Source: https://www.darkreading.com/endpoint-security/dormant-macos-backdoor-chillyhell-resurfaces
🛡 概要
ChillyHellは、ウクライナの公務員に対する攻撃で初めて確認されたmacOS向けのモジュラー型バックドアマルウェアです。3年前に姿を消しましたが、最近新バージョンが発見されました。このマルウェアは、攻撃者にリモートアクセスを提供し、ペイロードの配信やパスワードのブルートフォースなどの機能を持っています。Jamf Threat Labsによると、2021年にAppleによりノータリゼーションされたChillyHellの新しいサンプルがVirusTotalにアップロードされ、2023年にMandiantによって報告された以前のバージョンと一致しています。新しいサンプルは、2021年からDropboxに公開されていました。
🔍 技術詳細
ChillyHellは、ホストシステムのプロファイリングを行い、持続性を確立しようとします。成功すると、コマンド・アンド・コントロール(C2)インフラストラクチャとの接続を確立します。このマルウェアは、通常のユーザーとして実行されると、LaunchAgentとして自動起動するplistファイルを作成します。特権を持たない状態での持続性を確保するためのメカニズムが3つあり、特に強力です。また、C2からのコマンドを受け取り、データの漏洩、追加ペイロードの配信、ユーザーアカウントの列挙などを行います。CVEやCVSSに関する具体的な情報は確認できませんでしたが、ChillyHellのユニークな機能として、感染したマシンのユーザーアカウントに対するローカルパスワードのクラッキング機能があります。
⚠ 影響
ChillyHellの再浮上は、macOSプラットフォームが攻撃対象としての注目を集めていることを示しています。特に、企業がこのプラットフォームを利用する際にはセキュリティの重要性を再認識する必要があります。Jamfの研究者は、マルウェアのノータリゼーションが取り消されたことを強調し、悪意のあるコードが必ずしも署名なしで存在するわけではないと警告しています。ChillyHellの持続性メカニズムやデータ漏洩の機能は、企業の情報セキュリティに重大なリスクをもたらします。
🛠 対策
ChillyHellのようなマルウェアから身を守るためには、まず、信頼できるソースからのみソフトウェアをインストールすることが重要です。また、定期的にシステムの監視を行い、異常な行動や不審なファイルの存在を確認する必要があります。Jamfは、感染したシステム上におけるバックドアの証拠を特定するための包括的な指標を提供しており、IoCを利用することで迅速な対応が可能です。最終的には、企業内でのセキュリティ意識を高め、従業員に対して教育を行うことが、ChillyHellのような脅威からの防御に繋がります。
