(画像提供:Shutterstock)
- ChillyHellは2021年に作成されたモジュール型のmacOSバックドアで、Appleの公証を通過し、何年も検出されなかった
- Mandiantが2023年に発見したが、情報は公開されず、ウイルス対策ツールも対応しなかった
- Jamfが2025年に公表し、現在も公証が有効でウイルス対策エンジンで検出されていないことを明らかにした
少なくとも4年間、モジュール型のApple向けマルウェアが、ウイルス対策ソリューションに検出されることなく、標的デバイスに展開されていた。
さらに悪いことに、少なくとも2年間は(一部の)サイバーセキュリティコミュニティがその存在を認識していた。
今週初め、セキュリティ研究者のJamfが新しいレポートを公開し、ChillyHellについて詳述した。これは、リバースシェルの提供、自身のアップデート、追加ペイロードの取得と実行が可能なモジュール型バックドアである。
2023年に初検出
バックドア自体は特別なものではないが、長期間検出されなかったことが注目に値する。どうやらこのマルウェアは2021年に作成され、Appleに提出された。その際、公証チェックを通過し、Appleの自動システムは悪意のあるものと判断しなかった。
チェックを通過できた理由は、ペイロードが複数のモジュールに分割されていたこと、有効なApple Developer IDで署名されていたこと、無害なアプリとして設計されていたことが挙げられる。さらに、権限昇格やネットワークスキャンなど、標準的な不審な挙動もなかった。
2023年までは主要なプラットフォームでウイルス対策による検出がなく、見過ごされていた。しかし2023年、Mandiant(Googleのサイバーセキュリティ部門)が脅威インテリジェンスブリーフィングでこれを特定し、ウクライナ当局者を自動車保険サイト経由で標的にしていたUNC4487という脅威アクターに帰属させた。
しかしこのブリーフィングは非公開で技術的な詳細もなく共有されたため、広範なセキュリティコミュニティはその存在を把握できなかった。Appleも公証を取り消さず、ウイルス対策ツールも依然として検出しなかった。
そして2025年、Jamf Threat Labsがこのマルウェアを公に公開し、「ChillyHell」と命名、アーキテクチャや永続性、回避技術について詳述した。さらに、この時点でもAppleの公証は有効なままであり、VirusTotalにアップロードされた一部サンプルは依然としてウイルス対策で検出されていないことを強調した。
出典: The Register
