穿越芯片界限：黑客利用Apple Silicon上的x86-64漏洞部署恶意软件

根据Kaviah于2025年3月7日发布的报告，高级威胁行为者正越来越多地采用x86-64二进制文件和Apple的Rosetta 2转换技术来绕过执行策略，在Apple Silicon设备上部署恶意软件。此方法巧妙地利用了英特尔与ARM64处理器间的架构差异，并在过程中留下了可用于追踪攻击路径的数字线索。

自2020年Apple推出搭载Rosetta 2的macOS Big Sur（11.0）以来，这项技术通过即时(JIT)和提前(AOT)编译将x86-64指令集转化为ARM64，使得即使是在Apple Silicon硬件上运行的x86-64程序也能顺利工作。然而，这种转换过程也成为了攻击者的突破口，他们能够留下带有时间戳的执行记录，即便原始恶意软件已被删除。

研究显示，一些国家支持的黑客团体，如与朝鲜有关联的组织，特别针对x86-64架构开发恶意软件，以利用Rosetta 2较为宽松的代码签名规则。这意味着，相较于ARM64代码需要经过严格的Apple认证或公证检查，通过Rosetta 2翻译的x86-64可执行文件可以更轻松地部署自签名的有效负载。

为了对抗此类威胁，Mandiant建议采取一系列措施，包括启用系统完整性保护(SIP)，监控/var/db/oah目录下的活动，以及定期审计AOT文件的哈希值等。尽管如此，由于对旧版软件的依赖性，预计x86-64二进制文件仍将是未来一段时间内的一个关键攻击途径。