اكتشف باحثو الأمن السيبراني عائلتيْ برمجيات خبيثة جديدتين، تتضمنان بابًا خلفيًا موديولاريًا على نظام Apple macOS يُسمَّى CHILLYHELL، وبرمجية وصول عن بُعد (RAT) مكتوبة بلغة Go تُسمَّى ZynorRAT تستهدف أنظمة Windows وLinux على حدٍّ سواء.
اكتشاف CHILLYHELL وتحليلها
وفقًا لتحليل أجرته Jamf Threat Labs، كُتِبَت CHILLYHELL بلغة C++ وطُوِّرت لهياكل Intel.
تم تسمية البرمجية الخبيثة CHILLYHELL ونسبتها إلى مجموعة تهديد غير مصنفة أُطلق عليها التسمية UNC4487. تُقيَّم المجموعة بأنها نشطة منذ أكتوبر 2022 على الأقل.
وبحسب استخبارات التهديد التي شاركتها Google Mandiant، تُعتقد أن UNC4487 فاعل تجسسي، وقد رُصِد استهداف مواقع إلكترونية تابعة لجهات حكومية أوكرانية بهدف إعادة التوجيه والهندسة الاجتماعية لحثّ الضحايا على تنفيذ برمجيات Matanbuchus أو CHILLYHELL.
قالت شركة إدارة أجهزة Apple إنها عثرت على عيِّنة CHILLYHELL جديدة رُفِعت إلى منصة فحص البرمجيات الخبيثة VirusTotal في 2 مايو 2025. وتبيّن أن الملف المُعدّ جرى توقيعه (notarized) من Apple في عام 2021، وأنه استُضاف علنًا عبر Dropbox منذ ذلك الحين. وقد ألغت Apple لاحقًا شهادات المطوِّر المرتبطة بهذه البرمجية.
سلوك البرمجية عند التنفيذ
عند التشغيل، يجري على المضيف المخترق تجميع معلومات شاملة (profiling)، ثم تسعى البرمجية لإقامة آليات استمرارية (persistence) من خلال ثلاث طرق مختلفة، ثم تبدأ اتصالات تحكمٍ وسيطرة (C2) مع خادم ثابت مُشفَّر/محدّد، وتدخل في حلقة أوامر تتلقّى من خلالها تعليمات لاحقة من المشغلين.
عناوين IP الثابتة المضمنة في البرمجية (hard-coded C2):
بروتوكولات الاتصال المستخدمة: HTTP أو DNS.
طرق الإقامة (Persistence)
تقوم CHILLYHELL بإحدى الطريقتين التاليتين لإعداد الاستمرارية:
-
تثبيت نفسها كـ LaunchAgent للمستخدم.
-
أو كـ LaunchDaemon للنظام.
كمخطط احتياطي، تُعدِّل البرمجية ملف تهيئة الـ shell للمستخدم لإدراج أمر تشغيل، مثل: .zshrc أو .bash_profile أو .profile.
Timestomping (تغيير الطوابع الزمنية)
تبنّت البرمجية تقنية timestomping لتعديل طوابع الوقت للملفات المُنشأَة بهدف تفادي كشف الأنظمة. ينوّه الباحثون إلى السلوك التالي:
إذا لم تتوفر صلاحيات كافية لتحديث الطوابع عبر استدعاء نظام مباشر، فإن البرمجية تُرجع إلى استخدام أوامر الشل التالية مع سلسلة تمثّل تاريخًا من الماضي:
وقال باحثو Jamf (Ferdous Saljooki وMaggie Zirnhelt) إن هذا التكتيك يُعدّ مميّزًا ويُستخدم لتقليل الشبهات حول الملفات المُنشأة.
قدرات وأوامر CHILLYHELL
تدعم CHILLYHELL مجموعة واسعة من الأوامر، من بينها:
-
إطلاق قشرة عكسية (reverse shell) إلى عنوان C2.
-
تنزيل إصدار جديد من البرمجية.
-
جلب حمولات إضافية.
-
تشغيل وحدة اسمها ModuleSUBF التي تقوم بـ:
-
جرد حسابات المستخدمين من
/etc/passwd. -
تنفيذ هجمات كلمات مرور بالقوة الغاشمة (brute-force) باستخدام قائمة كلمات مرور مُحدَّدة يتم جلبها من خادم C2.
-
اختتمت Jamf بالقول إن تعدد آليات الاستمرارية، والقدرة على التواصل عبر بروتوكولات مختلفة، وبنيتها الموديولارية تجعل CHILLYHELL مرنة للغاية. كما أن قدرات مثل timestomping وكسر كلمات المرور تجعل هذا العيّنة استثنائية في مشهد تهديدات macOS الحالي.
كما نوّهت Jamf إلى أنَّ CHILLYHELL كانت موقعة ومصدّقة (notarized)، ما يذكّر بأنّ ليس كل التعليمات الخبيثة تأتي موقعة أو غير موقعة.
اكتشاف ZynorRAT ووصفه
تتقاطع هذه النتائج مع اكتشاف ZynorRAT، وهو RAT يستخدم بوت Telegram باسم @lraterrorsbot (المعروف أيضًا بـ lrat) للتحكّم في مضيفات Windows وLinux المصابة. تظهر الأدلة أن البرمجية رُفعت لأول مرة إلى VirusTotal في 8 يوليو 2025. لا تُظهر ZynorRAT أي تشابكات مع عائلات برمجية معروفة أخرى.
كُوِّنت هذه البرمجية بلغة Go؛ وتدعم نسخة Linux مجموعة واسعة من الوظائف التي تمكّن من:
-
سَرِقَة الملفات (exfiltration).
-
جرد النظام (system enumeration).
-
التقاط لقطات شاشة.
-
إقامة الاستمرارية عبر خدمات systemd.
-
تنفيذ أوامر عشوائية عن بُعد.
نقاط نهاية/أوامر مدرجة في التحليل (أمثلة):
تشابه نسخة Windows النسخة الخاصة بـLinux إلى حدٍّ كبير، مع اعتماد نسخة Windows على آليات استمرارية من نمط Linux في الوقت الحالي، ما يشير إلى أن تطوير النسخة الخاصة بـWindows لا يزال جارٍ.
قالت الباحثة Alessandra Rizzo في Sysdig إن الهدف الرئيسي للبرمجية هو العمل كأداة تجميع وسرقة والوصول عن بُعد تُدار مركزيًا من خلال بوت Telegram. يعمل Telegram كبُنية تحكمٍ رئيسية يَتلقّى عبرها البرمجية الأوامر بعد نشرها على جهاز الضحية.
المزيد من الاستخبارات
تحليل لقطات الشاشة المسربة عبر بوت Telegram كشف أن الحمولات تُوزَّع عبر خدمة مشاركة ملفات تُدعى Dosya.co، وأنه من المُحتَمَل أن مطوِّر البرمجية اختبر وظائفها عبر “إصابة” أجهزته الخاصة لضمان الفاعلية.
يُعتقد أن ZynorRAT من عمل فاعل منفرد قد يكون من أصل تركي، استنادًا إلى لغة المحادثات في Telegram.
خُتِمَ التحليل بالتنبيه إلى أن بيئة البرمجيات الخبيثة مليئة بأدوات RAT، لكن المطورين لا يزالون يبذلون جهودًا لبنائها من الصفر. توضح أتمتة التحكم وتخصيص ZynorRAT تطوّر تعقيد البرمجيات الخبيثة الحديثة حتى في مراحلها الأولى.
