CHILLYHELL MacOS Arka Kapısı
Siber güvenlik uzmanları, Apple'ın macOS ekosistemini hedef alan yeni bir kötü amaçlı yazılım ailesi keşfetti. CHILLYHELL olarak adlandırılan modüler bir arka kapı olarak tanımlanan bu yazılım, esnekliği ve gelişmiş kalıcılık yöntemleri nedeniyle ciddi endişelere yol açıyor.
İçindekiler
Kökenler ve Atıf
CHILLYHELL, en az Ekim 2022'den beri aktif olduğuna inanılan UNC4487 olarak etiketlenen kategorilendirilmemiş bir tehdit kümesiyle ilişkilendirildi. İstihbarat raporları, grubun muhtemelen bir casusluk aktörü olduğunu gösteriyor. Faaliyetleri arasında Ukrayna hükümet kurumlarının web sitelerini ele geçirmek ve ziyaretçileri Matanbuchus veya CHILLYHELL kötü amaçlı yazılımlarını çalıştırmaya yönlendirmek yer alıyor.
Teknik Arka Plan
Arka kapı C++ ile yazılmış ve Intel tabanlı macOS sistemlerinde çalışacak şekilde tasarlanmış. 2 Mayıs 2025 tarihli yeni keşfedilen bir CHILLYHELL örneği, kötü amaçlı yazılımın 2021 yılında Apple tarafından noter onayı aldığını ve o zamandan beri Dropbox'ta herkese açık olarak barındırıldığını ortaya koydu. Bu keşfin ardından Apple, ilgili geliştirici sertifikalarını iptal etti.
Enfeksiyon ve Kalıcılık Mekanizmaları
CHILLYHELL, bir kurbanın sistemine dağıtıldıktan sonra kapsamlı bir ana bilgisayar profili oluşturur ve ardından üç farklı yöntem kullanarak kalıcılık sağlar. Daha sonra, HTTP veya DNS üzerinden sabit kodlu bir komut ve kontrol (C2) sunucusuyla iletişime geçer ve talimat almak için bir komut döngüsüne girer.
Kalıcılık kurulumu birden fazla stratejiyi içerir:
- Kendini bir LaunchAgent veya sistem LaunchDaemon'u olarak kuruyor
- Başlatma komutu eklemek için .zshrc, .bash_profile veya .profile gibi kabuk profillerini değiştirme
Zaman Ezme Yoluyla Kaçış
Özellikle dikkat çekici bir kaçınma tekniği, CHILLYHELL'in kötü amaçlı dosyaların zaman damgalarını meşru sistem yapıtlarıyla uyumlu hale getirecek şekilde değiştiren zaman damgalama tekniğini kullanmasıdır. Yetersiz ayrıcalıklar nedeniyle doğrudan sistem çağrıları mümkün değilse, kötü amaçlı yazılım varsayılan olarak şu gibi kabuk komutlarını kullanır:
- touch -c -a -t (erişim zamanı değişikliği için)
- dokunmatik -c -m -t (değişiklik zamanını ayarlamak için)
Her iki komut da şüphe yaratmamak için geriye dönük bir zaman damgası dizesi içeriyor.
Komuta Yetenekleri
CHILLYHELL'in modüler tasarımı, operatörlere geniş bir işlev yelpazesi sunar. Desteklenen komutlar arasında şunlar bulunur:
- C2 sunucusuna ters bir kabuk başlatılıyor
- Güncellenmiş kötü amaçlı yazılım sürümlerini indirme
- Ek yükleri alma ve yürütme
- /etc/passwd'den kullanıcı hesaplarını numaralandırmak için ModuleSUBF modülünü çalıştırma
- C2 sunucusunun sağladığı bir parola listesini kullanarak kaba kuvvet saldırıları gerçekleştirme
Karmaşık bir macOS Tehdidi
Çoklu kalıcılık mekanizmaları, çok yönlü iletişim protokolleri ve modüler bir çerçeveyle CHILLYHELL, alışılmadık derecede gelişmiş bir macOS kötü amaçlı yazılımı olarak öne çıkıyor. Zaman aşımı ve parola kırma gibi özellikleri, onu platform ortamında görülen tipik tehditlerden ayırıyor.
Endişe verici bir ayrıntı, kötü amaçlı yazılımın Apple tarafından noter onaylı olması ve bu da tüm noter onaylı yazılımların güvenli olmadığını kanıtlıyor. Bu durum, kullanıcıların ve kuruluşların dikkatli olmaları ve güvenilirlik göstergesi olarak yalnızca kod imzalama veya noter onayına güvenmemeleri gerektiğini vurguluyor.
