随着网络攻击技术的不断进化,针对多操作系统的恶意软件威胁日益严峻。近期,安全研究人员在macOS、Windows和Linux平台上发现了两款新型恶意软件 - - 名为CHILLYHELL的macOS后门以及基于Go语言开发的远程访问木马ZynorRAT。这些高级威胁展现了当前恶意软件在隐蔽性、持久性和跨平台攻击能力上的新高度,对企业和个人用户的网络安全构成了重大挑战。CHILLYHELL是由Jamf Threat Labs首次分析确认的恶意程序,采用C++语言开发,专门针对基于Intel架构的Apple设备。该后门被归属于一个尚未分类的威胁团伙UNC4487,其活动轨迹最早可追溯到2022年10月。通过对其技术特性和攻击方式的深入研究,安全专家认为该团伙极有可能是一个具备间谍行为特征的黑客组织,有针对性地通过社会工程学手段感染乌克兰政府相关网站,诱骗目标执行恶意程序,比如Matanbuchus或CHILLYHELL本身。
值得注意的是,2025年5月2日,Jamf Threat Labs在VirusTotal平台上发现了一个新的CHILLYHELL样本,虽然该样本在2021年曾获得苹果官方的签名认证,但随后苹果已撤销相关开发者证书,阻止进一步滥用。CHILLYHELL执行后会对感染主机进行全面的系统信息探测,了解目标环境。为保证其在系统中的持久存在,后门会采用三种不同的持久化手段,包括安装为LaunchAgent或系统级LaunchDaemon,甚至作为备份方案修改用户的shell配置文件(例如.zshrc、.bash_profile或.profile),注入启动命令。这种多途径确保恶意程序可在设备重启后自动运行,不易被检测。同时,CHILLYHELL利用时间戳伪装(timestomping)技术,篡改文件和日志的生成时间,避免安全工具和分析人员注意到异常。若直接调用系统调用更新时间戳权限不足,恶意软件会退而求其次,使用shell命令进行时间戳修改,参数则指向过去的某个日期,从而减少安全警报。
该恶意后门具备丰富的远程命令功能,可启动反向shell回连攻击者控制服务器,也能下载并执行新的恶意插件或载荷。实际上,CHILLYHELL内置一个名为ModuleSUBF的模块,专门用于枚举系统用户账户信息(通过读取/etc/passwd文件),同时具备密码字典攻击功能,借助从C2服务器下载的密码列表对账户进行暴力破解。Jamf研究员强调,这款恶意软件在macOS威胁生态中异常少见,灵活的模块化结构、多种通信协议支持(HTTP和DNS)、细致的持久化以及时间戳篡改和密码攻击能力,使其成为当前针对苹果设备的高危威胁。除了macOS后门外,研究人员还发现了另一款针对Windows和Linux系统的远程访问木马 - - ZynorRAT。该恶意软件采用Go语言开发,支持跨平台操作,是一个利用Telegram聊天机器人(@lraterrorsbot)进行命令与控制的恶意工具。ZynorRAT最早于2025年7月8日上传至VirusTotal,并未与已知的恶意软件家族有任何关联,显示极强的独立性。
ZynorRAT针对Linux系统的功能十分全面,包括目录枚举(/fs_list)、文件窃取(/fs_get)、系统信息采集(/metrics)、进程列表获取(/proc_list)及指定进程终止(/proc_kill)、屏幕截图捕获(/capture_display)和持久化(/persist)功能。其Windows版本基本复制了Linux端的功能,但目前仍借用Linux的持久化机制,显示Windows版本仍处于开发和完善阶段。该远程访问木马的最大亮点在于将Telegram用作命令与控制中心,实现远程操作的自动化和隐蔽化。利用Telegram机器人,攻击者能够实时下发指令,控制被害机器执行信息窃取和系统渗透。部分分析还发现攻击者通过文件分享服务Dosya.co分发恶意载荷。令人注意的是,Telegram聊天内容中发现了土耳其语,推断攻击开发者可能为土耳其人,且很可能亲自感染用以测试恶意软件性能。
安全专家认为,尽管市场上远程访问木马数量众多,但ZynorRAT展示了当前恶意软件开发者从头打造定制化工具的趋势,其高度自动化和定制管理能力反映了现代恶意软件日益复杂的攻击手法。面对这两款威胁,用户和组织需提高警惕。首先,针对macOS用户,应密切关注和管理系统中的启动项及用户配置文件,防止后门程序植入。定期审计系统日志和文件时间戳异常可以帮助发现隐藏的恶意活动。建议确保操作系统及软件及时更新,避免利用过期或撤销签名的程序传入威胁。其次,对于运行Linux和Windows的环境,应关注异常的网络流量,尤其是使用Telegram等即时通讯工具传输的未授权命令。
管理员应监控系统服务的启动项,识别异常的systemd单元文件和其它持久化机制的不寻常改动。加强密码强度和多因素认证,有助于防御暴力破解行为。企业层面,安全运维团队应部署多层防御体系,结合行为分析和威胁情报,提升对高级持续威胁(APT)和间谍行为的检测能力。实施零信任模型、最小权限原则和访问监控,有助于遏制恶意软件横向扩展和数据泄露风险。普通用户则应避免下载和执行来历不明的软件,特别是那些未经过官方认证或来源不明的应用,也不要轻易点击来自不可信网站或社交工程邮件中的链接。整体看,CHILLYHELL和ZynorRAT的出现显示出攻击者正在把多平台、模块化和自动化作为设计核心,借助合法证书和热门通讯工具等正当遮蔽途径,隐藏自身踪迹并提升攻击效率。
未来,随着生态系统的不断演变,防御者需要同样进化策略,融合人工智能与大数据分析,构建多维度、智能化的检测防御体系,助力守护数字世界的安全与稳定。 。
