Исследователи Jamf Threat Labs обнаружили ранее неизвестный образец модульного бэкдора ChillyHell, нацеленного на компьютеры macOS. Несмотря на то, что данное вредоносное ПО (malicious software) было впервые анонсировано в закрытом отчете Mandiant в 2023 году, новый вариант оставался незамеченным с 2021 года, успешно пройдя процедуру нотаризации Apple и используя легитный сертификат разработчика.
Описание
Уникальность находки заключается в том, что образец под названием applet.app был загружен на VirusTotal только в мае 2025 года, однако активно распространялся через Dropbox с 2021 года. Он использует тот же TeamID (R868N47FV5), что и ранее документированные образцы ChillyHell, и обладает схожим функционалом. Это указывает на продолжение кампании злоумышленников, связанных с группировкой UNC4487, которая ранее атаковала правительственные структуры Украины.
Технический анализ показал, что ChillyHell представляет собой модульный бэкдор, написанный на C++ для архитектуры Intel. Программа маскируется под легитное приложение, но не содержит скриптов AppleScript, что является явным признаком злонамеренности. После запуска вредоносное ПО выполняет комплексное профилирование системы, включая перечисление пользователей, сбор данных о процессах и анализ переменных окружения.
Для обеспечения устойчивости в системе ChillyHell использует три механизма персистентности. В контексте обычного пользователя он устанавливается как LaunchAgent, при повышенных привилегиях - как системный LaunchDaemon. Дополнительно бэкдор может внедрять команду запуска в shell-профили (.zshrc, .bash_profile), обеспечивая выполнение при каждом новом сеансе терминала. После установки малвар применяет технику timestomping, манипулируя временными метками файлов для скрытия следов компрометации.
Ключевой особенностью бэкдора является его модульная архитектура и поддержка нескольких протоколов для связи с командным центром (C2). ChillyHell использует как HTTP, так и DNS-транспорт, а его инфраструктура включает два хардкодных IP-адреса с портами 53, 80, 1001 и 8080. Основной цикл выполнения включает получение задач, их дедупликацию, выполнение через соответствующий модуль и случайную паузу между опросами.
Среди модулей выделяются: ModuleBackconnectShell для обратных shell-сессий, ModuleUpdater для обновления, ModuleLoader для выполнения произвольных нагрузок и ModuleSUBF для brute-force атак на локальные учетные записи. Последний модуль загружает инструмент kerberos и словари паролей с C2, а затем проводит атаки перебором, сохраняя успешные попытки в файл good.txt.
Обнаружение нотаризированного вредоносного ПО подчеркивает, что даже подписанные и проверенные Apple приложения могут нести угрозу. Эксперты Jamf Threat Labs рекомендуют соблюдать осторожность при установке ПО из непроверенных источников и использовать комплексные решения для защиты конечных точек. После обращения исследователей Apple отозвала связанные с угрозой сертификаты разработчика.
Индикаторы компрометации
IPv4
- 148.72.172.53
- 93.88.75.252
SHA1
- 6a144aa70128ddb6be28b39f0c1c3c57d3bf2438
- 785eb7488b4b077d31b05a9405c8025e38c1626f
- 87dcb891aa324dcb0f4f406deebb1098b8838b96
- c52e03b9a9625023a255f051f179143c4c5e5636
- d83216abbcb331aa1bfa12a69996ca12cc5c6289
- e2037eac2a8ec617a76c15067856580c8b926b37
