SOC Prime Bias: Середній

12 May 2026 18:04
newspaper icon malware-traffic-analysis.net

Повідомлення про зараження Shub Stealer для macOS

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Повідомлення про зараження Shub Stealer для macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Відома загроза, що краде облікові дані на macOS, під назвою Shub Stealer поширюється через шкідливу сторінку завантаження, яка інструктує користувачів копіювати та вставляти команду в Terminal. Ланцюжок інфікування спирається на захищені паролем ZIP-архіви та перенаправляє жертв до контенту, контрольованого нападниками, розміщеного на хмарних платформах. Супровідний звіт містить захоплення мережі та дані журналів, що документують, як розгортається інфікування.

Розслідування

У ході аналізу було розглянуто файл PCAP, файл журналу та шкідливий скрипт, використаний для розгортання викрадача. Дослідники виявили, що скрипт розповсюджувався через веб-сторінку, яка видає себе за легітимний портал завантаження для macOS та вимагала від жертви вручну запустити команду в Terminal. Мережевий трафік був перевірений в Wireshark, щоб ідентифікувати послідовність команд та відстежити доставку корисного навантаження.

Пом’якшення

Користувачам ніколи не слід копіювати та виконувати команди з ненадійних вебсайтів. Організації повинні перевіряти джерела програмного забезпечення, розгортати захист кінцевої точки, здатний виявляти відомі загрози для macOS, і запроваджувати список дозволених додатків скрізь, де можливо. Виконання непідписаних скриптів слід обмежити, а захисникам слід моніторити підозрілу активність оболонки в системах macOS.

Відповідь

Команди безпеки повинні виявляти виконання відомої командного рядка Shub Stealer, блокувати зв’язок з виявленими шкідливими доменами та IP-адресами, а також ізолювати всі уражені кінцеві точки macOS. Слідчі також повинні зібрати надані журнали та докази PCAP для судово-медичної перевірки та видалити будь-які залишені шкідливі файли на хості.

"graph TB %% Класові визначення classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% Вузли технік tech_content_injection["<b>Техніка</b> – <b>T1659 Впровадження контенту</b><br/><b>Опис</b>: Ін’єктування шкідливих посилань або скриптів у легітимні хмарні документи (наприклад, на Google Drive) для отримання початкового доступу."] class tech_content_injection technique tech_html_smuggling["<b>Техніка</b> – <b>T1027.006 HTML-конспірація</b><br/><b>Опис</b>: Приховання шкідливого скрипту всередині HTML-файлу, який виконується, коли файл відображається у браузері."] class tech_html_smuggling technique tech_svg_smuggling["<b>Техніка</b> – <b>T1027.017 SVG-конспірація</b><br/><b>Опис</b>: Вбудовування шкідливого корисного навантаження в SVG-зображення, яке при аналізі перенаправляє на подальше завантаження."] class tech_svg_smuggling technique tech_malicious_link["<b>Техніка</b> – <b>T1204.001 Шкідливе посилання</b><br/><b>Опис</b>: Жертва натискає на створене посилання, яке ініціює завантаження шкідливого контенту."] class tech_malicious_link technique tech_copy_paste["<b>Техніка</b> – <b>T1204.004 Шкідливе копіювання та вставка</b><br/><b>Опис</b>: Нападник надає команду, яку жертва копіює та вставляє в термінал, виконуючи шкідливий код."] class tech_copy_paste technique tech_script_proxy["<b>Техніка</b> – <b>T1216 Виконання системного скрипту-проксі</b><br/><b>Опис</b>: Використовуйте легітимне системне середовище скриптів для виконання шкідливого коду."] class tech_script_proxy technique tech_compression["<b>Техніка</b> – <b>T1027.015 Стиснення</b><br/><b>Опис</b>: Доставити корисне навантаження всередині захищеного паролем ZIP-архіву для уникнення виявлення."] class tech_compression technique tech_brute_force["<b>Техніка</b> – <b>T1110 Брутфорс</b><br/><b>Опис</b>: Спроба багатьох паролів для виявлення паролю архіву, можливо, за допомогою інформації з публічних сторінок."] class tech_brute_force technique tech_deobfuscate["<b>Техніка</b> – <b>T1140 Деобфускація/декодування файлів</b><br/><b>Опис</b>: Відкриття зашифрованого ZIP за допомогою знайденого пароля для вилучення шкідливого корисного навантаження."] class tech_deobfuscate technique tech_archive_data["<b>Техніка</b> – <b>T1560 Архівування зібраних даних</b><br/><b>Опис</b>: Перепаковка викрадених файлів в архів перед ексфільтрацією."] class tech_archive_data data tech_c2_web["<b>Техніка</b> – <b>T1071.001 Протокол прикладного рівня: Веб-протоколи</b><br/><b>Опис</b>: Спілкування з сервером команд і управління через HTTP/HTTPS."] class tech_c2_web technique tech_c2_ftp["<b>Техніка</b> – <b>T1071.002 Протокол прикладного рівня: Протоколи передачі файлів</b><br/><b>Опис</b>: Передавання додаткових файлів за допомогою протоколів, схожих на FTP, для C2."] class tech_c2_ftp technique tech_proxy["<b>Техніка</b> – <b>T1090 Проксі</b><br/><b>Опис</b>: Передача трафіку C2 через проксі-сервери, щоб приховати походження."] class tech_proxy proxy tech_internal_proxy["<b>Техніка</b> – <b>T1090.001 Внутрішнє проксі</b><br/><b>Опис</b>: Використовуйте проксі, розташоване в межах внутрішньої мережі жертви."] class tech_internal_proxy proxy tech_external_proxy["<b>Техніка</b> – <b>T1090.002 Зовнішнє проксі</b><br/><b>Опис</b>: Використовуйте зовнішній проксі-сервіс для пересилання трафіку C2."] class tech_external_proxy proxy tech_taint_shared["<b>Техніка</b> – <b>T1080 Отруєння спільного контенту</b><br/><b>Опис</b>: Дія копіювання-вставки поширює шкідливий зміст скрипту в інші спільні середовища."] class tech_taint_shared technique tech_exploit_client["<b>Техніка</b> – <b>T1203 Експлуатація для виконання на клієнті</b><br/><b>Опис</b>: Скрипт використовує вразливість на стороні клієнта для виконання довільного коду на машині жертви."] class tech_exploit_client technique %% Зв’язки tech_content_injection –>|призводить до| tech_html_smuggling tech_html_smuggling –>|призводить до| tech_svg_smuggling tech_svg_smuggling –>|призводить до| tech_malicious_link tech_malicious_link –>|призводить до| tech_copy_paste tech_copy_paste –>|призводить до| tech_script_proxy tech_script_proxy –>|призводить до| tech_compression tech_compression –>|призводить до| tech_brute_force tech_brute_force –>|призводить до| tech_deobfuscate tech_deobfuscate –>|призводить до| tech_archive_data tech_archive_data –>|призводить до| tech_c2_web tech_c2_web –>|призводить до| tech_c2_ftp tech_c2_ftp –>|призводить до| tech_proxy tech_proxy –>|шляхи| tech_internal_proxy tech_proxy –>|шляхи| tech_external_proxy %% Гілки від кроку копіювання-вставки tech_copy_paste –>|спричиняє| tech_taint_shared tech_copy_paste –>|спричиняє| tech_exploit_client "

