CHILLYHELL Cửa sau MacOS
Các chuyên gia an ninh mạng đã phát hiện ra một họ phần mềm độc hại mới nhắm vào hệ sinh thái macOS của Apple. Nó được mô tả là một backdoor dạng mô-đun có tên CHILLYHELL, đang gây ra những lo ngại nghiêm trọng do tính linh hoạt và khả năng tồn tại dai dẳng của nó.
Mục lục
Nguồn gốc và sự ghi nhận
CHILLYHELL đã được liên kết với một nhóm mối đe dọa chưa được phân loại có tên UNC4487, được cho là đã hoạt động ít nhất từ tháng 10 năm 2022. Các báo cáo tình báo cho thấy nhóm này có khả năng là một tác nhân gián điệp. Hoạt động của nhóm bao gồm xâm nhập các trang web của các cơ quan chính phủ Ukraine và lừa người dùng thực thi phần mềm độc hại Matanbuchus hoặc CHILLYHELL.
Nền tảng kỹ thuật
Cửa hậu được viết bằng C++ và được thiết kế để chạy trên các hệ thống macOS chạy chip Intel. Một mẫu CHILLYHELL mới được phát hiện, có niên đại ngày 2 tháng 5 năm 2025, cho thấy phần mềm độc hại này đã được Apple công chứng vào năm 2021 và được lưu trữ công khai trên Dropbox kể từ đó. Sau phát hiện này, Apple đã thu hồi các chứng chỉ nhà phát triển liên quan.
Cơ chế lây nhiễm và tồn tại
Sau khi được triển khai trên hệ thống của nạn nhân, CHILLYHELL sẽ thực hiện phân tích máy chủ mở rộng và sau đó thiết lập tính bền bỉ bằng ba phương pháp riêng biệt. Tiếp theo, nó liên hệ với máy chủ chỉ huy và điều khiển (C2) được mã hóa cứng qua HTTP hoặc DNS và nhập vòng lặp lệnh để nhận lệnh.
Thiết lập tính bền bỉ bao gồm nhiều chiến lược:
- Tự cài đặt như một LaunchAgent hoặc LaunchDaemon hệ thống
- Sửa đổi các cấu hình shell như .zshrc, .bash_profile hoặc .profile để chèn lệnh khởi chạy
Trốn tránh bằng cách giẫm đạp thời gian
Một kỹ thuật né tránh đặc biệt đáng chú ý là việc CHILLYHELL sử dụng kỹ thuật timestmpping, thay đổi dấu thời gian của các tệp độc hại để trà trộn vào các hiện vật hệ thống hợp lệ. Nếu không thể thực hiện các lệnh gọi hệ thống trực tiếp do không đủ đặc quyền, phần mềm độc hại sẽ mặc định sử dụng các lệnh shell như:
- touch -c -a -t (để sửa đổi thời gian truy cập)
- chạm -c -m -t (để điều chỉnh thời gian sửa đổi)
Cả hai lệnh đều bao gồm chuỗi dấu thời gian lùi lại để tránh nghi ngờ.
Khả năng chỉ huy
Thiết kế mô-đun của CHILLYHELL cung cấp cho người vận hành nhiều chức năng. Các lệnh được hỗ trợ bao gồm:
- Khởi chạy shell ngược tới máy chủ C2
- Tải xuống phiên bản phần mềm độc hại đã cập nhật
- Truy xuất và thực hiện các tải trọng bổ sung
- Chạy mô-đun ModuleSUBF để liệt kê tài khoản người dùng từ /etc/passwd
- Thực hiện các cuộc tấn công bằng cách sử dụng danh sách mật khẩu do máy chủ C2 cung cấp
Mối đe dọa tinh vi của macOS
Với nhiều cơ chế tồn tại dai dẳng, giao thức truyền thông đa dạng và khuôn khổ mô-đun, CHILLYHELL nổi bật là một phần mềm độc hại macOS cực kỳ tinh vi. Các tính năng như đếm thời gian và bẻ khóa mật khẩu giúp nó khác biệt so với các mối đe dọa thường thấy trên nền tảng này.
Một chi tiết đáng báo động là phần mềm độc hại đã được Apple công chứng, chứng minh rằng không phải tất cả phần mềm được công chứng đều an toàn. Điều này nhấn mạnh sự cần thiết phải cảnh giác của người dùng và các tổ chức, không chỉ dựa vào chữ ký mã hóa hoặc công chứng để đánh giá độ tin cậy.
