Jamf研究人员详细披露了一款名为ChillyHell的Mac后门程序,该程序于2021年通过苹果公证检查,直至近期才被发现。
Jamf威胁实验室在2025年9月公布了这一发现,此前他们分析了5月上传至VirusTotal的样本。该恶意软件早在2021年就通过了苹果的自动检查,并一直保持公证状态,直至被研究人员标记。
这意味着任何Mac用户都可能在无安全警告的情况下运行它。Jamf在常规样本分析中偶然发现该恶意软件,其异常进程侦察行为引起注意。
该恶意软件家族此前曾有记录,但从未被完整剖析。早期线索来自2023年Mandiant的一份私人报告,将其与代号UNC4487的组织关联,该组织于2022年入侵了乌克兰政府相关网站。
此次攻击还传播了名为”Matanbuchus”的恶意软件(若将其误认为金属乐队名称也情有可原)。调查人员后续发现更多关联同一开发者证书的样本。
其中两个样本携带ChillyHell名称,Jamf的最新报告终于提供了缺失的技术细节。
公证体系漏洞
苹果公证系统旨在通过检测软件已知恶意签名来保护用户。开发者提交应用后,苹果进行扫描,公证结果意味着应用可绕过macOS Gatekeeper警告运行。
实际上该系统并非绝对安全。ChillyHell使用开发者ID签名并于2021年获准,使其获得与合法软件同等的信任度。
该软件甚至自当时起就公开托管于Dropbox。直至Jamf标记样本后,苹果才撤销相关证书。
ChillyHell技术剖析
Jamf分析显示ChillyHell是针对Intel架构Mac的模块化C++后门。样本伪装成无害的macOS小程序,但跳过了本应使其正常运行的AppleScript代码。
恶意软件运行时首先分析主机环境,建立持久化机制,并开启命令与控制连接。它可安装为用户级LaunchAgent、root级LaunchDaemon,或向shell配置文件注入命令。
若上述方法失效,它会采用修改.zshrc文件等传统手段。这些步骤确保后门在受感染Mac上持续活跃。
命令与控制技巧
为隐藏行踪,它使用时间戳篡改技术重写文件创建与修改时间。同时会在用户浏览器中启动伪装版谷歌首页,使活动看似正常。
ChillyHell通过DNS和HTTP连接硬编码IP地址,每次执行前随机暂停60-120秒。
连接成功后持续获取任务并检查重复项,随后通过模块化系统执行新命令。
- ModuleBackconnectShell:创建反向shell连接攻击者,并显示怪异欢迎语”Welcome to Paradise”
- ModuleUpdater:从操作者获取新版本实现自我替换
- ModuleLoader:从C2服务器下载运行载荷,事后清理文件
- ModuleSUBF:暴力破解工具,下载工具和字典库尝试入侵本地用户账户。研究人员根据文件名和行为推断其针对Kerberos认证系统
这些插件赋予恶意软件非凡的灵活性,使其在macOS领域尤为突出。具备暴力破解能力的模块化后门在Mac平台极为罕见。
苹果应对措施
在Jamf共享发现后(远早于本次公告),苹果已撤销ChillyHell相关开发者证书。此举阻止了新感染,但对已入侵设备无效。
受影响系统需手动清理,可检查LaunchAgent文件修改迹象或/usr/local/bin/qtop目录的隐藏二进制文件。
苹果已撤销与ChillyHell相关的开发者证书。
研究人员感谢谷歌威胁情报团队的早期工作助力识别该恶意软件家族。但更深刻的教训在于:公证不是安全保证,过度依赖会使用户产生麻痹心理。
事件影响
ChillyHell长期通过公证程序的事实引发严峻质疑。若具备暴力破解工具的模块化后门都能蒙混过关,更多威胁可能正在潜伏。
苹果常宣称其生态系统比Windows更安全,这在一定程度仍然成立,因为macOS大规模感染较少。但随着攻击者转向定向入侵而非大规模攻击,”Mac无敌论”正在消退。
攻击者只需精准打击目标即可成功。经过公证的灵活后门完美契合这种攻击模式。
乌克兰相关线索暗示地缘政治因素。研究人员表示,最早关联ChillyHell的UNC4487组织专门针对政府雇员。
在黑产世界中,出售受侵系统访问权限已成为盈利副业。ChillyHell这类恶意软件游走在间谍工具与商业漏洞利用的边界线上。
防护建议
对普通Mac用户而言,ChillyHell事件提醒我们:公证只是安全检查点,而非坚不可摧的堡垒。苹果检测能拦截大量垃圾软件,但无法覆盖全部威胁。
优先选用Mac App Store应用虽更安全但仍非万全。若从网络下载软件,安装前需核实开发者身份与信誉。
及时更新macOS系统,苹果常会无声修复安全漏洞。使用可靠安全工具进行定期扫描也很有必要,特别是在敏感领域工作的人员。
若发现异常进程、系统卡顿或/usr/local/bin等位置出现可疑文件,切勿忽视这些入侵迹象。
