan muatan tambahan
  • Menjalankan modul ModuleSUBF untuk menghitung akaun pengguna daripada /etc/passwd
  • Melakukan serangan kekerasan menggunakan senarai kata laluan yang dibekalkan oleh pelayan C2

Ancaman macOS yang canggih

Dengan pelbagai mekanisme kegigihan, protokol komunikasi serba boleh dan rangka kerja modular, CHILLYHELL menonjol sebagai perisian hasad macOS yang luar biasa canggih. Ciri seperti stempel masa dan peretasan kata laluan membezakannya daripada ancaman biasa yang dilihat dalam landskap platform.

Satu butiran yang membimbangkan ialah perisian hasad itu disahkan oleh Apple, membuktikan bahawa tidak semua perisian yang disahkan selamat. Ini menyerlahkan keperluan untuk pengguna dan organisasi untuk terus berwaspada dan tidak bergantung semata-mata pada tandatangan kod atau notari sebagai penunjuk kebolehpercayaan.

Trending

Paling banyak dilihat

Memuatkan...