苹果公证的恶意软件:macOS后门程序潜伏并保持可信状态达数年
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
Jamf威胁实验室发现ChillyHell恶意软件的新变种,该后门程序伪装成合法应用,成功通过苹果公证并隐蔽入侵。专家提醒用户需建立多层防御体系以应对此类威胁。
🎯
关键要点
- Jamf威胁实验室发现ChillyHell恶意软件的新变种,伪装成合法应用并成功通过苹果公证。
- 该恶意软件家族的持久性警示用户不应默认公证应用安全。
- ChillyHell最早出现在2023年Mandiant报告中,与乌克兰官员的黑客组织有关。
- 最新样本于2025年上传至VirusTotal,公证日期可追溯至2021年,托管在Dropbox上。
- 该后门程序针对Intel架构macOS系统,执行流程分为四个阶段:主机画像、持久化、伪装欺骗和篡改。
- 后门通过HTTP和DNS TXT查询连接攻击者控制的服务器,具有模块化设计,支持动态扩展功能。
- 后门程序通过苹果公证并获macOS Gatekeeper信任多年,提醒用户建立多层防御体系以应对隐蔽入侵。
❓
延伸问答
ChillyHell恶意软件是什么?
ChillyHell是一种高级模块化macOS后门程序,能够伪装成合法应用并成功通过苹果公证。
ChillyHell恶意软件是如何通过苹果公证的?
该恶意软件伪装成合法应用包,成功通过苹果公证并获得macOS Gatekeeper的信任。
ChillyHell恶意软件的执行流程是怎样的?
其执行流程分为主机画像、持久化、伪装欺骗和篡改四个阶段。
ChillyHell恶意软件与乌克兰官员的黑客组织有什么关联?
ChillyHell最早出现在2023年Mandiant报告中,与针对乌克兰官员的黑客组织存在松散关联。
用户如何防范ChillyHell恶意软件的威胁?
用户应建立多层防御体系,包括终端监控、行为分析和主动威胁狩猎,以应对隐蔽入侵。
ChillyHell恶意软件的模块化设计有什么特点?
该恶意软件的模块化设计支持动态扩展功能,如反向Shell、更新模块和密码破解模块等。
➡️
