MicrosoftがAppleScriptとソーシャルエンジニアリングを使用したSapphire Sleet macOS攻撃を検出

北朝鮮の脅威アクターであるSapphire Sleetに関連する新しいmacOS重視のサイバーキャンペーンは、攻撃者がソフトウェアの脆弱性ではなく、ソーシャルエンジニアリングにますます依存してシステムを侵害しているかを浮き彫りにしています。

セキュリティの欠陥を悪用するのではなく、攻撃者はユーザーの信頼を操作し、組み込みのmacOS保護をバイパスできるようにします。

攻撃は慎重に作成されたソーシャルエンジニアリング戦術で始まります。Sapphire Sleetオペレーターはプロフェッショナルプラットフォーム上でリクルーターになりすまし、ターゲットに偽の求人機会を仕掛けます。

犠牲者には最終的に、「Zoom SDK Update.scpt」という名前の正当な更新ファイルのように見えるものをダウンロードするよう指示されます。

このファイルは実はコンパイルされたAppleScriptです。開くと、Apple’s Script Editorで起動されます。Script Editorは、システムレベルのコマンドを実行できる信頼できるアプリケーションです。

Microsoft Threat Intelligenceによると、キャンペーンはmacOSユーザーを標的に、正当なソフトウェア更新に偽装した悪意のあるファイルを手動で実行するように騙します。

スクリプトは偽の更新指示を表示し、検出を回避するために悪意のあるコードをファイルの深くに隠します。

実行されると、スクリプトはcurlやosascriptなどのネイティブツールを使用して、追加のペイロードをダウンロードして実行し、マルチステージの感染チェーンを作成します。

マルチステージマルウェア実行

キャンペーンはカスケード実行技術を使用します。この方法では、ファイルをディスクに保存する必要性が減り、攻撃者が検出を回避するのに役立ちます。

偽のパスワードプロンプトは、正当なシステムダイアログと同じに見えます。入力されると、パスワードが検証されて、Telegram APIを介して攻撃者制御のサーバーに直ちに送信されます。

キャンペーンの注目すべき側面は、Transparency、Consent、Control（TCC）などのmacOSセキュリティ制御をバイパスする能力です。

配置された最初のバイナリは、com.apple.cliと呼ばれるホスト監視コンポーネントで、約5 MBのMach-Oバイナリであり、Appleスタイルの命名規則で偽装されています。

攻撃者はTCCデータベースを操作して権限を静かに付与し、マルウェアがユーザーアラートをトリガーすることなく機密データにアクセスできるようにします。

マルウェアはまた、ローンチデーモンを使用した永続性を確立し、AppleおよびGoogleサービスをまねた名前を持つ追加のバックドアを配置します。

これらのコンポーネントは、コマンドアンドコントロールサーバーと通信し、侵害されたシステムへの長期的なアクセスを維持します。

アクセスを取得した後、攻撃者は以下を含む広範な機密データを収集します：

キャンペーンは、暗号資産、金融、ブロックチェーンセクターに関係する個人および組織を重く標的にしており、これはSapphire Sleetの金銭的利得という既知の目標と一致しています。

-iフラグは、対話的な入力を期待するsudoコマンドに必要な対話的なターミナルコンテキストを作成します。

Microsoftは調査結果をAppleに報告しました。Appleはそれ以来、XProtect署名やセーフブラウジング保護などのセキュリティアップデートを配置し、関連する脅威を検出してブロックしています。

ユーザーはmacOSシステムを常に最新に保つことを強くお勧めします。また、信頼できないソースからのスクリプトまたはソフトウェアを実行しないでください。組織はまた、通常のスクリプト実行を監視し、可能な限りAppleScriptの使用を制限し、階層化されたセキュリティ防御を実装する必要があります。

このキャンペーンは、サイバー攻撃における成長する傾向を浮き彫りにしています。技術的な脆弱性ではなく、人間の行動を悪用するのです。macOSのような安全なプラットフォームでも、ユーザーが悪意のあるコードを自分で実行するよう説得されると、侵害される可能性があります。