Sapphire Sleet macOS-indtrængen: vigtig Defender-indsigt

Introduktion

Microsoft har offentliggjort ny research om en macOS-indtrængningskampagne knyttet til Sapphire Sleet, en nordkoreansk trusselsaktør kendt for at målrette mod kryptovaluta- og finansorganisationer. Rapporten er vigtig, fordi den viser, hvordan angribere kan kompromittere Mac-enheder uden at bruge et software exploit—blot ved at overbevise brugere om at køre det, der ligner en legitim opdatering.

Hvad er nyt i denne kampagne

Microsoft observerede Sapphire Sleet bruge en falsk Zoom SDK Update.scpt-fil til at starte en flertrins-infektionskæde på macOS.

Centrale teknikker fremhævet

• Social engineering frem for exploits: Kampagnen afhænger af, at brugere manuelt åbner og kører en ondsindet AppleScript-fil.
• Misbrug af betroede apps: Lokkefilen åbnes i macOS Script Editor, en legitim Apple-applikation, hvilket får aktiviteten til at fremstå harmløs.
• Flertrins levering af payloads: Scriptet bruger curl og osascript til at hente og køre yderligere AppleScript-payloads fra infrastruktur kontrolleret af angriberen.
• Credential theft og persistens: Senere stadier indsamler adgangskoder, målretter kryptovalutaaktiver, manipulerer TCC-relateret adfærd, etablerer persistens og eksfiltrerer følsomme data.
• Vildledende opdateringsworkflow: Det ondsindede script indeholder falske opdateringsinstruktioner og starter betroede systemværktøjer for at styrke legitimiteten.

Microsoft bemærkede, at denne angrebskæde kan fungere uden for de normale grænser for macOS-sikkerhedshåndhævelse, når eksekvering initieres af brugeren, hvilket reducerer effektiviteten af kontroller som Gatekeeper, notarization checks, quarantine enforcement og dele af Transparency, Consent, and Control-rammeværket.

Hvorfor det er vigtigt for forsvarere

For IT- og sikkerhedsteams er den vigtigste konklusion, at macOS-brugere fortsat er meget sårbare over for overbevisende lokkemidler, især i højværdisegmenter som kryptovaluta, venturekapital, finans og blockchain. Kampagnen viser også, at angribere i stigende grad kombinerer legitime macOS-værktøjer med trinvis payload-levering for at undgå mistanke.

Organisationer, der bruger Microsoft Defender, bør gennemgå Microsofts nyligt offentliggjorte detektioner, hunting guidance og indicators of compromise for denne aktivitet. Synlighed på tværs af platforme er afgørende, især i miljøer, der historisk har betragtet Mac-enheder som endpoints med lavere risiko.

Anbefalede næste skridt

• Uddan brugere til at undgå at køre uventede opdateringsfiler, især .scpt-filer eller scripts leveret uden for officielle kanaler.
• Hold macOS opdateret med Apples nyeste beskyttelser og sikkerhedsopdateringer.
• Gennemgå endpoint-detektioner for mistænkelig brug af Script Editor, osascript og curl i sekvens.
• Jagt på falsk opdateringsaktivitet og unormal AppleScript-eksekvering knyttet til eksterne downloads.
• Prioritér højrisikobrugere i finans, krypto og ledelsesroller til stærkere overvågning og phishing-resistente kontroller.

Denne research er en påmindelse om, at moderne macOS-angreb ofte lykkes gennem overtalelse, ikke udnyttelse. Sikkerhedsteams bør kombinere brugerbevidsthed, endpoint-overvågning og lagdelte forsvarskontroller for at reducere eksponering.