Новое вредоносное ПО под названием ChillyHell, разработанное в 2021 году, стало предметом пристального внимания в IT-сообществе после его публичного раскрытия в 2025 году. Это ПО было обнаружено только в 2023 году компанией Mandiant, которая атрибутировала его группе UNC4487. ChillyHell было создано для операционной системы macOS и прошло нотификацию Apple, что позволило ему оставаться незамеченным на протяжении нескольких лет.
Особенности архитектуры и действия
ChillyHell предоставляет операторам обратную оболочку, возможность самообновления, а также может загружать и исполнять дополнительные модули. Важно отметить, что его полезные нагрузки были распределены по нескольким модулям и подписаны с использованием действительного идентификатора разработчика Apple. Это сделало программу способной оставаться под видом безобидного приложения, избегая стандартных индикаторов вредоносного поведения, таких как эскалация привилегий или сетевое сканирование.
Целенаправленные атаки
В ходе расследования, проведенного Mandiant, было выявлено, что главной целью операторов ChillyHell были украинские чиновники, атакуя их через сайт автострахования. Mandiant отметила данное ПО, прикрепив к нему имя и классификацию как UNC4487, но не предоставила подробной технической информации на тот момент.
Обнародование и текущие угрозы
Лишь в 2025 году компания Jamf Threat Labs раскрыла детали о ChillyHell, описав его архитектуру, методы сохранности и уклонения от обнаружения. Стоит отметить, что образцы этого ПО, загруженные в сервис VirusTotal, всё ещё оставались нераспознанными антивирусными программами. Означает ли это, что мир стоит на пороге новых угроз? Возможно, особенно учитывая то, что Apple не отменила нотификацию и антивирусные системы не обнаруживают данную угрозу.
Раскрытие подробностей о ChillyHell подчеркивает необходимость повышенной бдительности и внедрения новых мер кибербезопасности для защиты от подобных угроз в будущем.
