CHILLYHELL MacOS 後門

網路安全專家發現了一個針對蘋果 macOS 生態系統的全新惡意軟體家族。該惡意軟體被描述為名為 CHILLYHELL 的模組化後門，因其靈活性和先進的持久性方法而引發嚴重擔憂。

起源與歸因

CHILLYHELL 與一個名為 UNC4487 的未分類威脅群集有關聯，據信該群集至少自 2022 年 10 月起活躍。情報報告顯示，該組織很可能是間諜組織。其活動包括入侵烏克蘭政府機構的網站，並誘騙訪客執行 Matanbuchus 或 CHILLYHELL 惡意軟體。

技術背景

此後門程式以 C++ 編寫，旨在在基於 Intel 的 macOS 系統上運作。一份新發現的 CHILLYHELL 樣本（日期為 2025 年 5 月 2 日）顯示，該惡意軟體已於 2021 年由 Apple 公證，並自那時起公開託管在 Dropbox 上。在此發現之後，Apple 撤銷了相關的開發者憑證。

感染和持久機制

一旦部署到受害者係統上，CHILLYHELL 就會執行廣泛的主機分析，然後使用三種不同的方法建立持久性。之後，它會透過 HTTP 或 DNS 連接硬編碼的命令與控制 (C2) 伺服器，並進入命令循環接收指令。

持久性設定涉及多種策略：

• 將自己安裝為 LaunchAgent 或系統 LaunchDaemon
• 修改 shell 設定檔（例如 .zshrc、.bash_profile 或 .profile）以插入啟動命令

透過時間戳進行逃避

CHILLYHELL 的一個特別值得注意的規避技術是使用時間戳技術，該技術會更改惡意檔案的時間戳，使其與合法的系統檔案混為一談。如果因為權限不足而無法進行直接系統調用，則該惡意軟體會預設執行以下 shell 指令：

• touch -c -a -t（用於修改訪問時間）
• touch -c -m -t（用於修改時間調整）

這兩個命令都包含一個回溯的時間戳字串以避免引起懷疑。

指揮能力

CHILLYHELL 的模組化設計為操作員提供了豐富的功能。支援的命令包括：

• 向 C2 伺服器發起反向 shell
• 下載更新的惡意軟體版本
• 檢索並執行其他有效載荷
• 執行 ModuleSUBF 模組從 /etc/passwd 列舉使用者帳戶
• 使用 C2 伺服器提供的密碼清單執行暴力攻擊

複雜的 macOS 威脅

CHILLYHELL 憑藉其多種持久化機制、靈活的通訊協定和模組化框架，成為一款異常複雜的 macOS 惡意軟體。其時間戳記和密碼破解等功能使其在該平台常見的威脅中脫穎而出。

一個令人擔憂的細節是，該惡意軟體已獲得蘋果公證，這證明並非所有經過公證的軟體都是安全的。這凸顯了使用者和組織需要保持警惕，不能僅依賴程式碼簽署或公證作為可信度的指標。