Северокорейские хакеры атакуют macOS через социальную инженерию, имитируя обновление Zoom

Атака начинается с фишинга на профессиональных платформах, таких как LinkedIn. Злоумышленники создают фальшивые профили рекрутеров, вступают в переписку с потенциальными жертвами, предлагают пройти техническое собеседование и просят установить "обновление для SDK Zoom". Целевой файл имеет расширение ".scpt" - это скомпилированный скрипт AppleScript, который по умолчанию открывается в стандартном приложении macOS "Редактор скриптов". Этот редактор, будучи доверенным системным инструментом, обладает возможностью выполнять произвольные команды в оболочке операционной системы, что и становится точкой входа для вредоносной нагрузки.

Сам скрипт хитро замаскирован. При открытии пользователь видит лишь большую область с комментариями, имитирующими инструкции по обновлению легитимного программного обеспечения Zoom. Однако за тысячами пустых строк, скрытых от немедленного просмотра, находится вредоносная логика. Сначала скрипт запускает безобидную команду "softwareupdate" с неверным параметром, создавая видимость легитимного процесса. Затем он извлекает с управляемого злоумышленниками сервера следующий этап атаки с помощью "curl" и немедленно исполняет его через "osascript". Эта многоступенчатая цепочка выполнения позволяет избежать записи основных вредоносных компонентов на диск на раннем этапе, что затрудняет обнаружение.

После получения первоначального доступа вредоносная программа разворачивает на заражённой системе несколько компонентов. Ключевым из них является сервис для кража учётных данных, маскирующийся под системное приложение "systemupdate.app". Он отображает пользователю диалоговое окно ввода пароля, неотличимое от настоящего системного запроса macOS. После ввода пароль проверяется через системные службы аутентификации, и в случае успеха немедленно пересылается операторам атаки через Telegram Bot API. Для завершения социального инжиниринга показывается фиктивное окно об успешном обновлении от приложения "softwareupdate.app".

Одновременно с этим на компьютер устанавливается основной бэкдор под именем "services", который обеспечивает постоянное присутствие в системе и возможность удалённого управления. Он, в свою очередь, развёртывает дополнительные компоненты, такие как "icloudz" и "com.google.chromes.updaters". Последний из них, самый крупный, обеспечивает устойчивое соединение с командным сервером злоумышленников. Для автоматического запуска при каждой загрузке системы создаётся конфигурационный файл "launch daemon", маскирующийся под службы Google или Apple.

Перед началом массового сбора данных злоумышленники обходят механизм контроля конфиденциальности macOS - Transparency, Consent, and Control (TCC). Этот механизм запрашивает согласие пользователя на доступ приложений к чувствительным данным. Sapphire Sleet манипулирует базой данных TCC, используя доверенный процесс Finder, который по умолчанию имеет права на полный доступ к диску. Они временно переименовывают системную папку, модифицируют базу через "sqlite3", добавляя разрешение для "osascript" взаимодействовать с Finder, и возвращают файлы на место. Эта операция выполняется без ведома пользователя, что позволяет сценариям беспрепятственно обращаться к файлам.

В финальной фазе атаки исполняется объёмный AppleScript, который методично собирает и выгружает семь категорий данных. Сбор информации ведётся целенаправленно: помимо базовых системных данных, скрипт ищет сессионные данные Telegram, профили браузеров (Chrome, Brave, Arc) с сохранёнными паролями и cookie, базы данных расширений для криптокошельков (включая Phantom, Coinbase, Ledger Live), ключи SSH, историю командной оболочки и заметки из стандартного приложения Apple Notes. Эксперты Microsoft в своём отчёте детально описали, как каждый тип данных упаковывается в отдельный архив и загружается на серверы злоумышленников через "nohup", что гарантирует завершение процесса даже после закрытия сессии.

Эта кампания наглядно демонстрирует эволюцию тактики угрозовых акторов. Вместо поиска и эксплуатации дорогостоящих zero-day уязвимостей в программном обеспечении Sapphire Sleet делает ставку на человеческий фактор, используя сложные сценарии социальной инженерии. Они искусно злоупотребляют доверенными системными утилитами macOS, такими как Script Editor, Finder или "osascript", чтобы их деятельность выпадала из-под действия таких защитных механизмов, как Gatekeeper, карантин файлов или проверка нотаризации. В результате формируется высокоэффективная цепочка заражения с минимальными операционными затратами для атакующих, но с высокими рисками для целевых организаций.

В ответ на обнаружение этой активности Microsoft уведомила Apple, и та уже внедрила обновления для защиты пользователей. В Safari активированы механизмы безопасного просмотра для блокировки известной инфраструктуры злоумышленников, а система XProtect получила сигнатуры для обнаружения связанных семейств вредоносного ПО. Для эффективной защиты эксперты рекомендуют проводить обучение сотрудников по распознаванию фишинга, ограничивать выполнение неподписанных ".scpt"-файлов, контролировать использование цепочек команд типа "curl | osascript", а также мониторить несанкционированные изменения базы TCC и неожиданные записи в каталогах LaunchDaemons. Комплексный подход, сочетающий технические меры и повышение осведомлённости пользователей, остаётся ключевым в противодействии подобным изощрённым атакам.

IPv4

• 104.145.210.107
• 188.227.196.252
• 83.136.208.246
• 83.136.208.48
• 83.136.209.22
• 83.136.210.180

Domains

• check02id.com
• uw04webzoom.us

SHA256

• 05e1761b535537287e7b72d103a29c4453742725600f59a34a4831eafc0b8e53
• 2075fd1a1362d188290910a8c55cf30c11ed5955c04af410c481410f538da419
• 5e581f22f56883ee13358f73fabab00fcf9313a053210eb12ac18e66098346e5
• 5fbbca2d72840feb86b6ef8a1abb4fe2f225d84228a714391673be2719c73ac7
• 8fd5b8db10458ace7e4ed335eb0c66527e1928ad87a3c688595804f72b205e8c
• 95e893e7cdde19d7d16ff5a5074d0b369abd31c1a30962656133caa8153e8d63
• a05400000843fbad6b28d2b76fc201c3d415a72d88d8dc548fafd8bae073c640