CHILLYHELL MacOS Backdoor

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਐਪਲ ਦੇ ਮੈਕੋਸ ਈਕੋਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਸਨੂੰ ਚਿਲੀਹੇਲ ਨਾਮਕ ਇੱਕ ਮਾਡਿਊਲਰ ਬੈਕਡੋਰ ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇਸਦੀ ਲਚਕਤਾ ਅਤੇ ਉੱਨਤ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਕਾਰਨ ਗੰਭੀਰ ਚਿੰਤਾਵਾਂ ਪੈਦਾ ਕਰ ਰਿਹਾ ਹੈ।

ਉਤਪਤੀ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ

ਚਿਲੀਹੇਲ ਨੂੰ UNC4487 ਲੇਬਲ ਵਾਲੇ ਇੱਕ ਗੈਰ-ਸ਼੍ਰੇਣੀਬੱਧ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਘੱਟੋ-ਘੱਟ ਅਕਤੂਬਰ 2022 ਤੋਂ ਸਰਗਰਮ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਖੁਫੀਆ ਰਿਪੋਰਟਾਂ ਦੱਸਦੀਆਂ ਹਨ ਕਿ ਇਹ ਸਮੂਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਜਾਸੂਸੀ ਅਦਾਕਾਰ ਹੈ। ਇਸ ਦੇ ਕਾਰਜਾਂ ਵਿੱਚ ਯੂਕਰੇਨੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਦੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ ਅਤੇ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਮੈਟਨਬੁਚਸ ਜਾਂ ਚਿਲੀਹੇਲ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦੇਣਾ ਸ਼ਾਮਲ ਹੈ।

ਤਕਨੀਕੀ ਪਿਛੋਕੜ

ਬੈਕਡੋਰ C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ Intel-ਅਧਾਰਿਤ macOS ਸਿਸਟਮਾਂ 'ਤੇ ਚੱਲਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। 2 ਮਈ, 2025 ਨੂੰ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਗਏ CHILLYHELL ਨਮੂਨੇ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਮਾਲਵੇਅਰ ਨੂੰ 2021 ਵਿੱਚ ਐਪਲ ਦੁਆਰਾ ਨੋਟਰੀ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਉਦੋਂ ਤੋਂ ਡ੍ਰੌਪਬਾਕਸ 'ਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਖੋਜ ਤੋਂ ਬਾਅਦ, ਐਪਲ ਨੇ ਸੰਬੰਧਿਤ ਡਿਵੈਲਪਰ ਸਰਟੀਫਿਕੇਟ ਰੱਦ ਕਰ ਦਿੱਤੇ।

ਇਨਫੈਕਸ਼ਨ ਅਤੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ

ਇੱਕ ਵਾਰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਚਿਲੀਹੇਲ ਵਿਆਪਕ ਹੋਸਟ ਪ੍ਰੋਫਾਈਲਿੰਗ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਇਹ HTTP ਜਾਂ DNS ਉੱਤੇ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ ਅਤੇ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ ਲੂਪ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ।

ਸਥਿਰਤਾ ਸੈੱਟਅੱਪ ਵਿੱਚ ਕਈ ਰਣਨੀਤੀਆਂ ਸ਼ਾਮਲ ਹੁੰਦੀਆਂ ਹਨ:

• ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ LaunchAgent ਜਾਂ ਸਿਸਟਮ LaunchDaemon ਵਜੋਂ ਸਥਾਪਤ ਕਰਨਾ
• ਲਾਂਚ ਕਮਾਂਡ ਪਾਉਣ ਲਈ ਸ਼ੈੱਲ ਪ੍ਰੋਫਾਈਲਾਂ ਜਿਵੇਂ ਕਿ .zshrc, .bash_profile, ਜਾਂ .profile ਨੂੰ ਸੋਧਣਾ

