Бекдор CHILLYHELL для MacOS
Експерти з кібербезпеки виявили нове сімейство шкідливих програм, спрямованих на екосистему macOS від Apple. Його описують як модульний бекдор під назвою CHILLYHELL, який викликає серйозні занепокоєння через свою гнучкість та передові методи збереження даних.
Зміст
Походження та атрибуція
Групу CHILLYHELL пов'язують із некатегоризованим кластером загроз під назвою UNC4487, який, як вважається, активний щонайменше з жовтня 2022 року. Згідно з даними розвідки, група, ймовірно, займається шпигунством. Її операції включають компрометацію веб-сайтів українських урядових установ та обманне спонукання відвідувачів до запуску шкідливого програмного забезпечення Matanbuchus або CHILLYHELL.
Технічна довідка
Бекдор написаний на C++ та розроблений для роботи на системах macOS на базі Intel. Нещодавно виявлений зразок CHILLYHELL, датований 2 травня 2025 року, показав, що шкідливе програмне забезпечення було нотаріально засвідчене Apple у 2021 році та з того часу публічно розміщене на Dropbox. Після цього відкриття Apple відкликала пов'язані з ним сертифікати розробника.
Механізми інфекції та персистенції
Після розгортання в системі жертви, CHILLYHELL виконує ретельне профілювання хоста, а потім встановлює персистентність за допомогою трьох різних методів. Після цього він зв'язується з жорстко запрограмованим сервером командного контролю (C2) через HTTP або DNS та входить у цикл команд для отримання інструкцій.
Налаштування персистентності включає кілька стратегій:
- Встановлення себе як LaunchAgent або системного LaunchDaemon
- Зміна профілів оболонки, таких як .zshrc, .bash_profile або .profile, для вставки команди запуску
Ухилення через обмеження часу
Особливо помітним методом ухилення є використання CHILLYHELL позначення часу, яке змінює позначки часу шкідливих файлів, щоб вони зливалися з легітимними артефактами системи. Якщо прямі системні виклики неможливі через недостатні привілеї, шкідливе програмне забезпечення за замовчуванням використовує команди оболонки, такі як:
- touch -c -a -t (для зміни часу доступу)
- touch -c -m -t (для налаштування часу модифікації)
Обидві команди містять рядок позначки часу з ретроспективною датою, щоб уникнути підозр.
Командні можливості
Модульна конструкція CHILLYHELL надає операторам широкий спектр функцій. Серед підтримуваних команд:
- Запуск зворотної оболонки для сервера C2
- Завантаження оновлених версій шкідливого програмного забезпечення
- Отримання та виконання додаткових корисних навантажень
- Запуск модуля ModuleSUBF для перерахування облікових записів користувачів з /etc/passwd
- Виконання атак методом перебору з використанням списку паролів, наданого сервером C2
Витончена загроза для macOS
Завдяки кільком механізмам персистентності, універсальним протоколам зв'язку та модульній структурі, CHILLYHELL виділяється як надзвичайно складне шкідливе програмне забезпечення для macOS. Такі функції, як встановлення часових міток та злом паролів, виділяють його серед типових загроз, що спостерігаються на платформі.
Одна тривожна деталь полягає в тому, що шкідливе програмне забезпечення було нотаріально засвідчене Apple, що доводить, що не все нотаріально засвідчене програмне забезпечення є безпечним. Це підкреслює необхідність для користувачів та організацій залишатися пильними та не покладатися виключно на підписання коду чи нотаріальне засвідчення як показники надійності.
