Nhóm tác nhân đe dọa **Sapphire Sleet** đã khởi động một chiến dịch **mã độc macOS** mới, nhắm mục tiêu vào người dùng hệ điều hành macOS. Chiến dịch **mã độc macOS** này sử dụng chiêu trò cập nhật Zoom SDK giả mạo để lừa nạn nhân thực thi các tệp độc hại, từ đó đánh cắp mật khẩu, tài sản tiền điện tử và dữ liệu cá nhân. Khác biệt với các cuộc tấn công khai thác lỗ hổng phần mềm, chiến dịch này hoàn toàn dựa vào kỹ thuật lừa đảo xã hội (social engineering), thao túng tâm lý người dùng thay vì vượt qua các cơ chế phòng thủ kỹ thuật.
Kỹ thuật Lừa Đảo Xã Hội Khai Thác Người Dùng macOS
Cuộc tấn công bắt đầu bằng một kịch bản lừa đảo tinh vi và đáng tin cậy. Sapphire Sleet giả mạo làm nhà tuyển dụng trên các nền tảng mạng xã hội chuyên nghiệp. Chúng xây dựng lòng tin thông qua các cuộc trò chuyện về sự nghiệp và sau đó sắp xếp một cuộc phỏng vấn kỹ thuật giả. Đến một thời điểm quan trọng, nạn nhân được hướng dẫn tải xuống một tệp có tên **“Zoom SDK Update.scpt”**. Đây là một AppleScript đã được biên dịch, sẽ mở ra trong ứng dụng Script Editor của macOS.
Do Script Editor là một ứng dụng đáng tin cậy do Apple phát triển, macOS không đưa ra bất kỳ cảnh báo nào. Người dùng sẽ thấy các hướng dẫn nâng cấp thông thường, trong khi hàng nghìn dòng trống bên dưới che giấu mã độc hại sẵn sàng thực thi. Các nhà phân tích từ **Microsoft Threat Intelligence** đã xác định chiến dịch này và ghi nhận rằng sự kết hợp cụ thể của các mô hình thực thi, bao gồm việc sử dụng AppleScript làm thành phần thu thập thông tin xác thực chuyên biệt, chưa từng được quan sát trước đây từ Sapphire Sleet. Thông tin chi tiết có tại Phân tích của Microsoft Threat Intelligence về chiến dịch Sapphire Sleet.
Cơ Chế Vận Hành Mã Độc và Né Tránh Hệ Thống Phòng Thủ
Sau khi được kích hoạt, **mã độc macOS** này có khả năng vượt qua các lớp bảo mật của hệ điều hành, bao gồm **Gatekeeper** và **Transparency Consent and Control (TCC)**. Bằng cách thuyết phục người dùng tự chạy tệp, Sapphire Sleet chuyển ngữ cảnh thực thi sang một ngữ cảnh do người dùng khởi tạo, nơi các biện pháp bảo vệ này không còn được áp dụng hiệu quả. Điều này nhấn mạnh tầm quan trọng của nhận thức về hành vi người dùng trong việc phòng thủ.
Một khi nạn nhân mở tệp lừa đảo, cuộc tấn công di chuyển qua một chuỗi lệnh nhanh chóng. Script độc hại kích hoạt tệp nhị phân hợp pháp **“softwareupdate”** của macOS với một tham số không hợp lệ để bắt chước một tiến trình hệ thống thực. Sau đó, nó sử dụng lệnh **“curl”** để tải về một payload AppleScript từ xa và truyền trực tiếp tới trình thông dịch **“osascript”**.
Mô hình này lặp lại qua **năm giai đoạn**, mỗi giai đoạn được theo dõi bằng các chuỗi tác nhân người dùng (**user-agent strings**) từ **mac-cur1** đến **mac-cur5**. Điều này cho phép Sapphire Sleet quản lý việc phân phối payload và giám sát tiến trình của chiến dịch tấn công mạng.
Chuỗi Tấn Công Đa Giai Đoạn Chiếm Quyền Kiểm Soát Hệ Thống
Giai Đoạn mac-cur1: Thiết Lập C2 và Giám Sát
Giai đoạn **mac-cur1** hoạt động như một thành phần điều phối chính. Nó thu thập các chi tiết hệ thống của nạn nhân, đăng ký máy bị lây nhiễm với máy chủ Command-and-Control (C2) của Sapphire Sleet, và triển khai một tệp nhị phân giám sát máy chủ có tên **“com.apple.cli”**. Đây là bước đầu tiên để thiết lập quyền kiểm soát và theo dõi mục tiêu trên hệ thống bị xâm nhập.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Một backdoor có tên **“services”** đồng thời cài đặt một daemon khởi chạy (**launch daemon**) có tên **“com.google.webkit.service.plist”**. Tên của daemon này được đặt rất giống với các dịch vụ hợp pháp của Apple và Google để duy trì sự tồn tại trên hệ thống sau khi khởi động lại mà không thu hút sự chú ý, đảm bảo quyền truy cập liên tục cho **mã độc macOS**.
