CHILLYHELL MacOS แบ็คดอร์

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์สายพันธุ์ใหม่ที่กำลังโจมตีระบบนิเวศ macOS ของ Apple มัลแวร์นี้ถูกอธิบายว่าเป็นแบ็กดอร์แบบโมดูลาร์ที่มีชื่อว่า CHILLYHELL ซึ่งกำลังสร้างความกังวลอย่างมากเนื่องจากความยืดหยุ่นและวิธีการคงอยู่ขั้นสูง

ต้นกำเนิดและการระบุแหล่งที่มา

CHILLYHELL เชื่อมโยงกับคลัสเตอร์ภัยคุกคามที่ไม่ได้จัดหมวดหมู่ชื่อว่า UNC4487 ซึ่งเชื่อว่ามีการเคลื่อนไหวอย่างน้อยตั้งแต่เดือนตุลาคม 2565 รายงานข่าวกรองชี้ให้เห็นว่ากลุ่มนี้น่าจะเป็นผู้ก่ออาชญากรรม ปฏิบัติการของกลุ่มนี้รวมถึงการโจมตีเว็บไซต์ของหน่วยงานรัฐบาลยูเครน และหลอกล่อผู้เยี่ยมชมให้รันมัลแวร์ Matanbuchus หรือ CHILLYHELL

พื้นฐานทางเทคนิค

แบ็กดอร์นี้เขียนด้วยภาษา C++ และออกแบบมาเพื่อใช้งานบนระบบ macOS ที่ใช้ชิป Intel ตัวอย่าง CHILLYHELL ที่เพิ่งค้นพบเมื่อวันที่ 2 พฤษภาคม 2025 เปิดเผยว่ามัลแวร์นี้ได้รับการรับรองโดย Apple ในปี 2021 และเผยแพร่สู่สาธารณะบน Dropbox ตั้งแต่นั้นเป็นต้นมา หลังจากการค้นพบนี้ Apple ได้เพิกถอนใบรับรองนักพัฒนาที่เกี่ยวข้อง

กลไกการติดเชื้อและการคงอยู่

เมื่อติดตั้งบนระบบของเหยื่อแล้ว CHILLYHELL จะทำการสร้างโปรไฟล์โฮสต์อย่างละเอียด จากนั้นจึงสร้างการคงอยู่โดยใช้สามวิธีที่แตกต่างกัน จากนั้นจะติดต่อกับเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ที่ฮาร์ดโค้ดผ่าน HTTP หรือ DNS และเข้าสู่ลูปคำสั่งเพื่อรับคำสั่ง

การตั้งค่าความคงอยู่เกี่ยวข้องกับกลยุทธ์หลายประการ:

• การติดตั้งตัวเองเป็น LaunchAgent หรือระบบ LaunchDaemon
• การแก้ไขโปรไฟล์เชลล์ เช่น .zshrc, .bash_profile หรือ .profile เพื่อแทรกคำสั่งเปิดใช้งาน

การหลบเลี่ยงผ่านการกระทืบเวลา

เทคนิคการหลบเลี่ยงที่โดดเด่นเป็นพิเศษคือการใช้ timestomping ของ CHILLYHELL ซึ่งเปลี่ยนแปลง timestamp ของไฟล์อันตรายให้กลมกลืนไปกับสิ่งแปลกปลอมในระบบ หากไม่สามารถเรียกใช้งานระบบโดยตรงได้เนื่องจากสิทธิ์ไม่เพียงพอ มัลแวร์จะตั้งค่าเริ่มต้นเป็นคำสั่งเชลล์ เช่น:

• touch -c -a -t (สำหรับการปรับเปลี่ยนเวลาการเข้าถึง)
• touch -c -m -t (สำหรับการปรับเวลาแก้ไข)

คำสั่งทั้งสองมีสตริงค่าวันที่ย้อนหลังเพื่อหลีกเลี่ยงความสงสัย

ความสามารถในการสั่งการ

การออกแบบแบบโมดูลาร์ของ CHILLYHELL มอบฟังก์ชันที่หลากหลายให้กับผู้ใช้งาน คำสั่งที่รองรับมีดังนี้:

• การเปิดตัวเชลล์ย้อนกลับไปยังเซิร์ฟเวอร์ C2
• การดาวน์โหลดเวอร์ชันอัปเดตของมัลแวร์
• การดึงข้อมูลและดำเนินการโหลดเพิ่มเติม
• การรันโมดูล ModuleSUBF เพื่อระบุบัญชีผู้ใช้จาก /etc/passwd
• การโจมตีแบบบรูทฟอร์ซโดยใช้รายการรหัสผ่านที่เซิร์ฟเวอร์ C2 จัดทำไว้

ภัยคุกคาม macOS ที่ซับซ้อน

ด้วยกลไกการคงอยู่หลายรูปแบบ โปรโตคอลการสื่อสารที่หลากหลาย และเฟรมเวิร์กแบบโมดูลาร์ CHILLYHELL จึงโดดเด่นในฐานะมัลแวร์ macOS ที่ซับซ้อนอย่างไม่ธรรมดา ฟีเจอร์ต่างๆ เช่น การประทับเวลาและการถอดรหัสรหัสผ่าน ทำให้ CHILLYHELL แตกต่างจากภัยคุกคามทั่วไปที่พบเห็นได้ทั่วไปบนแพลตฟอร์ม

รายละเอียดที่น่าตกใจอย่างหนึ่งคือมัลแวร์ดังกล่าวได้รับการรับรองจาก Apple ซึ่งพิสูจน์ได้ว่าซอฟต์แวร์ที่ได้รับการรับรองทั้งหมดนั้นไม่ได้ปลอดภัย สิ่งนี้เน้นย้ำถึงความจำเป็นที่ผู้ใช้และองค์กรต่างๆ จะต้องเฝ้าระวังและไม่ควรพึ่งพาการลงนามรหัสหรือการรับรองเอกสารเพียงอย่างเดียวเป็นตัวบ่งชี้ความน่าเชื่อถือ