Северокорейская хакерская группа Sapphire Sleet, известная также под именами BlueNoroff и UNC1069, провела многоступенчатую атаку на пользователей macOS. Кампания целенаправленно поражает устройства в высокодоходных финансовых секторах. Под атаку попадают сотрудники венчурных фондов, разработчики Web3 и криптовалютные организации. Группа активна с 2020 года, но её методы постоянно эволюционируют.
Описание
Изначально злоумышленники применяли простые вредоносные макросы. Теперь же их арсенал включает сложные нативные компоненты для macOS. Эти инструменты созданы для системного извлечения криптографических ключей и рабочих идентификаторов с конечных устройств. Новая активность демонстрирует резкий сдвиг в тактике - от технической эксплуатации к злоупотреблению доверием.
Злоумышленники используют подписанные встроенные системные приложения, такие как Apple Script Editor и Finder. Вредоносное программное обеспечение обходит стандартные механизмы защиты macOS. Оно подавляет системные предупреждения безопасности и выполняет произвольный код под видом легитимного обновления пользователя. Такой подход полностью соответствует современным публичным отчётам о взломе устройств macOS.
Начальный доступ к системе обеспечивала целевая социальная инженерия. Злоумышленники инструктировали жертву выполнить поддельный компонент обновления Zoom SDK. Это приводило к загрузке и запуску последующей вредоносной нагрузки. Как говорится в подробном отчёте аналитиков, схема атаки выглядит следующим образом.
Всё начинается с социальной инженерии против конкретного человека из сферы криптовалют, инвестиций или Web3. Злоумышленник связывается с жертвой через LinkedIn, Telegram, электронную почту или другие профессиональные площадки. Он представляется рекрутером, инвестором или деловым партнёром и договаривается о видеовстрече. Перед встречей жертве предлагают установить поддельный компонент обновления Zoom SDK. Этот файл имеет расширение .scpt и открывается встроенным в macOS редактором скриптов Apple Script Editor.
Вредоносная логика внутри файла тщательно скрыта. Код содержит тысячи пустых строк, которые отодвигают истинные команды далеко за пределы видимой области. Механизм выполнения выстроен цепочкой: Script Editor запускает osascript, тот обращается к утилите curl, а уже она передаёт управление командной оболочке Shell. После этого происходит загрузка и запуск следующей порции вредоносного кода.
Скрипт использует пять жёстко прописанных идентификаторов User-Agent для каждого этапа: mac-cur1, mac-cur2 и так далее. Эти идентификаторы позволяют скрипту проверять состояние системы и загружать начальные инструменты разведки. Один из таких инструментов получает имя com.apple.cli. Для кражи учётных данных запускается поддельное приложение systemupdate.app. Оно выводит нативный диалог macOS с запросом пароля пользователя. Жертва вводит свои данные, и они сразу попадают к злоумышленникам.
Настоящей инновацией кампании стал метод обхода базы данных приватности системы. macOS использует механизм Transparency Consent Control (TCC) для управления разрешениями приложений. Встроенный в систему Finder по умолчанию имеет полный доступ к дискам. Злоумышленники используют эту особенность: Finder копирует системную базу TCC.db, затем через утилиту sqlite3 вносит изменения и записывает файл обратно. В результате для утилиты osascript незаметно добавляется полное разрешение на автоматизацию. Операционная система не показывает пользователю никаких запросов.
Закрепление в системе происходит через загрузку административной конфигурации. Файл com.google.webkit.service.plist помещается в директорию /Library/LaunchDaemons. При старте системы он запускает компонент с именем icloudz. Этот компонент применяет функцию NSCreateObjectFileImageFromMemory для отражённой загрузки агента в память. Агент, названный com.google.chromes.updaters, связывается с управляющим сервером каждые 60 секунд.
Сбор и кража данных организованы с профессиональной дотошностью. Скрипт создаёт архивные файлы формата .zip во временной директории /tmp/ и упаковывает туда критически важные корпоративные активы. Под удар попадают программные криптовалютные кошельки Exodus и Ledger Live, локальные хранилища расширений браузера, сессионные профили Telegram, локальные ключи SSH, а также незашифрованные записи из Apple Notes. Архивы отправляются на удалённый порт 8443 через утилиту nohup curl. Официальный трафик кражи данных также зафиксирован на адресе 104.145.210[.]107:6783.
Microsoft уже поделилась своими находками с Apple. Это привело к обновлениям для обнаружения и блокировки инфраструктуры кампании и вредоносного кода. Однако основная техника атаки остаётся актуальной. Использование встроенных системных компонентов, таких как Script Editor, osascript и curl, а также манипуляции с базой TCC.db и подозрительные файлы в LaunchDaemons, всё ещё могут быть применены повторно. Злоумышленники легко могут сменить домены, имена файлов и полезную нагрузку. Исторические индикаторы компрометации теряют свою эффективность.
Для ИБ-специалистов этот инцидент служит напоминанием о необходимости мониторинга поведения встроенных системных процессов. Внимание должно быть сосредоточено на аномальном запуске osascript, нестандартных запросах к базе TCC.db и новых службах в LaunchDaemons. Криптовалютным организациям и Web3-компаниям стоит усилить проверку установщиков корпоративного софта, особенно когда установка происходит по инструкции от внешних контактов.
Индикаторы компрометации
IPv4
- 104.145.210.107
- 83.136.208.246
- 83.136.208.48
- 83.136.209.22
- 83.136.210.180
Domains
- check02id.com
- ur01webzoom.us
- uv01webzoom.us
- uv03webzoom.us
- uv04webzoom.us
- uw03webzoom.us
- uw04webzoom.us
- uw05webzoom.us
- ux06webzoom.us
SHA256
- 05e1761b535537287e7b72d103a29c4453742725600f59a34a4831eafc0b8e53
- 2075fd1a1362d188290910a8c55cf30c11ed5955c04af410c481410f538da419
- 5e581f22f56883ee13358f73fabab00fcf9313a053210eb12ac18e66098346e5
- 5fbbca2d72840feb86b6ef8a1abb4fe2f225d84228a714391673be2719c73ac7
- 8fd5b8db10458ace7e4ed335eb0c66527e1928ad87a3c688595804f72b205e8c
- 95e893e7cdde19d7d16ff5a5074d0b369abd31c1a30962656133caa8153e8d63
- a05400000843fbad6b28d2b76fc201c3d415a72d88d8dc548fafd8bae073c640