CHILLYHELL MacOS Backdoor
Eksperci ds. cyberbezpieczeństwa odkryli nową rodzinę złośliwego oprogramowania atakującą ekosystem macOS firmy Apple. Opisuje się ją jako modułowy backdoor o nazwie CHILLYHELL, który budzi poważne obawy ze względu na swoją elastyczność i zaawansowane metody utrwalania.
Spis treści
Pochodzenie i atrybucja
CHILLYHELL został powiązany z niesklasyfikowanym klastrem zagrożeń oznaczonym UNC4487, który prawdopodobnie jest aktywny co najmniej od października 2022 roku. Raporty wywiadowcze sugerują, że grupa jest prawdopodobnie podmiotem szpiegowskim. Jej działania obejmują włamywanie się na strony internetowe ukraińskich instytucji rządowych i nakłanianie użytkowników do uruchomienia złośliwego oprogramowania Matanbuchus lub CHILLYHELL.
Podłoże techniczne
Backdoor został napisany w języku C++ i zaprojektowany do działania w systemach macOS z procesorami Intel. Niedawno odkryta próbka CHILLYHELL z 2 maja 2025 roku ujawniła, że złośliwe oprogramowanie zostało potwierdzone przez Apple w 2021 roku i od tego czasu jest publicznie hostowane w Dropboxie. Po tym odkryciu Apple unieważniło powiązane z nim certyfikaty programisty.
Mechanizmy infekcji i trwałości
Po wdrożeniu w systemie ofiary, CHILLYHELL przeprowadza rozbudowane profilowanie hosta, a następnie ustanawia trwałość za pomocą trzech różnych metod. Następnie kontaktuje się z zakodowanym na stałe serwerem poleceń i kontroli (C2) przez HTTP lub DNS i uruchamia pętlę poleceń, aby odebrać instrukcje.
Konfiguracja trwałości obejmuje wiele strategii:
- Instaluje się jako LaunchAgent lub systemowy LaunchDaemon
- Modyfikowanie profili powłoki, takich jak .zshrc, .bash_profile lub .profile, w celu wstawienia polecenia uruchomienia
Ucieczka przez deptanie czasu
Szczególnie godną uwagi techniką unikania jest wykorzystywanie przez CHILLYHELL techniki timestampingu, która zmienia znaczniki czasu złośliwych plików, aby dopasować je do legalnych artefaktów systemowych. Jeśli bezpośrednie wywołania systemowe nie są możliwe z powodu niewystarczających uprawnień, złośliwe oprogramowanie domyślnie uruchamia polecenia powłoki, takie jak:
- touch -c -a -t (do modyfikacji czasu dostępu)
- touch -c -m -t (do modyfikacji czasu regulacji)
Oba polecenia zawierają ciąg znacznika czasu z datą wsteczną, aby uniknąć podejrzeń.
Możliwości dowodzenia
Modułowa konstrukcja CHILLYHELL zapewnia operatorom szeroki zakres funkcji. Wśród obsługiwanych poleceń znajdują się:
- Uruchomienie odwrotnej powłoki dla serwera C2
- Pobieranie zaktualizowanych wersji złośliwego oprogramowania
- Pobieranie i wykonywanie dodatkowych ładunków
- Uruchamianie modułu ModuleSUBF w celu wyliczenia kont użytkowników z pliku /etc/passwd
- Przeprowadzanie ataków siłowych z wykorzystaniem listy haseł dostarczonej przez serwer C2
Wyrafinowane zagrożenie dla systemu macOS
Dzięki licznym mechanizmom trwałości, wszechstronnym protokołom komunikacyjnym i modułowej strukturze, CHILLYHELL wyróżnia się jako niezwykle zaawansowane złośliwe oprogramowanie dla systemu macOS. Funkcje takie jak śledzenie czasu i łamanie haseł wyróżniają go spośród typowych zagrożeń występujących na platformie.
Niepokojącym szczegółem jest to, że złośliwe oprogramowanie zostało poświadczone notarialnie przez Apple, co dowodzi, że nie każde oprogramowanie z takim poświadczeniem jest bezpieczne. Podkreśla to potrzebę zachowania czujności przez użytkowników i organizacje, a nie polegania wyłącznie na podpisie kodu lub poświadczeniu notarialnym jako wskaźnikach wiarygodności.