ਟਾਈਮਸਟੌਪਿੰਗ ਰਾਹੀਂ ਚੋਰੀ

ਇੱਕ ਖਾਸ ਤੌਰ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਚੋਰੀ ਤਕਨੀਕ ਚਿਲੀਹੇਲ ਦੁਆਰਾ ਟਾਈਮਸਟੌਪਿੰਗ ਦੀ ਵਰਤੋਂ ਹੈ, ਜੋ ਕਿ ਖਤਰਨਾਕ ਫਾਈਲਾਂ ਦੇ ਟਾਈਮਸਟੈਂਪਾਂ ਨੂੰ ਜਾਇਜ਼ ਸਿਸਟਮ ਆਰਟੀਫੈਕਟਸ ਨਾਲ ਮਿਲਾਉਣ ਲਈ ਬਦਲਦੀ ਹੈ। ਜੇਕਰ ਨਾਕਾਫ਼ੀ ਅਧਿਕਾਰਾਂ ਕਾਰਨ ਸਿੱਧੀ ਸਿਸਟਮ ਕਾਲ ਸੰਭਵ ਨਹੀਂ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਲਈ ਡਿਫੌਲਟ ਹੋ ਜਾਂਦਾ ਹੈ ਜਿਵੇਂ ਕਿ:

• touch -c -a -t (ਪਹੁੰਚ ਸਮਾਂ ਸੋਧ ਲਈ)
• ਟੱਚ -c -m -t (ਸੋਧ ਸਮੇਂ ਦੇ ਸਮਾਯੋਜਨ ਲਈ)

ਸ਼ੱਕ ਤੋਂ ਬਚਣ ਲਈ ਦੋਵਾਂ ਕਮਾਂਡਾਂ ਵਿੱਚ ਇੱਕ ਬੈਕਡੇਟਿਡ ਟਾਈਮਸਟੈਂਪ ਸਤਰ ਸ਼ਾਮਲ ਹੈ।

ਕਮਾਂਡ ਸਮਰੱਥਾਵਾਂ

ਚਿਲੀਹੇਲ ਦਾ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ ਓਪਰੇਟਰਾਂ ਨੂੰ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਫੰਕਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਸਮਰਥਿਤ ਕਮਾਂਡਾਂ ਵਿੱਚੋਂ ਇਹ ਹਨ:

• C2 ਸਰਵਰ ਤੇ ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਲਾਂਚ ਕਰਨਾ
• ਅੱਪਡੇਟ ਕੀਤੇ ਮਾਲਵੇਅਰ ਸੰਸਕਰਣਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
• ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ
• /etc/passwd ਤੋਂ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਦੀ ਗਿਣਤੀ ਕਰਨ ਲਈ ModuleSUBF ਮੋਡੀਊਲ ਚਲਾਉਣਾ
• C2 ਸਰਵਰ ਦੁਆਰਾ ਸਪਲਾਈ ਕੀਤੀ ਗਈ ਪਾਸਵਰਡ ਸੂਚੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਰੂਟ-ਫੋਰਸ ਹਮਲੇ ਕਰਨਾ

ਇੱਕ ਸੂਝਵਾਨ macOS ਖ਼ਤਰਾ

ਕਈ ਸਥਿਰਤਾ ਵਿਧੀਆਂ, ਬਹੁਪੱਖੀ ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ, ਅਤੇ ਇੱਕ ਮਾਡਿਊਲਰ ਫਰੇਮਵਰਕ ਦੇ ਨਾਲ, ਚਿਲੀਹੇਲ ਇੱਕ ਅਸਾਧਾਰਨ ਤੌਰ 'ਤੇ ਸੂਝਵਾਨ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਵਜੋਂ ਵੱਖਰਾ ਹੈ। ਟਾਈਮਸਟੌਪਿੰਗ ਅਤੇ ਪਾਸਵਰਡ ਕਰੈਕਿੰਗ ਵਰਗੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਇਸਨੂੰ ਪਲੇਟਫਾਰਮ ਦੇ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਦੇਖੇ ਜਾਣ ਵਾਲੇ ਆਮ ਖਤਰਿਆਂ ਤੋਂ ਵੱਖ ਕਰਦੀਆਂ ਹਨ।

ਇੱਕ ਚਿੰਤਾਜਨਕ ਵੇਰਵਾ ਇਹ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਐਪਲ-ਨੋਟਰਾਈਜ਼ਡ ਸੀ, ਜੋ ਸਾਬਤ ਕਰਦਾ ਹੈ ਕਿ ਸਾਰੇ ਨੋਟਰਾਈਜ਼ਡ ਸੌਫਟਵੇਅਰ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹਨ। ਇਹ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਸੰਗਠਨਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣ ਅਤੇ ਭਰੋਸੇਯੋਗਤਾ ਦੇ ਸੂਚਕਾਂ ਵਜੋਂ ਸਿਰਫ਼ ਕੋਡ-ਸਾਈਨਿੰਗ ਜਾਂ ਨੋਟਰਾਈਜ਼ੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਨਾ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।