CHILLYHELL задња врата за MacOS
Стручњаци за сајбер безбедност открили су нову породицу злонамерног софтвера која циља Apple-ов macOS екосистем. Описан је као модуларни бекдор назван CHILLYHELL, који изазива озбиљну забринутост због своје флексибилности и напредних метода истрајности.
Преглед садржаја
Порекло и приписивање
CHILLYHELL је повезан са некатегоризованим кластером претњи означеним са UNC4487, за који се верује да је активан најмање од октобра 2022. године. Обавештајни извештаји сугеришу да је група вероватно шпијунски актер. Њене операције укључују компромитовање веб страница украјинских владиних ентитета и превару посетилаца да покрену злонамерни софтвер Matanbuchus или CHILLYHELL.
Техничка позадина
Задња врата су написана у C++ језику и дизајнирана су за рад на macOS системима заснованим на Intel процесорима. Новооткривени узорак CHILLYHELL-а, датиран 2. маја 2025. године, открио је да је злонамерни софтвер оверен од стране компаније Apple 2021. године и да је од тада јавно хостован на Dropbox-у. Након овог открића, компанија Apple је опозвао повезане сертификате програмера.
Механизми инфекције и перзистенције
Једном када се инсталира на систем жртве, CHILLYHELL врши опсежно профилисање хоста, а затим успоставља перзистентност користећи три различите методе. Након тога, контактира чврсто кодирани командни и контролни (C2) сервер преко HTTP или DNS протокола и улази у командну петљу да би примио инструкције.
Подешавање истрајности укључује више стратегија:
- Инсталира се као LaunchAgent или системски LaunchDaemon
- Модификовање профила шкољке као што су .zshrc, .bash_profile или .profile ради уметања команде за покретање
Избегавање кроз гажење времена
Посебно значајна техника избегавања је CHILLYHELL-ова употреба временских ознака, која мења временске ознаке злонамерних датотека како би се уклопиле са легитимним системским артефактима. Ако директни системски позиви нису могући због недовољних привилегија, злонамерни софтвер подразумевано користи команде шкољке као што су:
- touch -c -a -t (за модификацију времена приступа)
- touch -c -m -t (за подешавање времена модификације)
Обе команде укључују временску ознаку са ретроактивним датумом како би се избегла сумња.
Командне способности
Модуларни дизајн CHILLYHELL-а пружа оператерима широк спектар функција. Међу подржаним командама су:
- Покретање обрнуте шкољке на C2 сервер
- Преузимање ажурираних верзија злонамерног софтвера
- Преузимање и извршавање додатних корисних оптерећења
- Покретање модула ModuleSUBF за набрајање корисничких налога из /etc/passwd
- Извршавање напада грубом силом користећи листу лозинки коју је обезбедио C2 сервер
Софистицирана претња за macOS
Са вишеструким механизмима перзистентности, разноврсним комуникационим протоколима и модуларним оквиром, CHILLYHELL се истиче као необично софистицирани macOS малвер. Карактеристике попут временских ознака и крековања лозинки издвајају га од типичних претњи које се виђају на овој платформи.
Један алармантан детаљ је да је злонамерни софтвер оверен од стране компаније Apple, што доказује да нису сви оверени софтвери безбедни. Ово истиче потребу да корисници и организације остану опрезни и да се не ослањају искључиво на потписивање кода или оверу као индикаторе поузданости.