Потік атаки

Виконання симуляції

Передумова: Чек передпольотної перевірки телеметрії та бази повинен бути пройдений.

Аргументація: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для спрацьовування правила виявлення. Команди та опис МАЮТЬ прямо відображати визначені TTP і прагнути до генерації точної телеметрії, очікуваної логікою виявлення.

  • Опис атаки та команди:

    1. Рекон: Атакуючий виявляє шкідливу сторінку ‘Завантаження для macOS’, яка містить корисне навантаження в стилі PowerShell, націлене на користувачів macOS.

    2. Копіювання-вставка: Атакуючий копіює весь текст скрипту, який містить коментарну лінію “Скрипт скопійовано та вставлено в термінальне вікно” (це буквальний маркер, вставлений автором шкідливого ПЗ).

    3. Виконання: У терміналі Linux атакуючий запускає:

      bash -c "Скрипт скопійовано та вставлено в термінальне вікно"

      Ця команда змушує Bash намагатися виконати команду, ім’я якої є точною фразою для виявлення, завдяки чому фраза дослівно з’являється в поле CommandLine поля аудиту журналу. Навіть якщо команда невдала, подія створення журналується і відповідає правилу Sigma.

    4. Результат: A створення процесу подія з поле CommandLine = bash -c Скрипт скопійовано та вставлено в термінальне вікно згенеровано, що викликає виявлення.

  • Скрипт регресійного тесту: Наступний самостійний Bash-скрипт відтворює сценарій на будь-якому Linux-хості з включеним auditd.

    #!/usr/bin/env bash
#
# Регресійний тест для правила Sigma: eee9618f-c935-450d-9d51-7072fbfca466
# Мета: Емітувати подію створення процесу, що містить точну фразу виявлення.
#
set -euo pipefail

# Виконати команду, що спрацьовує на виявлення
 echo "[*] Виконується команда, що спрацьовує на виявлення..."
 bash -c "Скрипт скопійовано та вставлено в термінальне вікно"

 echo "[*] Тест завершено. Перевірте ваш SIEM для виявлення."

  • Команди очищення: Видалити будь-які тимчасові файли або залишкові процеси (жоден не створений тестом, але для повноти):

    # Не створено артефактів; переконайтесь, що не залишилось зайвих процесів bash
pkill -f "Скрипт скопійовано та вставлено в термінальне вікно" || true
echo "[*] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно