Popust za več licenc
Podjetje o grožnjah Mac zlonamerna programska oprema CHILLYHELL macOS zadnja vrata

CHILLYHELL macOS zadnja vrata

Do leta Mezo leta Mac zlonamerna programska oprema, Zadnja vrata
Prevedi v:

Strokovnjaki za kibernetsko varnost so odkrili novo družino zlonamerne programske opreme, ki cilja na Applov ekosistem macOS. Opisana je kot modularna zadnja vrata z imenom CHILLYHELL, ki zaradi svoje prilagodljivosti in naprednih metod vztrajnosti vzbujajo resne pomisleke.

Izvor in pripisovanje

CHILLYHELL je bil povezan z nekategorizirano skupino groženj z oznako UNC4487, za katero se domneva, da je aktivna vsaj od oktobra 2022. Obveščevalna poročila kažejo, da je skupina verjetno vohunski akter. Njeno delovanje vključuje vdor v spletna mesta ukrajinskih vladnih organov in prevaro obiskovalcev, da zaženejo zlonamerno programsko opremo Matanbuchus ali CHILLYHELL.

Tehnično ozadje

Zakulisje je napisano v jeziku C++ in zasnovano za delovanje v sistemih macOS, ki temeljijo na Intelu. Novo odkriti vzorec CHILLYHELL z dne 2. maja 2025 je razkril, da je zlonamerno programsko opremo Apple leta 2021 overil in jo od takrat javno gosti na Dropboxu. Po tem odkritju je Apple preklical povezana razvijalska potrdila.

Mehanizmi okužbe in vztrajnosti

Ko je CHILLYHELL nameščen v sistemu žrtve, izvede obsežno profiliranje gostitelja in nato vzpostavi obstojnost z uporabo treh različnih metod. Nato se prek HTTP ali DNS poveže s trdo kodiranim strežnikom za upravljanje in nadzor (C2) in vstopi v ukazno zanko za prejemanje navodil.

Nastavitev vztrajnosti vključuje več strategij:

  • Namešča se kot LaunchAgent ali sistemski LaunchDaemon
  • Spreminjanje profilov lupine, kot so .zshrc, .bash_profile ali .profile, za vstavljanje ukaza za zagon

Izogibanje s časovnim oviranjem

Posebej opazna tehnika izogibanja je uporaba časovnega žiga, ki ga uporablja CHILLYHELL, in ki spremeni časovne žige zlonamernih datotek, da se zlijejo z legitimnimi sistemskimi artefakti. Če neposredni sistemski klici niso mogoči zaradi nezadostnih privilegijev, zlonamerna programska oprema privzeto uporabi ukaze lupine, kot so:

  • touch -c -a -t (za spremembo časa dostopa)
  • touch -c -m -t (za prilagoditev časa modifikacije)

Oba ukaza vključujeta niz časovnega žiga z zastarelim datumom, da se izognemo sumu.

Poveljniške zmogljivosti

Modularna zasnova sistema CHILLYHELL uporabnikom omogoča širok nabor funkcij. Med podprtimi ukazi so:

  • Zagon povratne lupine na strežnik C2
  • Prenos posodobljenih različic zlonamerne programske opreme
  • Pridobivanje in izvajanje dodatnih koristnih tovorov
  • Zagon modula ModuleSUBF za naštevanje uporabniških računov iz /etc/passwd
  • Izvajanje napadov z grobo silo z uporabo seznama gesel, ki ga posreduje strežnik C2

Sofisticirana grožnja za macOS

Z več mehanizmi vztrajnosti, vsestranskimi komunikacijskimi protokoli in modularnim ogrodjem CHILLYHELL izstopa kot nenavadno dovršena zlonamerna programska oprema za macOS. Funkcije, kot sta časovno žigosanje in razbijanje gesel, jo ločijo od tipičnih groženj, ki jih vidimo na tej platformi.

Zaskrbljujoča podrobnost je, da je bila zlonamerna programska oprema overjena pri Applu, kar dokazuje, da ni vsa overjena programska oprema varna. To poudarja potrebo, da uporabniki in organizacije ostanejo pozorni in se ne zanašajo zgolj na podpisovanje kode ali overitev kot kazalnika zaupanja.

V trendu

Najbolj gledan

Nalaganje...