Посты
Какой бы безопасной не казалась экосистема Apple, иногда и с ней случаются неприятные ист…
20 сентября 2025 г. в 17:28•Max Knyazev is typing…Зеркало Telegram
Какой бы безопасной не казалась экосистема Apple, иногда и с ней случаются неприятные истории. А теперь обо всем по порядку 👇
Относительно недавно в MacOS нашли бэкдор с симпатичным названием ChillyHell. Jamf Threat Labs наткнулись на образец, который кто-то залил в VirusTotal в мае 2025 года, но технически он был подписан Apple ещё в 2021 году. То есть официально «доверенный» бинарник, который при желании делает всё не то чтобы «плохо» — а напрямую злономеренно. Это модульный C++-бэкдор для Intel-машин, способный загружать модули, обновлять себя и долго сидеть в системе, маскируясь под легитимный нормальный софт
Что особенно режет глаз: Mandiant впервые упомянули родственную семью вредоносов ещё в 2023 году и связали их с группой, которую они отслеживали как UNC4487 (в материалах говорилось о целевой атаке на сайт автострахования, используемый госслужащими в Украине). Но тогда подробностей не предоставили, и часть сообщества просто не среагировала🙈 🙉 🙊
Jamf показывает, что ChillyHell использует три способа закрепления в системе. Если его запустить от обычного пользователя — он прописывается как LaunchAgent; если с повышением привилегий — как LaunchDaemon. А ещё у него «запасной аэродром»: он пишет автозапуск в ~/.zshrc / .bash_profile / .profile, так что каждый новый терминальный сеанс снова поднимает его. Помимо этого, злоумышленники применяют timestomping — подмену временных меток файлов, чтобы искусственно состарить их и не вызвать подозрений
Модульная архитектура делает ChillyHell ощутимо опаснее: там и поддержка загрузки дополнительных компонентов, и выполнение брутфорса паролей, и сбор имён локальных пользователей для целевых атак, и кража учётных данных — короче, отличный универсальный инструмент для тех, кто планирует долгую и таргетированную атаку на заражённой машине. При этом образец в открытом доступе лежал в папке Dropbox с 2021 года, оставаясь в белом списке📝
Пока непонятно, сколько машин реально пострадало. Руководитель Jamf Threat Labs прямо ответил, что «невозможно сказать», сколько компьютеров было заражено — но по архитектуре аналитики склоняются к тому, что это не массовая «волна» типа ботнета, а инструмент для целевых атак. Apple уже отозвала сертификаты, связанные с образцом, но это не отменяет угрозы для тех, у кого инстанс давно стоит и автономно существует
От себя добавлю, что подписи != безопасность; модульность и множественные механизмы автозапуска + timestomping — рецепт для тихого длительного присутствия. Так что если у вас есть маки (особенно на Intel), пора снимать розовые очки🐣
Что рекомендую я
Открываем терминал и вбиваем следующее:
— посмотреть необычные plist
— простой поиск по имени
— поиск индикаторов из отчёта
Берегите себя и свои устройства😉
#информационная_безопасность
Открыть исходный пост в TelegramОтносительно недавно в MacOS нашли бэкдор с симпатичным названием ChillyHell. Jamf Threat Labs наткнулись на образец, который кто-то залил в VirusTotal в мае 2025 года, но технически он был подписан Apple ещё в 2021 году. То есть официально «доверенный» бинарник, который при желании делает всё не то чтобы «плохо» — а напрямую злономеренно. Это модульный C++-бэкдор для Intel-машин, способный загружать модули, обновлять себя и долго сидеть в системе, маскируясь под легитимный нормальный софт
Что особенно режет глаз: Mandiant впервые упомянули родственную семью вредоносов ещё в 2023 году и связали их с группой, которую они отслеживали как UNC4487 (в материалах говорилось о целевой атаке на сайт автострахования, используемый госслужащими в Украине). Но тогда подробностей не предоставили, и часть сообщества просто не среагировала
Jamf показывает, что ChillyHell использует три способа закрепления в системе. Если его запустить от обычного пользователя — он прописывается как LaunchAgent; если с повышением привилегий — как LaunchDaemon. А ещё у него «запасной аэродром»: он пишет автозапуск в ~/.zshrc / .bash_profile / .profile, так что каждый новый терминальный сеанс снова поднимает его. Помимо этого, злоумышленники применяют timestomping — подмену временных меток файлов, чтобы искусственно состарить их и не вызвать подозрений
Модульная архитектура делает ChillyHell ощутимо опаснее: там и поддержка загрузки дополнительных компонентов, и выполнение брутфорса паролей, и сбор имён локальных пользователей для целевых атак, и кража учётных данных — короче, отличный универсальный инструмент для тех, кто планирует долгую и таргетированную атаку на заражённой машине. При этом образец в открытом доступе лежал в папке Dropbox с 2021 года, оставаясь в белом списке
Пока непонятно, сколько машин реально пострадало. Руководитель Jamf Threat Labs прямо ответил, что «невозможно сказать», сколько компьютеров было заражено — но по архитектуре аналитики склоняются к тому, что это не массовая «волна» типа ботнета, а инструмент для целевых атак. Apple уже отозвала сертификаты, связанные с образцом, но это не отменяет угрозы для тех, у кого инстанс давно стоит и автономно существует
От себя добавлю, что подписи != безопасность; модульность и множественные механизмы автозапуска + timestomping — рецепт для тихого длительного присутствия. Так что если у вас есть маки (особенно на Intel), пора снимать розовые очки
Что рекомендую я
1️⃣ проверьте /Library/LaunchDaemons и ~/Library/LaunchAgents на необычные plist и сделайте grep по содержимому на названия/хэши из отчёта Jamf2️⃣ проверьте ~/.zshrc/.bash_profile/.profile на незнакомые строки автозапуска3️⃣ проверьте подписанные приложения, особенно те, которые были получены через сторонние ссылки/Dropbox (не через App Store)4️⃣ поместите подозрительные бинарники в песочницу и посмотрите сетевую активность (C2-связи обычно выявляют смену протоколов у ChillyHell)
Открываем терминал и вбиваем следующее:
ls ~/Library/LaunchAgents /Library/LaunchDaemons
— посмотреть необычные plist
grep -R "applet" ~/Library /Library /Users 2>/dev/null
— простой поиск по имени
grep -E "applet|chrome_render|eDrawMax" -R /Users /Library 2>/dev/null
— поиск индикаторов из отчёта
Берегите себя и свои устройства
#информационная_безопасность