CHILLYHELL MacOS Backdoor

ఆపిల్ యొక్క మాకోస్ పర్యావరణ వ్యవస్థను లక్ష్యంగా చేసుకుని సైబర్ భద్రతా నిపుణులు కొత్త మాల్వేర్ కుటుంబాన్ని కనుగొన్నారు. దీనిని చిల్లీహెల్ అని పిలువబడే మాడ్యులర్ బ్యాక్‌డోర్‌గా వర్ణించారు, ఇది దాని వశ్యత మరియు అధునాతన నిలకడ పద్ధతుల కారణంగా తీవ్రమైన ఆందోళనలను లేవనెత్తుతోంది.

మూలాలు మరియు లక్షణం

CHILLYHELL అనే సంస్థ UNC4487 అనే వర్గీకరించబడని బెదిరింపు క్లస్టర్‌తో ముడిపడి ఉంది, ఇది కనీసం అక్టోబర్ 2022 నుండి చురుకుగా ఉందని నమ్ముతారు. ఈ బృందం గూఢచర్యానికి పాల్పడే అవకాశం ఉందని నిఘా నివేదికలు సూచిస్తున్నాయి. దీని కార్యకలాపాలలో ఉక్రేనియన్ ప్రభుత్వ సంస్థల వెబ్‌సైట్‌లను రాజీ చేయడం మరియు సందర్శకులను మాటాన్‌బుకస్ లేదా CHILLYHELL మాల్వేర్‌ను అమలు చేయమని మోసగించడం వంటివి ఉన్నాయి.

సాంకేతిక నేపథ్యం

బ్యాక్‌డోర్ C++ లో వ్రాయబడింది మరియు ఇంటెల్-ఆధారిత మాకోస్ సిస్టమ్‌లపై అమలు చేయడానికి రూపొందించబడింది. మే 2, 2025 నాటి కొత్తగా కనుగొనబడిన CHILLYHELL నమూనా, మాల్వేర్‌ను 2021లో Apple నోటరీ చేసిందని మరియు అప్పటి నుండి Dropboxలో పబ్లిక్‌గా హోస్ట్ చేయబడిందని వెల్లడించింది. ఈ ఆవిష్కరణ తర్వాత, Apple అనుబంధ డెవలపర్ సర్టిఫికెట్‌లను రద్దు చేసింది.

ఇన్ఫెక్షన్ మరియు నిలకడ విధానాలు

బాధితుడి వ్యవస్థలో అమలు చేయబడిన తర్వాత, CHILLYHELL విస్తృతమైన హోస్ట్ ప్రొఫైలింగ్‌ను నిర్వహిస్తుంది మరియు తరువాత మూడు విభిన్న పద్ధతులను ఉపయోగించి నిలకడను ఏర్పరుస్తుంది. తరువాత, ఇది HTTP లేదా DNS ద్వారా హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను సంప్రదిస్తుంది మరియు సూచనలను స్వీకరించడానికి కమాండ్ లూప్‌లోకి ప్రవేశిస్తుంది.

నిలకడ సెటప్ బహుళ వ్యూహాలను కలిగి ఉంటుంది:

• లాంచ్ ఏజెంట్ లేదా సిస్టమ్ లాంచ్ డీమన్ గా ఇన్‌స్టాల్ చేసుకోవడం
• లాంచ్ కమాండ్‌ను చొప్పించడానికి .zshrc, .bash_profile, లేదా .profile వంటి షెల్ ప్రొఫైల్‌లను సవరించడం.

టైమ్‌స్టాంపింగ్ ద్వారా తప్పించుకోవడం

ముఖ్యంగా గుర్తించదగిన ఎగవేత సాంకేతికత CHILLYHELL యొక్క టైమ్‌స్టాంపింగ్, ఇది హానికరమైన ఫైల్‌ల టైమ్‌స్టాంప్‌లను చట్టబద్ధమైన సిస్టమ్ కళాఖండాలతో కలపడానికి మారుస్తుంది. తగినంత అధికారాలు లేనందున ప్రత్యక్ష సిస్టమ్ కాల్‌లు సాధ్యం కాకపోతే, మాల్వేర్ డిఫాల్ట్‌గా షెల్ ఆదేశాలకు వెళుతుంది:

• టచ్ -c -a -t (యాక్సెస్ సమయ మార్పు కోసం)
• touch -c -m -t (సవరణ సమయ సర్దుబాటు కోసం)

అనుమానాన్ని నివారించడానికి రెండు ఆదేశాలలో బ్యాక్‌డేటెడ్ టైమ్‌స్టాంప్ స్ట్రింగ్ ఉంటుంది.

కమాండ్ సామర్థ్యాలు

CHILLYHELL యొక్క మాడ్యులర్ డిజైన్ ఆపరేటర్లకు విస్తృత శ్రేణి ఫంక్షన్లను అందిస్తుంది. మద్దతు ఉన్న ఆదేశాలలో ఇవి ఉన్నాయి:

• C2 సర్వర్‌కు రివర్స్ షెల్‌ను ప్రారంభించడం
• నవీకరించబడిన మాల్వేర్ వెర్షన్‌లను డౌన్‌లోడ్ చేస్తోంది
• అదనపు పేలోడ్‌లను తిరిగి పొందడం మరియు అమలు చేయడం
• /etc/passwd నుండి యూజర్ ఖాతాలను లెక్కించడానికి ModuleSUBF మాడ్యూల్‌ను అమలు చేస్తోంది.
• C2 సర్వర్ అందించిన పాస్‌వర్డ్ జాబితాను ఉపయోగించి బ్రూట్-ఫోర్స్ దాడులను చేయడం

అధునాతన macOS ముప్పు

బహుళ నిలకడ విధానాలు, బహుముఖ కమ్యూనికేషన్ ప్రోటోకాల్‌లు మరియు మాడ్యులర్ ఫ్రేమ్‌వర్క్‌తో, CHILLYHELL అసాధారణంగా అధునాతనమైన MacOS మాల్వేర్‌గా నిలుస్తుంది. టైమ్‌స్టాంపింగ్ మరియు పాస్‌వర్డ్ క్రాకింగ్ వంటి లక్షణాలు ప్లాట్‌ఫారమ్ యొక్క ల్యాండ్‌స్కేప్‌లో కనిపించే సాధారణ ముప్పుల నుండి దీనిని వేరు చేస్తాయి.

ఒక ఆందోళనకరమైన విషయం ఏమిటంటే, మాల్వేర్ ఆపిల్-నోటరీ చేయబడినది, ఇది అన్ని నోటరీ చేయబడిన సాఫ్ట్‌వేర్‌లు సురక్షితం కాదని రుజువు చేస్తుంది. ఇది వినియోగదారులు మరియు సంస్థలు అప్రమత్తంగా ఉండవలసిన అవసరాన్ని మరియు విశ్వసనీయతకు సూచికలుగా కోడ్-సంతకం లేదా నోటరీకరణపై మాత్రమే ఆధారపడకూడదని హైలైట్ చేస్తుంది.