Sapphire Sleet модернизирует атаки на macOS через поддельные обновления Zoom и Teams

APT

Microsoft Threat Intelligence зафиксировала новую волну целевых атак на устройства под управлением macOS, осуществляемую северокорейской группировкой Sapphire Sleet. Основной особенностью кампании, активной с начала 2026 года, является полный отказ от эксплуатации уязвимостей в пользу многоступенчатой социальной инженерии. Злоумышленники выдают вредоносные AppleScript-сценарии за обновления популярных приложений, что позволяет обходить встроенные механизмы защиты операционной системы. В июне 2026 года были обнаружены дополнительные инциденты с использованием приманок под Microsoft Teams, что свидетельствует о постоянной адаптации тактики.

Описание

Жертвами в первую очередь становятся сотрудники финансовых организаций, криптовалютных бирж, венчурных фондов и компаний, работающих с блокчейн-технологиями. Основная цель - кража ключей от криптокошельков, паролей и конфиденциальных данных. Атака строится на доверии пользователя к легитимным системным инструментам, таким как Script Editor, который по умолчанию установлен на каждом Mac.

Типичный сценарий выглядит следующим образом. Через профессиональные соцсети злоумышленники вступают с жертвой в переписку, представляясь рекрутерами. Под предлогом технического собеседования они просят установить обновление для Zoom SDK или Microsoft Teams. Ссылка ведёт на файл с расширением .scpt - скомпилированный AppleScript. При открытии система запускает его в Script Editor, где основная часть кода скрыта за тысячами пустых строк и большим блоком с безобидными комментариями. Пользователь видит лишь видимость легитимного обновления и запускает скрипт.

Как только скрипт исполняется, он вызывает команду "do shell script", которая через "curl" загружает с управляющего сервера следующий этап полезной нагрузки. В предоставленном отчёте Microsoft подробно описана каскадная цепочка: начиная с первого загрузчика с идентификатором "mac-cur1", последовательно подтягиваются ещё четыре этапа. Каждый этап использует уникальный User-Agent и разные URL-пути - одни возвращают готовые AppleScript-скрипты, другие передают ZIP-архивы со скомпилированными приложениями.

На первом этапе на систему попадает компонент "com.apple.cli" - бинарный файл размером около 5 Мбайт, замаскированный под служебный процесс Apple. Его задача - постоянный мониторинг хоста: он собирает информацию о версии macOS, аппаратной модели, времени работы, а также в цикле записывает список активных процессов. Полученные данные отправляются на удалённый сервер. Параллельно разворачивается бэкдор "services", который устанавливает постоянное присутствие через файл "auth.db" и создаёт средство для интерактивного выполнения команд.

Ключевой элемент атаки - кража учётных данных. Для этого используется приложение "systemupdate.app", которое загружается на четвёртом этапе. После запуска оно показывает пользователю диалоговое окно, визуально неотличимое от стандартного запроса пароля macOS. Окно сообщает, что пароль необходим для завершения обновления. Введённый пароль немедленно проверяется через локальную базу учётных данных, и после успешной проверки отправляется злоумышленникам через Telegram Bot API. Чтобы усыпить бдительность, сразу после этого запускается приложение "softwareupdate.app", которое выводит сообщение об успешном завершении обновления.

Для доступа к большому объёму конфиденциальной информации необходимо обойти систему Transparency, Consent, and Control (TCC). Sapphire Sleet манипулирует базой данных TCC через уязвимость в механизме разрешений. Используя Finder, который по умолчанию обладает полным доступом к диску, злоумышленники временно переименовывают папку "com.apple.TCC", копируют базу данных, добавляют в неё записи, разрешающие "osascript" отправлять AppleEvents Finder'у, и возвращают базу на место. После этого скрипт может без лишних запросов перебирать файлы всех приложений.

