CHILLYHELL MacOS Backdoor

Natuklasan ng mga eksperto sa cybersecurity ang isang bagong pamilya ng malware na nagta-target sa macOS ecosystem ng Apple. Inilalarawan ito bilang isang modular backdoor na tinatawag na CHILLYHELL, na naglalabas ng mga seryosong alalahanin dahil sa flexibility nito at mga advanced na paraan ng pagtitiyaga.

Mga Pinagmulan at Pagpapatungkol

Na-link ang CHILLYHELL sa isang hindi nakategoryang cluster ng banta na may label na UNC4487, na pinaniniwalaang aktibo simula noong Oktubre 2022. Iminumungkahi ng mga ulat ng intelligence na malamang na isang espionage actor ang grupo. Kasama sa mga operasyon nito ang pagkompromiso sa mga website ng mga entity ng gobyerno ng Ukraine at panlilinlang sa mga bisita sa pag-execute ng alinman sa Matanbuchus o CHILLYHELL malware.

Teknikal na Background

Ang backdoor ay nakasulat sa C++ at idinisenyo upang tumakbo sa mga sistema ng macOS na nakabase sa Intel. Ang isang bagong natuklasang sample ng CHILLYHELL, na may petsang Mayo 2, 2025, ay nagsiwalat na ang malware ay na-notaryo ng Apple noong 2021 at pampublikong naka-host sa Dropbox mula noon. Kasunod ng pagtuklas na ito, binawi ng Apple ang mga nauugnay na certificate ng developer.

Mga Mekanismo ng Impeksiyon at Pagtitiyaga

Kapag na-deploy sa system ng biktima, nagsasagawa ang CHILLYHELL ng malawak na host profiling at pagkatapos ay nagtatatag ng pagtitiyaga gamit ang tatlong natatanging pamamaraan. Pagkatapos, nakikipag-ugnayan ito sa isang hard-coded command-and-control (C2) server sa HTTP o DNS at pumapasok sa isang command loop upang makatanggap ng mga tagubilin.

Ang pag-set up ng pagtitiyaga ay nagsasangkot ng maraming diskarte:

• Ini-install ang sarili bilang isang LaunchAgent o system na LaunchDaemon
• Pagbabago sa mga profile ng shell gaya ng .zshrc, .bash_profile, o .profile upang magpasok ng command sa paglulunsad

Pag-iwas sa Pamamagitan ng Timestomping

Ang isang partikular na kapansin-pansing pamamaraan ng pag-iwas ay ang paggamit ng CHILLYHELL ng timestomping, na binabago ang mga timestamp ng mga nakakahamak na file upang ihalo sa mga lehitimong artifact ng system. Kung hindi posible ang mga direktang tawag sa system dahil sa hindi sapat na mga pribilehiyo, magde-default ang malware sa mga shell command gaya ng:

• touch -c -a -t (para sa pagbabago ng oras ng pag-access)
• touch -c -m -t (para sa pagsasaayos ng oras ng pagbabago)

Ang parehong command ay may kasamang backdated na timestamp string upang maiwasan ang hinala.

Mga Kakayahang Utos

Ang modular na disenyo ng CHILLYHELL ay nagbibigay sa mga operator ng malawak na hanay ng mga function. Kabilang sa mga sinusuportahang utos ay:

• Paglulunsad ng reverse shell sa C2 server
• Nagda-download ng mga na-update na bersyon ng malware
• Pagbawi at pag-execute ng mga karagdagang payload
• Pagpapatakbo ng ModuleSUBF module upang magbilang ng mga user account mula sa /etc/passwd
• Pagsasagawa ng mga malupit na pag-atake gamit ang isang listahan ng password na ibinigay ng C2 server

Isang Sopistikadong macOS Threat

Sa maraming mekanismo ng pagtitiyaga, maraming nalalaman na mga protocol ng komunikasyon, at isang modular na framework, namumukod-tangi ang CHILLYHELL bilang isang hindi pangkaraniwang sopistikadong macOS malware. Ang mga tampok tulad ng timestomping at pag-crack ng password ay nagbukod nito sa mga tipikal na banta na nakikita sa landscape ng platform.

Ang isang nakababahala na detalye ay ang malware ay Apple-notarized, na nagpapatunay na hindi lahat ng notarized na software ay ligtas. Itinatampok nito ang pangangailangan para sa mga user at organisasyon na manatiling mapagbantay at hindi umasa lamang sa code-signing o notarization bilang mga indicator ng pagiging mapagkakatiwalaan.