VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra hai họ phần mềm độc hại mới, bao gồm một cửa hậu Apple macOS dạng mô-đun có tên là CHILLYHELL và một trojan truy cập từ xa (RAT) chạy trên nền tảng Go có tên là ZynorRAT có thể nhắm mục tiêu vào cả hệ thống Windows và Linux.

Theo phân tích từ Jamf Threat Labs, ChillyHell được viết bằng C++ và được phát triển cho kiến trúc Intel.


CHILLYHELL là tên được đặt cho một phần mềm độc hại được cho là thuộc một cụm mối đe dọa chưa được phân loại có tên UNC4487. Nhóm tin tặc này được đánh giá là đã hoạt động ít nhất từ tháng 10 năm 2022.

Theo thông tin tình báo về mối đe dọa được Google Mandiant chia sẻ, UNC4487 là một tác nhân gián điệp bị tình nghi đã xâm nhập vào các trang web của các cơ quan chính phủ Ukraine để chuyển hướng và tấn công mục tiêu bằng kỹ thuật xã hội nhằm thực thi phần mềm độc hại Matanbuchus hoặc CHILLYHELL.

Công ty quản lý thiết bị Apple cho biết họ đã phát hiện một mẫu CHILLYHELL mới được tải lên nền tảng quét phần mềm độc hại VirusTotal vào ngày 2 tháng 5 năm 2025. Hiện vật này, được Apple công chứng vào năm 2021, được cho là đã được lưu trữ công khai trên Dropbox kể từ đó. Apple sau đó đã thu hồi chứng chỉ nhà phát triển liên quan đến phần mềm độc hại này.

Sau khi thực thi, phần mềm độc hại sẽ lập hồ sơ chi tiết về máy chủ bị xâm phạm và thiết lập sự tồn tại dai dẳng bằng ba phương pháp khác nhau, sau đó khởi tạo giao tiếp chỉ huy và điều khiển (C2) với máy chủ được mã hóa cứng (93.88.75[.]252 hoặc 148.72.172[.]53) qua HTTP hoặc DNS và đi vào vòng lặp lệnh để nhận thêm hướng dẫn từ người điều hành.

Để thiết lập tính bền bỉ, CHILLYHELL tự cài đặt dưới dạng LaunchAgent hoặc LaunchDaemon hệ thống. Như một cơ chế sao lưu, nó thay đổi cấu hình shell của người dùng (.zshrc,.bash_profile hoặc.profile) để chèn lệnh khởi chạy vào tệp cấu hình.

Một chiến thuật đáng chú ý được phần mềm độc hại áp dụng là sử dụng dấu thời gian để sửa đổi dấu thời gian của các hiện vật được tạo ra nhằm tránh gây ra cảnh báo.

Các nhà nghiên cứu Ferdous Saljooki và Maggie Zirnhelt của Jamf cho biết: "Nếu không có đủ quyền để cập nhật dấu thời gian thông qua lệnh gọi hệ thống trực tiếp, nó sẽ quay lại sử dụng lệnh shell touch -c -a -t và touch -c -m -t tương ứng, mỗi lệnh có một chuỗi định dạng biểu thị ngày trong quá khứ dưới dạng đối số được đưa vào cuối lệnh".


CHILLYHELL hỗ trợ nhiều loại lệnh cho phép khởi chạy shell ngược đến địa chỉ IP C2, tải xuống phiên bản mới của phần mềm độc hại, tìm nạp các tải trọng bổ sung, chạy mô-đun có tên ModuleSUBF để liệt kê tài khoản người dùng từ "/etc/passwd" và thực hiện các cuộc tấn công bằng cách sử dụng danh sách mật khẩu được xác định trước lấy từ máy chủ C2.

"Với nhiều cơ chế bền bỉ, khả năng giao tiếp qua nhiều giao thức khác nhau và cấu trúc mô-đun, ChillyHell cực kỳ linh hoạt", Jamf nói. "Các khả năng như đếm thời gian và bẻ khóa mật khẩu khiến mẫu này trở thành một phát hiện bất thường trong bối cảnh mối đe dọa macOS hiện tại."

"Đáng chú ý là ChillyHell đã được công chứng và đóng vai trò như một lời nhắc nhở quan trọng rằng không phải mọi mã độc đều không được ký."

Những phát hiện này trùng khớp với việc phát hiện ra ZynorRAT, một loại RAT sử dụng bot Telegram có tên @lraterrorsbot (hay còn gọi là lrat) để chiếm quyền điều khiển các máy chủ Windows và Linux bị nhiễm. Bằng chứng cho thấy phần mềm độc hại này lần đầu tiên được gửi đến VirusTotal vào ngày 8 tháng 7 năm 2025. Nó không có bất kỳ điểm trùng lặp nào với các họ phần mềm độc hại đã biết khác.

Được biên dịch bằng Go, phiên bản Linux hỗ trợ nhiều chức năng để cho phép trích xuất tệp, liệt kê hệ thống, chụp ảnh màn hình, duy trì thông qua các dịch vụ systemd và thực thi lệnh tùy ý -

    /fs_list, để liệt kê các thư mục
    /fs_get, để trích xuất các tập tin từ máy chủ
    /metrics, để thực hiện lập hồ sơ hệ thống
    /proc_list, để chạy lệnh Linux "ps"
    /proc_kill, để giết một tiến trình cụ thể bằng cách truyền PID làm đầu vào
    /capture_display, để chụp ảnh màn hình
    /persist, để thiết lập sự kiên trì

Phiên bản Windows của ZynorRAT gần như giống hệt với phiên bản Linux, trong khi vẫn sử dụng các cơ chế bảo mật dựa trên Linux. Điều này có thể cho thấy quá trình phát triển phiên bản Windows vẫn đang trong quá trình hoàn thiện.

"Mục đích chính của nó là hoạt động như một công cụ thu thập, đánh cắp và truy cập từ xa, được quản lý tập trung thông qua bot Telegram", nhà nghiên cứu Alessandra Rizzo của Sysdig cho biết. "Telegram đóng vai trò là cơ sở hạ tầng C2 chính mà phần mềm độc hại nhận các lệnh tiếp theo sau khi được triển khai trên máy nạn nhân."

Phân tích sâu hơn các ảnh chụp màn hình bị rò rỉ qua bot Telegram đã tiết lộ rằng các phần mềm độc hại được phân phối thông qua một dịch vụ chia sẻ tệp có tên là   Đăng nhập để xem liên kết và tác giả phần mềm độc hại có thể đã "lây nhiễm" vào máy của chính họ để kiểm tra chức năng.

ZynorRAT được cho là tác phẩm của một cá nhân có thể là người gốc Thổ Nhĩ Kỳ, dựa theo ngôn ngữ được sử dụng trong các cuộc trò chuyện trên Telegram.

"Mặc dù hệ sinh thái phần mềm độc hại không thiếu RAT, nhưng các nhà phát triển phần mềm độc hại vẫn đang dành thời gian để tạo ra chúng từ đầu", Rizzo nói. "Khả năng tùy chỉnh và kiểm soát tự động của ZynorRAT nhấn mạnh sự tinh vi ngày càng tăng của phần mềm độc hại hiện đại, ngay cả trong giai đoạn đầu của chúng."