CHILLYHELL MacOS Backdoor

साइबर सुरक्षा विज्ञहरूले एप्पलको म्याकोस इकोसिस्टमलाई लक्षित गर्ने नयाँ मालवेयर परिवारको पत्ता लगाएका छन्। यसलाई CHILLYHELL डब गरिएको मोड्युलर ब्याकडोरको रूपमा वर्णन गरिएको छ, जसले यसको लचिलोपन र उन्नत दृढता विधिहरूको कारणले गम्भीर चिन्ताहरू खडा गरिरहेको छ।

उत्पत्ति र विशेषता

चिल्लीहेललाई UNC4487 लेबल गरिएको अवर्गीकृत खतरा समूहसँग जोडिएको छ, जुन कम्तिमा अक्टोबर २०२२ देखि सक्रिय रहेको विश्वास गरिन्छ। गुप्तचर रिपोर्टहरूले यो समूह सम्भवतः जासुसी अभिनेता हो भनेर सुझाव दिन्छ। यसको सञ्चालनमा युक्रेनी सरकारी संस्थाहरूको वेबसाइटहरू सम्झौता गर्ने र आगन्तुकहरूलाई Matanbuchus वा CHILLYHELL मालवेयर कार्यान्वयन गर्न ठग्ने समावेश छ।

प्राविधिक पृष्ठभूमि

ब्याकडोर C++ मा लेखिएको छ र Intel-आधारित macOS प्रणालीहरूमा चलाउन डिजाइन गरिएको छ। मे २, २०२५ मा पत्ता लागेको नयाँ CHILLYHELL नमूनाले पत्ता लगायो कि मालवेयर २०२१ मा एप्पल द्वारा नोटरी गरिएको थियो र त्यसबेलादेखि ड्रपबक्समा सार्वजनिक रूपमा होस्ट गरिएको थियो। यो खोज पछि, एप्पलले सम्बन्धित विकासकर्ता प्रमाणपत्रहरू रद्द गर्यो।

संक्रमण र निरन्तरता संयन्त्रहरू

पीडितको प्रणालीमा तैनाथ गरिसकेपछि, CHILLYHELL ले व्यापक होस्ट प्रोफाइलिङ गर्छ र त्यसपछि तीन फरक विधिहरू प्रयोग गरेर पर्सिस्टन्स स्थापना गर्छ। त्यसपछि, यसले HTTP वा DNS मार्फत हार्ड-कोडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरलाई सम्पर्क गर्छ र निर्देशनहरू प्राप्त गर्न कमाण्ड लूपमा प्रवेश गर्छ।

दृढता सेटअपमा धेरै रणनीतिहरू समावेश छन्:

• LaunchAgent वा प्रणाली LaunchDaemon को रूपमा आफूलाई स्थापना गर्दै
• सुरुवात आदेश घुसाउन .zshrc, .bash_profile, वा .profile जस्ता शेल प्रोफाइलहरू परिमार्जन गर्दै

टाइमस्टम्पिङ मार्फत छलछाम

विशेष गरी उल्लेखनीय चोरी प्रविधि भनेको CHILLYHELL को टाइमस्टम्पिङको प्रयोग हो, जसले वैध प्रणाली कलाकृतिहरूसँग मिलाउन खराब फाइलहरूको टाइमस्ट्याम्पहरू परिवर्तन गर्दछ। यदि अपर्याप्त विशेषाधिकारहरूको कारणले प्रत्यक्ष प्रणाली कलहरू सम्भव छैन भने, मालवेयरले शेल आदेशहरूमा पूर्वनिर्धारित हुन्छ जस्तै:

• touch -c -a -t (पहुँच समय परिमार्जनको लागि)
• टच -c -m -t (परिमार्जन समय समायोजनको लागि)

शंकाबाट बच्न दुवै आदेशहरूमा ब्याकडाइटेड टाइमस्ट्याम्प स्ट्रिङ समावेश छ।

आदेश क्षमताहरू

CHILLYHELL को मोड्युलर डिजाइनले अपरेटरहरूलाई विस्तृत प्रकार्यहरू प्रदान गर्दछ। समर्थित आदेशहरू मध्ये निम्न समावेश छन्:

• C2 सर्भरमा रिभर्स शेल सुरु गर्दै
• अद्यावधिक गरिएका मालवेयर संस्करणहरू डाउनलोड गर्दै
• थप पेलोडहरू प्राप्त गर्ने र कार्यान्वयन गर्ने
• /etc/passwd बाट प्रयोगकर्ता खाताहरू गणना गर्न ModuleSUBF मोड्युल चलाउँदै
• C2 सर्भरद्वारा आपूर्ति गरिएको पासवर्ड सूची प्रयोग गरेर ब्रूट-फोर्स आक्रमणहरू गर्ने

एक परिष्कृत macOS खतरा

धेरै दृढता संयन्त्रहरू, बहुमुखी सञ्चार प्रोटोकलहरू, र मोड्युलर ढाँचाको साथ, CHILLYHELL असामान्य रूपमा परिष्कृत macOS मालवेयरको रूपमा खडा छ। टाइमस्टम्पिङ र पासवर्ड क्र्याकिंग जस्ता सुविधाहरूले यसलाई प्लेटफर्मको परिदृश्यमा देखिने सामान्य खतराहरूबाट अलग राख्छ।

एउटा चिन्ताजनक विवरण के छ भने मालवेयर एप्पल-नोटराइज्ड थियो, जसले सबै नोटराइज्ड सफ्टवेयर सुरक्षित छैनन् भन्ने प्रमाणित गर्दछ। यसले प्रयोगकर्ताहरू र संस्थाहरूलाई सतर्क रहन र विश्वसनीयताको सूचकको रूपमा कोड-साइनिङ वा नोटराइजेसनमा मात्र भर नपर्नुको आवश्यकतालाई प्रकाश पार्छ।