С обходом TCC начинается масштабная эксфильтрация. Выполняется 575-строчный AppleScript, который собирает семь категорий данных. Среди них: сессионные данные Telegram, позволяющие перехватить учётную запись без повторной аутентификации; полные профили браузеров Chrome, Brave и Arc, включая сохранённые пароли, куки, историю и данные расширений; индексные базы данных криптокошельков (Sui, Phantom, TronLink, Coinbase, OKX, Solflare, Rabby, Backpack и Bitwarden); файлы ключей к настольным кошелькам Ledger Live и Exodus; связка ключей macOS; SSH-ключи и история команд; база данных Apple Notes; системные логи.

Каждый архив загружается через "nohup curl" с авторизационным токеном и идентификатором устройства на сервер по порту 8443. Всего таких архивов до семи, каждый соответствует определённой категории данных. Пароль для расшифровки связки ключей уже был получен на этапе кражи учётных данных через поддельный диалог.

Обновление кампании в июне 2026 года показывает, что группировка не стоит на месте. Вместо приманки Zoom используется файл "msteams sdk update.scpt". Номенклатура внутренних компонентов также изменена: "com.apple.cli" заменён на "com.microsoft.helper", "com.google.chromes.updaters" - на ".google.docs", а бэкдор "icloudz" - на ".com.apple.helpers". Маршрутизация запросов и общая архитектура остались прежними. Важное изменение коснулось механизма постоянства: если раньше использовался системный LaunchDaemon с именем, имитирующим Google WebKit, то теперь применяется пользовательский LaunchAgent "com.apple.identification.plist", что снижает вероятность обнаружения административными скриптами.

Apple уже отреагировала на угрозу, развернув защиту Safari Safe Browsing, которая блокирует вредоносные домены, и подписав сигнатуры XProtect для обнаружения этих файлов. Рекомендуется обучать сотрудников не запускать скрипты из непроверенных источников, особенно полученные через мессенджеры или соцсети. Для администраторов полезно настроить мониторинг изменений TCC.db и контролировать появление новых plist-файлов в каталогах LaunchDaemons и LaunchAgents. Microsoft Defender for Endpoint на Mac способен обнаруживать и блокировать описанные компоненты. Кампания Sapphire Sleet показывает, что для проникновения злоумышленникам не нужны уязвимости нулевого дня - достаточно ввести пользователя в заблуждение и заставить его сделать один клик.

Индикаторы компрометации

IPv4

  • 104.145.210.107
  • 188.227.196.252
  • 188.227.197.136
  • 83.136.208.246
  • 83.136.208.48
  • 83.136.209.22
  • 83.136.210.180

Domains

  • check02id.com
  • termsliva.com
  • uw04webzoom.us

SHA256

  • 05e1761b535537287e7b72d103a29c4453742725600f59a34a4831eafc0b8e53
  • 2075fd1a1362d188290910a8c55cf30c11ed5955c04af410c481410f538da419
  • 3e6fcace412827b14d4af9fc7ca1b8867f75f40c589f3fdca50e988466f00279
  • 5e581f22f56883ee13358f73fabab00fcf9313a053210eb12ac18e66098346e5
  • 5f457c492773b832054d007ba94d2e89c22dac8458dc9dc1b1d91896777c0c9f
  • 5fbbca2d72840feb86b6ef8a1abb4fe2f225d84228a714391673be2719c73ac7
  • 8fd5b8db10458ace7e4ed335eb0c66527e1928ad87a3c688595804f72b205e8c
  • 95e893e7cdde19d7d16ff5a5074d0b369abd31c1a30962656133caa8153e8d63
  • 97ccc28808d2c21b83f24835744af754920a992e57216d2cbc8315664905b0e2
  • 980bf65c703edae7b28a752207a84b80332be0dae4ee87f00928f82a011ab0ce
  • a05400000843fbad6b28d2b76fc201c3d415a72d88d8dc548fafd8bae073c640
  • fcd0c4f9d4311de6f400cc61f476dd60ae06f8d19568dbbaa1a118e1a0ff68ab

Комментарии: 0