Multilicenčná zľavová ponuka
Databáza hrozieb Škodlivý softvér Mac Zadné vrátka pre MacOS CHILLYHELL

Zadné vrátka pre MacOS CHILLYHELL

Do roku Mezo v roku Škodlivý softvér Mac, Zadné vrátka
Preložiť do:

Odborníci na kybernetickú bezpečnosť odhalili novú rodinu malvéru zameranú na ekosystém macOS od spoločnosti Apple. Je opísaná ako modulárny zadný vrátnik s názvom CHILLYHELL, ktorý vyvoláva vážne obavy kvôli svojej flexibilite a pokročilým metódam perzistencie.

Pôvod a pripisovanie

Skupina CHILLYHELL bola prepojená s nekategorizovaným klastrom hrozieb s označením UNC4487, o ktorom sa predpokladá, že je aktívny minimálne od októbra 2022. Spravodajské správy naznačujú, že táto skupina je pravdepodobne špionážnym aktérom. Medzi jej operácie patrí napadnutie webových stránok ukrajinských vládnych subjektov a klamlivé navádzanie návštevníkov na spustenie malvéru Matanbuchus alebo CHILLYHELL.

Technické pozadie

Zadné vrátka sú napísané v jazyku C++ a sú určené na spustenie na systémoch macOS s procesorom Intel. Novo objavená vzorka CHILLYHELL z 2. mája 2025 odhalila, že malvér bol v roku 2021 notársky overený spoločnosťou Apple a odvtedy verejne hostovaný na Dropboxe. Po tomto objave spoločnosť Apple zrušila súvisiace certifikáty vývojárov.

Mechanizmy infekcie a perzistencie

Po nasadení v systéme obete CHILLYHELL vykoná rozsiahle profilovanie hostiteľa a potom pomocou troch odlišných metód zabezpečí trvalosť. Následne kontaktuje pevne zakódovaný server príkazov a riadenia (C2) cez HTTP alebo DNS a vstúpi do príkazovej slučky na prijatie pokynov.

Nastavenie perzistencie zahŕňa viacero stratégií:

  • Inštaluje sa ako LaunchAgent alebo systémový LaunchDaemon
  • Úprava profilov shellu, ako napríklad .zshrc, .bash_profile alebo .profile, na vloženie spúšťacieho príkazu

Únik prostredníctvom časového dupania

Obzvlášť pozoruhodnou technikou obchádzania je používanie časových pečiatok škodlivými súbormi CHILLYHELL, ktoré menia časové pečiatky škodlivých súborov tak, aby zodpovedali legitímnym systémovým artefaktom. Ak priame systémové volania nie sú možné z dôvodu nedostatočných oprávnení, škodlivý softvér predvolene používa príkazy shellu, ako napríklad:

  • touch -c -a -t (pre úpravu času prístupu)
  • touch -c -m -t (pre nastavenie času úpravy)

Oba príkazy obsahujú reťazec spätne datovanej časovej pečiatky, aby sa predišlo podozreniu.

Veliteľské schopnosti

Modulárny dizajn CHILLYHELL poskytuje operátorom širokú škálu funkcií. Medzi podporované príkazy patria:

  • Spustenie reverzného shellu na server C2
  • Sťahovanie aktualizovaných verzií malvéru
  • Načítanie a spustenie ďalších údajov
  • Spustenie modulu ModuleSUBF na vyčíslenie používateľských účtov zo súboru /etc/passwd
  • Vykonávanie útokov hrubou silou s použitím zoznamu hesiel poskytnutého serverom C2

Sofistikovaná hrozba pre macOS

Vďaka viacerým mechanizmom perzistencie, všestranným komunikačným protokolom a modulárnemu rámcu vyniká CHILLYHELL ako nezvyčajne sofistikovaný malvér pre macOS. Funkcie, ako je časové razítko a prelamovanie hesla, ho odlišujú od typických hrozieb, ktoré sa vyskytujú v prostredí platformy.

Jedným alarmujúcim detailom je, že malvér bol overený spoločnosťou Apple, čo dokazuje, že nie všetok overený softvér je bezpečný. To zdôrazňuje potrebu, aby používatelia a organizácie zostali ostražití a nespoliehali sa výlučne na podpisovanie kódu alebo overovanie ako ukazovatele dôveryhodnosti.

Trendy

Najviac videné

Načítava...