Eigenlijk is de ChillyHell-malware een oude bekende. Het in 2023 door Mandiant ontdekte stukje software blijft ondanks dit feit onder de radar vliegen. Een nieuw rapport van Jamf Threat Labs moet hier verandering in brengen.
Het nieuwe Jamf-rapport duikt diep in de malware en bijbehorende cyberaanvaller die we voor het gemak “ChillyHell” blijven noemen. Dat was de naam gekozen door Mandiant, hoewel de entiteit ook als UNC4487 en de malware tevens als MATANBUCHUS bekendstaat.
Geen echte applet
Een applet, ofwel een script op macOS dat zich gedraagd als een uitvoerbaar bestand, is ChillyHell niet. Het lijkt er wel op dankzij de applet.app-naamgeving. Nadat de applet het eigen voortbestaan garandeert via een command & control (C2)-verbinding, begint ChillyHell met de dataverzameling. Aanvankelijk is dit een oppervlakkige profilering van de omgeving waarin het zich bevindt. De malware installeert zichzelf vervolgens als een LaunchAgent of LaunchDaemon. Als dit niet werkt, activeert het bij het openen van de terminal.
ChillyHell blijkt lastig te detecteren omdat het artefacten verwijdert die anders prijsgeven dat de malware aanwezig is. Ook het malafide werk blijft veelal geheim: de malware gaat op willekeurige wijze in slaapmodus en communiceert via verschillende protocollen. “ChillyHell is opmerkelijk flexibel,” aldus de Jamf-onderzoekers. Het is modulair van aard, weet wachtwoorden te kraken en verwijdert bewijs van het eigen bestaan.
Lees ook: Hackers misbruiken DNS voor malware
Indicators of Compromise
Gelukkig zijn er Indicators of Compromise die macOS-gebruikende organisaties kunnen nagaan. Jamf’s onderzoeksteam heeft dit op kunnen stellen met hulp van Google Threat Intelligence en Apple, die volgens eerstgenoemde snel te werk ging voor assistentie.
De ’telltale signs’ in plaintext, die in de logs op macOS te zien zouden zijn:
1 ARCHIVE/APP:
2
3 d83216abbcb331aa1bfa12a69996ca12cc5c6289 (applet.zip)
4 6a144aa70128ddb6be28b39f0c1c3c57d3bf2438 (applet.app/Contents/MacOS/applet)
5 TEAMID: R868N47FV5 (Notarized App Bundle)
6
7 IP:
8
9 93[.]88.75.252
10 148[.]72.172.53
11
12 PATH:
13
14 /Users//Library/LaunchAgents/com.apple.qtop.plist 15 /Users//Library/com.apple.qtop/qtop
16
17 /Library/LaunchDaemons/com.apple.qtop.plist
18 /usr/local/bin/qtop
19
20 /tmp/kworker
21
22 MANDIANT DISCOVERED ARCHIVE/APP:
23
24 e2037eac2a8ec617a76c15067856580c8b926b37 (eDrawMaxBeta2023.zip)
25 c52e03b9a9625023a255f051f179143c4c5e5636
(eDrawMaxBeta2023.app/Contents/MacOS/eDrawMaxBeta)
26 TEAMID: F645668Q3H (Notarized App Bundle)
27
28 785eb7488b4b077d31b05a9405c8025e38c1626f (chrome_render.zip)
29 87dcb891aa324dcb0f4f406deebb1098b8838b96
(chrome_render.app/Contents/MacOS/chrome_render)
30 TEAMID: R868N47FV5 (Non-Notarized App Bundle)
31
32