CHILLYHELL MacOS 后门

网络安全专家发现了一个针对苹果 macOS 生态系统的全新恶意软件家族。该恶意软件被描述为名为 CHILLYHELL 的模块化后门，因其灵活性和先进的持久性方法而引发严重担忧。

起源与归因

CHILLYHELL 与一个名为 UNC4487 的未分类威胁集群有关联，据信该集群至少自 2022 年 10 月起活跃。情报报告显示，该组织很可能是一个间谍组织。其活动包括入侵乌克兰政府机构的网站，并诱骗访问者执行 Matanbuchus 或 CHILLYHELL 恶意软件。

技术背景

该后门程序用 C++ 编写，旨在在基于 Intel 的 macOS 系统上运行。一份新发现的 CHILLYHELL 样本（日期为 2025 年 5 月 2 日）显示，该恶意软件已于 2021 年由 Apple 公证，并自那时起公开托管在 Dropbox 上。在此发现之后，Apple 撤销了相关的开发者证书。

感染和持久机制

一旦部署到受害者系统上，CHILLYHELL 就会执行广泛的主机分析，然后使用三种不同的方法建立持久性。之后，它会通过 HTTP 或 DNS 连接硬编码的命令与控制 (C2) 服务器，并进入命令循环接收指令。

持久性设置涉及多种策略：

• 将自身安装为 LaunchAgent 或系统 LaunchDaemon
• 修改 shell 配置文件（例如 .zshrc、.bash_profile 或 .profile）以插入启动命令

通过时间戳进行逃避

CHILLYHELL 的一个特别值得注意的规避技术是使用时间戳技术，该技术会更改恶意文件的时间戳，使其与合法的系统文件混为一谈。如果由于权限不足而无法进行直接系统调用，该恶意软件会默认执行如下 shell 命令：

• touch -c -a -t（用于修改访问时间）
• touch -c -m -t（用于修改时间调整）

这两个命令都包含一个回溯的时间戳字符串以避免引起怀疑。

指挥能力

CHILLYHELL 的模块化设计为操作员提供了丰富的功能。支持的命令包括：

• 向 C2 服务器发起反向 shell
• 下载更新的恶意软件版本
• 检索并执行其他有效载荷
• 运行 ModuleSUBF 模块从 /etc/passwd 中枚举用户帐户
• 使用 C2 服务器提供的密码列表执行暴力攻击

复杂的 macOS 威胁

CHILLYHELL 拥有多种持久化机制、灵活的通信协议和模块化框架，是一款异常复杂的 macOS 恶意软件。其时间戳和密码破解等功能使其有别于该平台常见的常见威胁。

一个令人担忧的细节是，该恶意软件已获得苹果公证，这证明并非所有经过公证的软件都是安全的。这凸显了用户和组织需要保持警惕，不能仅仅依赖代码签名或公证作为可信度的指标。