サイバーセキュリティ研究者は、新たに2つのマルウェアファミリーを発見しました。その中には、モジュール式のApple macOSバックドアCHILLYHELLと、WindowsおよびLinuxシステムの両方を標的とするGoベースのリモートアクセス型トロイの木馬(RAT)ZynorRATが含まれています。
Jamf Threat Labsの分析によると、ChillyHellはC++で記述されており、Intelアーキテクチャ向けに開発されています。
CHILLYHELLは、未分類の脅威クラスターUNC4487に関連付けられたマルウェアに付けられた名称です。このハッキンググループは、少なくとも2022年10月から活動していると評価されています。
Google Mandiantが共有した脅威インテリジェンスによると、UNC4487はスパイ活動が疑われるアクターであり、ウクライナ政府機関のウェブサイトを侵害して、標的をリダイレクトし、MatanbuchusまたはCHILLYHELLマルウェアを実行させるためのソーシャルエンジニアリングを行っていることが観測されています。
Appleデバイス管理会社は、2025年5月2日にVirusTotalマルウェアスキャンプラットフォームにアップロードされた新しいCHILLYHELLサンプルを発見したと述べています。このアーティファクトは、2021年にAppleによって公証されており、それ以来Dropbox上で公開されていたとされています。Appleはその後、マルウェアに関連する開発者証明書を失効させました。
実行されると、マルウェアは感染したホストの詳細なプロファイリングを行い、3つの異なる方法で永続化を確立します。その後、ハードコードされたサーバー(93.88.75[.]252 または 148.72.172[.]53)とHTTPまたはDNS経由でコマンド&コントロール(C2)通信を開始し、コマンドループに入り、オペレーターからのさらなる指示を受け取ります。
永続化を確立するために、CHILLYHELLはLaunchAgentまたはシステムLaunchDaemonとして自身をインストールします。バックアップ手段として、ユーザーのシェルプロファイル(.zshrc、.bash_profile、.profile)を変更し、構成ファイルに起動コマンドを挿入します。
このマルウェアが採用している注目すべき手法は、作成したアーティファクトのタイムスタンプを改ざんし、警告を回避するタイムスタンピングの利用です。
「直接的なシステムコールによるタイムスタンプの更新に十分な権限がない場合、代わりにシェルコマンド touch -c -a -t および touch -c -m -t を使用します。それぞれのコマンドの末尾に過去の日付を表すフォーマット済みの文字列を引数として含めます」とJamfの研究者Ferdous Saljooki氏とMaggie Zirnhelt氏は述べています。
CHILLYHELLは幅広いコマンドをサポートしており、C2のIPアドレスへのリバースシェルの起動、新しいマルウェアバージョンのダウンロード、追加ペイロードの取得、「ModuleSUBF」と呼ばれるモジュールを実行して「/etc/passwd」からユーザーアカウントを列挙し、C2サーバーから取得した事前定義済みのパスワードリストを用いたブルートフォース攻撃を行うことができます。
「複数の永続化メカニズム、異なるプロトコルでの通信能力、モジュール構造を備え、ChillyHellは非常に柔軟です」とJamfは述べています。「タイムスタンピングやパスワードクラッキングなどの機能は、現在のmacOS脅威環境では珍しいサンプルです。」
「特にChillyHellは公証されており、すべての悪意あるコードが未署名であるとは限らないという重要な教訓となります。」
これらの発見は、ZynorRATの発見とも一致しています。ZynorRATは、@lraterrorsbot(別名lrat)というTelegramボットを使って、感染したWindowsおよびLinuxホストを遠隔操作します。証拠によれば、このマルウェアは2025年7月8日に初めてVirusTotalに提出されました。他の既知のマルウェアファミリーとの重複はありません。
GoでコンパイルされたLinux版は、ファイルの持ち出し、システムの列挙、スクリーンショットの取得、systemdサービスによる永続化、任意コマンドの実行など、幅広い機能をサポートしています。
- /fs_list:ディレクトリの列挙
- /fs_get:ホストからファイルを持ち出す
- /metrics:システムプロファイリングの実行
- /proc_list:「ps」Linuxコマンドの実行
- /proc_kill:PIDを入力として特定プロセスの終了
- /capture_display:スクリーンショットの取得
- /persist:永続化の確立
ZynorRATのWindows版はLinux版とほぼ同一ですが、永続化メカニズムにはLinuxベースの手法を利用しています。これはWindows版の開発が進行中であることを示唆しています。
「その主な目的は、収集、持ち出し、リモートアクセスツールとして機能することであり、Telegramボットを通じて一元管理されています」とSysdigの研究者Alessandra Rizzo氏は述べています。「Telegramは、マルウェアが被害者マシンに展開された後、さらなるコマンドを受け取るための主要なC2インフラとして機能します。」
Telegramボット経由で流出したスクリーンショットのさらなる分析により、ペイロードはDosya.coというファイル共有サービスを通じて配布されていること、またマルウェア作成者が自分自身のマシンを「感染」させて機能をテストしている可能性があることが明らかになりました。
ZynorRATは、Telegramのチャットで使用されている言語から、トルコ系の単独アクターによるものと考えられています。
「マルウェアエコシステムにはRATが不足しているわけではありませんが、マルウェア開発者は依然としてゼロから作成に時間を費やしています」とRizzo氏は述べています。「ZynorRATのカスタマイズ性と自動化された制御は、現代のマルウェアの進化する高度化を、初期段階であっても浮き彫りにしています。」
翻訳元: https://thehackernews.com/2025/09/chillyhell-macos-backdoor-and-zynorrat.html