Siber güvenlik araştırmacıları, modüler bir Apple macOS arka kapı dahil olmak üzere iki yeni kötü amaçlı yazılım ailesi keşfettiler. Izgara ve GO tabanlı bir uzaktan erişim Trojan (sıçan) Zynorrat Bu hem Windows hem de Linux sistemlerini hedefleyebilir.
JAMF Tehdit Laboratuvarı’ndan bir analize göre, Chillyhell C ++ ile yazılmıştır ve Intel mimarileri için geliştirilmiştir.
Chillyhell, UNC4487 olarak adlandırılan kategorize edilmemiş bir tehdit kümesine atfedilen bir kötü amaçlı yazılım için atanan isimdir. Hacking grubunun en azından Ekim 2022’den beri aktif olduğu değerlendiriliyor.
Google Mandiant tarafından paylaşılan tehdit istihbaratına göre, UNC4487, Ukrayna hükümet kuruluşlarının web sitelerinden Matanbuchus veya Chillyhell kötü amaçlı yazılımları yürütmek için hedefleri yönlendirmek ve sosyal olarak mühendislik yapmak için tehlikeye atılan şüpheli bir casusluk aktörüdür.
Apple Cihaz Yönetim Şirketi, 2 Mayıs 2025’te Virustotal kötü amaçlı yazılım tarama platformuna yüklenen yeni bir Chillyhell örneği keşfettiğini söyledi. 2021’de Apple tarafından noterlenen artefakt, o zamandan beri Dropbox’ta halka açık bir şekilde barındırıldığı söyleniyor. Apple o zamandan beri kötü amaçlı yazılımlarla bağlantılı geliştirici sertifikalarını iptal etti.
Uygulandıktan sonra, kötü amaçlı yazılım, tehlikeye atılan ana bilgisayarın kapsamlı bir şekilde profilini oluşturur ve üç farklı yöntem kullanarak kalıcılık oluşturur, ardından sabit kodlu bir sunucu (93.88.75) ile komut ve kontrol (C2) iletişimi başlatır.[.]252 veya 148.72.172[.]53) HTTP veya DNS üzerinden ve operatörlerinden daha fazla talimat almak için bir komut döngüsüne girer.
Kalıcını ayarlamak için, Chillyhell kendini bir lansman veya sistem Launchdaemon olarak yükler. Bir yedekleme mekanizması olarak, yapılandırma dosyasına bir başlatma komutu enjekte etmek için kullanıcının kabuk profilini (.zshrc, .bash_profile veya .profile) değiştirir.
Kötü amaçlı yazılım tarafından benimsenen kayda değer bir taktik, kırmızı bayrakları yükseltmekten kaçınmak için oluşturulan eserlerin zaman damgalarını değiştirmek için zamanlama kullanımıdır.
Jamf araştırmacıları Ferdous Saljooki ve Maggie Zirnelt, “Zaman damgalarını doğrudan bir sistem çağrısı ile güncellemek için yeterli izni yoksa, sırasıyla, her biri komutun sonuna dahil olan bir argüman olarak geçmişten bir tarihi temsil eden biçimlendirilmiş bir dizeye sahip, sırasıyla Touch -C -A -t ve Touch -c -m -t, kabuk komutları kullanmaya geri dönecektir.”
Chillyhell, C2 IP adresine bir ters kabuk başlatmasına, kötü amaçlı yazılımların yeni bir sürümünü indirmesine, ek yükleri getirmesine, “/etc/passwd” den kullanıcı hesaplarını numaralandırmak için Modulesubf adlı bir modül çalıştırmasına ve C2 sunucusundan alınan önceden tanımlanmış bir şifre listesi kullanılarak brute-force saldırıları gerçekleştirmesine izin veren çok çeşitli komutları destekler.
Jamf, “Çoklu kalıcılık mekanizmaları, farklı protokoller ve modüler yapı üzerinden iletişim kurma yeteneği arasında Chillyhell olağanüstü esnektir.” Dedi. “Timestomping ve şifre çatlaması gibi yetenekler bu örneği mevcut macOS tehdit manzarasında alışılmadık bir bulma haline getiriyor.”
“Özellikle, Chillyhell noter tasdik edildi ve tüm kötü amaçlı kodların imzasız gelmediğini önemli bir hatırlatma görevi görüyor.”
Bulgular, enfekte olmuş pencereler ve Linux ana bilgisayarlarına komuta etmek için @LraterRorsbot (LRAT, aka LRAT) adlı bir telgraf botu kullanan bir sıçan olan Zynorrat’ın keşfi ile ilgili bulgular. Kanıtlar, kötü amaçlı yazılımın ilk olarak 8 Temmuz 2025’te Virustotal’a gönderildiğini göstermektedir. Bilinen diğer kötü amaçlı yazılım aileleriyle örtüşmeyi paylaşmaz.
Go ile derlenen Linux sürümü, dosya eksfiltrasyonu, sistem numaralandırması, ekran görüntüsü yakalama, SystemD hizmetleri aracılığıyla kalıcılık ve keyfi komut yürütme –
- /fs_list, dizinleri numaralandırmak için
- /fs_get, ana bilgisayardan dosyaları dışarı atmak için
- /metrikler, sistem profili oluşturma
- /proc_list, “PS” Linux komutunu çalıştırmak için
- /proc_kill, PID’yi giriş olarak geçirerek belirli bir süreci öldürmek için
- /capture_display, ekran görüntüleri almak için
- /kalıcılık yapmak için kalıcılık
Zynorrat’ın Windows sürümü, Linux tabanlı kalıcılık mekanizmalarına başvururken Linux muadiline yakındır. Bu muhtemelen Windows varyantının geliştirilmesinin devam eden bir çalışma olduğunu göstermektedir.
Sysdig araştırmacısı Alessandra Rizzo, “Ana amacı, bir telgraf botu aracılığıyla merkezi olarak yönetilen bir koleksiyon, pesfiltrasyon ve uzaktan erişim aracı olarak hizmet etmektir.” Dedi. “Telegram, kötü amaçlı yazılımın bir kurban makinesine konuşlandırıldıktan sonra daha fazla komut aldığı ana C2 altyapısı olarak hizmet veriyor.”
Telgraf botu aracılığıyla sızan ekran görüntülerinin daha fazla analizi, yüklerin Dosya.co olarak bilinen bir dosya paylaşım hizmeti aracılığıyla dağıtıldığını ve kötü amaçlı yazılım yazarının işlevselliği test etmek için kendi makinelerine “enfekte olabileceğini” ortaya koymuştur.
Zynorrat’ın telgraf sohbetlerinde kullanılan dil göz önüne alındığında, muhtemelen Türk kökenli yalnız bir aktörün işi olduğuna inanılıyor.
Rizzo, “Kötü amaçlı yazılım ekosisteminin sıçan sıkıntısı olmamasına rağmen, kötü amaçlı yazılım geliştiricileri hala zamanlarını sıfırdan yaratmaya adıyorlar.” Dedi. “Zynorrat’ın özelleştirmesi ve otomatik kontrolleri, en erken aşamalarında bile modern kötü amaçlı yazılımların gelişen sofistike olmasının altını çiziyor.”