Security

Intrusion macOS Sapphire Sleet : points clés Defender

3 min de lecture

Résumé

Microsoft Threat Intelligence a détaillé une campagne ciblant macOS menée par Sapphire Sleet, qui s’appuie sur l’ingénierie sociale et de fausses mises à jour logicielles plutôt que sur l’exploitation de vulnérabilités. La chaîne d’attaque repose sur l’exécution par l’utilisateur d’AppleScript et de commandes Terminal pour contourner les protections natives de macOS, ce qui rend particulièrement importantes les défenses multicouches, la sensibilisation des utilisateurs et la détection sur les endpoints.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a publié de nouvelles recherches sur une campagne d’intrusion macOS liée à Sapphire Sleet, un acteur de menace nord-coréen connu pour cibler les organisations de cryptomonnaie et de finance. Ce rapport est important, car il montre comment des attaquants peuvent compromettre des Mac sans utiliser d’exploit logiciel, simplement en convainquant les utilisateurs d’exécuter ce qui semble être une mise à jour légitime.

Ce qui est nouveau dans cette campagne

Microsoft a observé Sapphire Sleet utiliser un faux fichier Zoom SDK Update.scpt pour lancer une chaîne d’infection macOS en plusieurs étapes.

Techniques clés mises en avant

  • Ingénierie sociale plutôt que exploits : la campagne dépend du fait que les utilisateurs ouvrent et exécutent manuellement un fichier AppleScript malveillant.
  • Abus d’applications de confiance : le leurre s’ouvre dans macOS Script Editor, une application Apple légitime, ce qui aide l’activité à paraître bénigne.
  • Livraison de payloads en plusieurs étapes : le script utilise curl et osascript pour récupérer et exécuter des payloads AppleScript supplémentaires depuis une infrastructure contrôlée par les attaquants.
  • Vol d’identifiants et persistance : les étapes suivantes collectent des mots de passe, ciblent des actifs de cryptomonnaie, manipulent des comportements liés à TCC, établissent une persistance et exfiltrent des données sensibles.
  • Faux processus de mise à jour : le script malveillant inclut de fausses instructions de mise à jour et lance des outils système de confiance pour renforcer sa légitimité.

Microsoft a noté que cette chaîne d’attaque peut fonctionner en dehors des limites normales d’application de la sécurité macOS lorsque l’exécution est initiée par l’utilisateur, réduisant l’efficacité de contrôles tels que Gatekeeper, les vérifications de notarization, l’application de la quarantaine et certaines parties du framework Transparency, Consent, and Control.

Pourquoi c’est important pour les défenseurs

Pour les équipes IT et sécurité, le principal enseignement est que les utilisateurs macOS restent très vulnérables aux leurres convaincants, en particulier dans des secteurs à forte valeur comme la cryptomonnaie, le capital-risque, la finance et la blockchain. La campagne montre également que les attaquants combinent de plus en plus des utilitaires macOS légitimes avec une livraison de payloads par étapes afin d’éviter d’éveiller les soupçons.

Les organisations utilisant Microsoft Defender devraient examiner les nouvelles détections, les recommandations de hunting et les indicateurs de compromission publiés par Microsoft pour cette activité. Une visibilité cross-platform est essentielle, en particulier dans les environnements qui ont historiquement considéré les Mac comme des endpoints à plus faible risque.

Étapes suivantes recommandées

  • Former les utilisateurs à ne pas exécuter de fichiers de mise à jour inattendus, en particulier les fichiers .scpt ou les scripts fournis en dehors des canaux officiels.
  • Maintenir macOS à jour avec les dernières protections et mises à jour de sécurité d’Apple.
  • Examiner les détections endpoint pour repérer l’utilisation suspecte de Script Editor, osascript et curl en séquence.
  • Rechercher les activités de fausse mise à jour et les exécutions AppleScript anormales liées à des téléchargements externes.
  • Prioriser les utilisateurs à haut risque dans la finance, la crypto et les fonctions dirigeantes pour une surveillance renforcée et des contrôles résistants au phishing.

Cette recherche rappelle que les attaques macOS modernes réussissent souvent par persuasion, et non par exploitation. Les équipes de sécurité doivent combiner sensibilisation des utilisateurs, supervision des endpoints et contrôles de défense multicouches pour réduire l’exposition.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Sapphire SleetmacOS securityMicrosoft Defendersocial engineeringcredential theft

Articles connexes

Security

Stratégie d’inventaire cryptographique quantique

Microsoft incite les organisations à considérer l’inventaire cryptographique comme la première étape concrète vers la préparation post-quantique. L’entreprise présente un cycle continu de gestion de la posture cryptographique pour aider les équipes de sécurité à découvrir, évaluer, prioriser et corriger les risques cryptographiques dans le code, les réseaux, l’exécution et le stockage.

Security

Réponse aux incidents IA : ce que la sécurité change

Microsoft indique que les principes traditionnels de réponse aux incidents restent valables pour les systèmes d’IA, mais que les équipes doivent s’adapter aux comportements non déterministes, à des dommages plus rapides à grande échelle et à de nouvelles catégories de risques. L’entreprise souligne la nécessité d’une meilleure télémétrie IA, de plans de réponse transverses et d’une remédiation par étapes pour contenir rapidement les problèmes pendant que des correctifs à plus long terme sont développés.

Security

SOC agentique Microsoft : vision du futur SecOps

Microsoft présente un modèle de « SOC agentique » qui combine interruption autonome des menaces et agents IA pour accélérer les investigations et réduire la fatigue liée aux alertes. Cette approche vise à faire évoluer les opérations de sécurité d’une réponse réactive aux incidents vers une défense plus rapide et plus adaptative, afin de laisser davantage de temps aux équipes SOC pour la réduction stratégique des risques et la gouvernance.

Security

Attaques de paie Storm-2755 contre des employés canadiens

Microsoft a détaillé une campagne Storm-2755 à motivation financière visant des employés canadiens avec des attaques de détournement de paie. L’acteur malveillant a utilisé le SEO poisoning, le malvertising et des techniques d’adversary-in-the-middle pour voler des sessions, contourner le MFA hérité et modifier les informations de dépôt direct, faisant du MFA résistant au phishing et de la surveillance des sessions des défenses essentielles.

Security

Vulnérabilité Android EngageSDK : millions exposés

Microsoft a révélé une grave faille de redirection d’intention dans EngageSDK, un SDK tiers pour Android, exposant potentiellement des millions d’utilisateurs de portefeuilles crypto à des fuites de données et à une élévation de privilèges. Le problème a été corrigé dans EngageSDK version 5.2.1 et illustre le risque croissant lié aux dépendances opaques de la chaîne d’approvisionnement des applications mobiles.

Security

Détournement DNS sur routeurs SOHO : alerte Microsoft

Microsoft Threat Intelligence indique que Forest Blizzard a compromis des routeurs domestiques et de petits bureaux vulnérables afin de détourner le trafic DNS et, dans certains cas, de permettre des attaques adversary-in-the-middle contre des connexions ciblées. Cette campagne est importante pour les équipes IT, car des appareils SOHO non gérés utilisés par des employés en télétravail ou en mode hybride peuvent exposer l’accès au cloud et des données sensibles, même lorsque les environnements d’entreprise restent sécurisés.