CHILLYHELL MacOS Backdoor
Эксперты по кибербезопасности обнаружили новое семейство вредоносных программ, нацеленное на экосистему macOS от Apple. Оно описывается как модульный бэкдор CHILLYHELL, который вызывает серьёзные опасения из-за своей гибкости и продвинутых методов защиты.
Оглавление
Происхождение и атрибуция
CHILLYHELL связана с неклассифицированным кластером угроз UNC4487, который, как считается, активен как минимум с октября 2022 года. Согласно данным разведки, эта группа, вероятно, занимается шпионажем. Её деятельность включает в себя взлом веб-сайтов украинских государственных структур и обманный запуск вредоносного ПО Matanbuchus или CHILLYHELL.
Техническая информация
Бэкдор написан на языке C++ и предназначен для работы в системах macOS на базе процессоров Intel. Недавно обнаруженный образец CHILLYHELL, датированный 2 мая 2025 года, показал, что вредоносная программа была нотариально заверена Apple в 2021 году и с тех пор публично размещена на Dropbox. После этого обнаружения Apple отозвала соответствующие сертификаты разработчиков.
Механизмы заражения и персистенции
После внедрения в систему жертвы CHILLYHELL проводит расширенное профилирование хоста, а затем обеспечивает себе персистентность, используя три различных метода. После этого он связывается с жёстко запрограммированным сервером управления (C2) по протоколу HTTP или DNS и входит в командный цикл для получения инструкций.
Настройка персистентности включает несколько стратегий:
- Установка себя как LaunchAgent или системного LaunchDaemon
- Изменение профилей оболочки, таких как .zshrc, .bash_profile или .profile, для вставки команды запуска
Уклонение посредством затягивания времени
Особенно примечательным методом обхода защиты является использование CHILLYHELL механизма временных меток (timestamping), который изменяет временные метки вредоносных файлов, чтобы они сливались с легитимными системными артефактами. Если прямые системные вызовы невозможны из-за недостатка прав, вредоносная программа по умолчанию использует команды оболочки, такие как:
- touch -c -a -t (для изменения времени доступа)
- touch -c -m -t (для корректировки времени модификации)
Обе команды включают строку с отметкой времени, чтобы избежать подозрений.
Возможности командования
Модульная конструкция CHILLYHELL предоставляет операторам широкий спектр функций. Поддерживаются следующие команды:
- Запуск обратного шелла к серверу C2
- Загрузка обновленных версий вредоносного ПО
- Извлечение и выполнение дополнительных полезных нагрузок
- Запуск модуля ModuleSUBF для перечисления учетных записей пользователей из /etc/passwd
- Выполнение атак методом подбора паролей с использованием списка паролей, предоставленного сервером C2
Изощренная угроза macOS
Благодаря множеству механизмов персистентности, гибким протоколам связи и модульной структуре CHILLYHELL выделяется как необычайно сложное вредоносное ПО для macOS. Такие функции, как отслеживание времени и взлом паролей, выделяют его среди типичных угроз, встречающихся на этой платформе.
Тревожным моментом является то, что вредоносное ПО было нотариально заверено Apple, что доказывает, что не всё нотариально заверенное ПО безопасно. Это подчёркивает необходимость для пользователей и организаций сохранять бдительность и не полагаться исключительно на подпись кода или нотариальное заверение как на показатели надёжности.
