Sapphire Sleet macOS kampány
A LevelBlue SpiderLabs új kampányt azonosított az észak-koreai állami hátterű Sapphire Sleet (BlueNoroff, UNC1069) csoporttól, amely kifejezetten macOS-alapú környezeteket céloz, elsősorban kriptovaluta-, Web3-, venture capital- és pénzügyi szervezeteknél. A művelet különlegessége, hogy nem sérülékenységeket használ, hanem a macOS megbízható, natív komponenseit weaponizálja social engineering támogatásával.
A támadási lánc tipikusan hamis állásinterjúval vagy üzleti megkereséssel indul. Az áldozatot egy Zoom SDK Update nevű fájl futtatására veszik rá, amely valójában egy AppleScript-alapú payload. A fájl a legitim Script Editor alkalmazásban nyílik meg, így a futtatás felhasználói kontextusban történik, megkerülve számos macOS védelmi mechanizmust, például a Gatekeeper, TCC és quarantine kontrollok egy részét.
A malware több lépcsőben tölt le további komponenseket, miközben legitim Apple-alkalmazásokat – például Finder és Script Editor – használ LOLBin-szerű módon. A kampány célja kriptotárcák, hitelesítő adatok, operatív identitások és érzékeny üzleti információk megszerzése. A Microsoft szerint a támadók hamis rendszerdialógusokkal credential harvestinget végeznek, módosíthatják a TCC (Transparency, Consent and Control) adatbázist, launch daemon alapú perzisztenciát építenek ki, majd nagyméretű adat-exfiltrációt hajtanak végre.