Giai Đoạn mac-cur2: Thu Thập Thông Tin Đăng Nhập
Giai đoạn **mac-cur2** phân phối thành phần thu thập thông tin xác thực, có tên **“systemupdate.app”**. Ứng dụng này hiển thị một hộp thoại yêu cầu mật khẩu gốc giống hệt một lời nhắc hệ thống thực. Khi người dùng nhập mật khẩu, mã độc sẽ xác thực mật khẩu đó với cơ sở dữ liệu xác thực cục bộ và ngay lập tức gửi nó cho Sapphire Sleet thông qua **Telegram Bot API**.
Một ứng dụng giả mạo thứ hai có tên **“softwareupdate.app”** sau đó hiển thị thông báo **“system update complete”** (cập nhật hệ thống hoàn tất), khiến nạn nhân không có lý do để nghi ngờ về **mã độc macOS** đang hoạt động trên thiết bị của họ.
Giai Đoạn mac-cur3: Xâm Phạm Dữ Liệu Được Bảo Vệ
Để tiếp cận dữ liệu được bảo vệ, giai đoạn **mac-cur3** thao tác cơ sở dữ liệu TCC bằng cách chỉ đạo Finder tạm thời đổi tên thư mục TCC. Điều này cho phép mã độc chèn các quyền để **osascript** có thể truy cập các tệp nhạy cảm mà không kích hoạt lời nhắc đồng ý của người dùng. Sau đó, một script exfiltration dài **575 dòng** sẽ thu thập **chín loại dữ liệu** khác nhau và tải chúng lên các máy chủ của kẻ tấn công. Đây là một giai đoạn then chốt trong quá trình rò rỉ dữ liệu.
Dữ Liệu Bị Đánh Cắp và Đối Tượng Mục Tiêu của Mã Độc macOS
Sapphire Sleet chủ yếu nhắm mục tiêu vào các cá nhân và tổ chức trong các lĩnh vực **tiền điện tử, tài chính, quỹ đầu tư mạo hiểm và blockchain**. Một khi hoạt động, mã độc sẽ thu thập mật khẩu đăng nhập của nạn nhân, đánh cắp dữ liệu phiên Telegram, thông tin xác thực trình duyệt, khóa ví tiền điện tử từ các ứng dụng như **Ledger Live** và **Exodus**, khóa SSH và cơ sở dữ liệu keychain của macOS. Tất cả dữ liệu bị đánh cắp được nén và tải lên một cách âm thầm tới các máy chủ do kẻ tấn công kiểm soát qua cổng **8443**. Đây là một ví dụ điển hình về cuộc tấn công đánh cắp dữ liệu nhạy cảm quy mô lớn bởi **mã độc macOS**.
Chỉ Số Xâm Nhập (IOCs) Của Chiến Dịch Sapphire Sleet
Các chỉ số xâm nhập (Indicators of Compromise – **IOCs**) sau đây có thể giúp các tổ chức phát hiện và ứng phó với chiến dịch này:
- Tên tệp độc hại:
Zoom SDK Update.scptcom.apple.cli(tệp nhị phân giám sát máy chủ)services(backdoor)systemupdate.app(thành phần thu thập thông tin xác thực)softwareupdate.app(ứng dụng giả mạo hiển thị thông báo cập nhật)
- Tên Launch Daemon (Cơ chế Persistence):
com.google.webkit.service.plist
- Chuỗi User-Agent được sử dụng trong giao tiếp C2:
mac-cur1mac-cur2mac-cur3mac-cur4mac-cur5
- Giao tiếp mạng:
- Kết nối đến máy chủ C2 qua cổng **8443** (để tải lên dữ liệu bị đánh cắp).
- Sử dụng **Telegram Bot API** để exfiltrate mật khẩu.
Biện Pháp Phòng Ngừa và Phát Hiện Mối Đe Dọa
Để bảo vệ hệ thống khỏi các cuộc tấn công tương tự, người dùng và tổ chức cần thực hiện các biện pháp phòng ngừa và phát hiện hiệu quả. Bất kỳ yêu cầu không mong muốn nào để chạy các lệnh terminal trong một cuộc phỏng vấn trực tuyến cần được coi là một dấu hiệu cảnh báo rõ ràng về một mối đe dọa tiềm tàng.
Các bước phòng thủ hiệu quả bao gồm chặn các tệp AppleScript đã biên dịch (**.scpt**), kiểm tra các tệp **LaunchDaemon plist** để tìm các mục không mong muốn, và giám sát cơ sở dữ liệu **TCC** để phát hiện các thay đổi trái phép do **mã độc macOS** gây ra. Việc triển khai giải pháp phát hiện xâm nhập (IDS) có thể giúp nhận diện các hành vi bất thường.
Việc giữ cho hệ điều hành macOS luôn được cập nhật là cực kỳ quan trọng để bảo vệ khỏi **mã độc macOS**. Điều này đảm bảo rằng các chữ ký **XProtect** mới nhất của Apple và các biện pháp bảo vệ **Safari Safe Browsing** vẫn hoạt động để phát hiện và chặn các thành phần đã biết của chiến dịch **mã độc macOS** này. Apple đã triển khai các bản cập nhật chữ ký XProtect và bảo vệ Safe Browsing trong Safari sau khi nhận được thông tin từ Microsoft thông qua quy trình tiết lộ có trách nhiệm.
