CHILLYHELL MacOS バックドア
サイバーセキュリティの専門家は、AppleのmacOSエコシステムを標的とする新たなマルウェアファミリーを発見しました。これは「CHILLYHELL」と呼ばれるモジュール型バックドアで、その柔軟性と高度な永続化手法により深刻な懸念を引き起こしています。
目次
起源と帰属
CHILLYHELLは、UNC4487という未分類の脅威クラスターと関連付けられており、少なくとも2022年10月から活動していると考えられています。情報機関の報告によると、このグループはスパイ活動を行っている可能性が高いようです。その活動には、ウクライナ政府機関のウェブサイトへの侵入や、訪問者を騙してMatanbuchusまたはCHILLYHELLマルウェアを実行させることが含まれます。
技術的背景
このバックドアはC++で記述されており、IntelベースのmacOSシステムで動作するように設計されています。2025年5月2日付のCHILLYHELLサンプルが新たに発見され、このマルウェアが2021年にAppleによって認証され、それ以降Dropboxで公開ホスティングされていたことが明らかになりました。この発見を受けて、Appleは関連する開発者証明書を失効させました。
感染と持続のメカニズム
CHILLYHELLは、被害者のシステムに展開されると、広範囲にわたるホストプロファイリングを実行し、3つの異なる手法を用いて永続性を確立します。その後、HTTPまたはDNS経由でハードコードされたコマンドアンドコントロール(C2)サーバーに接続し、コマンドループに入り、指示を受け取ります。
永続性の設定には複数の戦略が関係します。
- LaunchAgentまたはシステムLaunchDaemonとしてインストールする
- .zshrc、.bash_profile、.profile などのシェル プロファイルを変更して起動コマンドを挿入する
タイムストンプによる回避
CHILLYHELLが特に注目すべき回避手法は、タイムストンプングです。これは、悪意のあるファイルのタイムスタンプを改ざんし、正規のシステムアーティファクトに紛れ込ませるものです。権限不足により直接システムコールを実行できない場合、マルウェアはデフォルトで以下のようなシェルコマンドを使用します。
- touch -c -a -t (アクセス時間の変更)
- touch -c -m -t (変更時刻の調整用)
どちらのコマンドにも、疑いを避けるために、日付が遡ったタイムスタンプ文字列が含まれています。
コマンド機能
CHILLYHELLのモジュール設計により、オペレーターは幅広い機能を利用できます。サポートされているコマンドには以下が含まれます。
- C2サーバーへのリバースシェルの起動
- マルウェアの更新バージョンをダウンロードする
- 追加のペイロードの取得と実行
- ModuleSUBFモジュールを実行して、/etc/passwdからユーザーアカウントを列挙する
- C2サーバーから提供されたパスワードリストを使用してブルートフォース攻撃を実行する
洗練されたmacOSの脅威
CHILLYHELLは、複数の永続化メカニズム、多様な通信プロトコル、そしてモジュール型フレームワークを備え、非常に洗練されたmacOSマルウェアとして際立っています。タイムスタンプ攻撃やパスワードクラッキングといった機能は、このプラットフォームで見られる典型的な脅威とは一線を画しています。
憂慮すべき点の一つは、このマルウェアがAppleによって認証されていたことです。これは、認証済みのソフトウェアがすべて安全であるとは限らないことを示しています。これは、ユーザーと組織が常に警戒を怠らず、信頼性の指標としてコード署名や認証だけに頼らないことの必要性を浮き彫りにしています。
