文章总结： 2026年4月微软披露朝鲜APT组织SapphireSleet通过伪装ZoomSDK升级包的社会工程学攻击针对macOS用户，使用五阶段AppleScript执行链窃取密码、加密货币钱包和敏感数据。攻击完全依赖用户欺骗而非技术漏洞，涉及TCC数据库篡改、持久化后门及TelegramBot外泄数据。防御建议包括终端用户警惕非预期文件下载、企业监控osascript调用与TCC修改、保持系统更新。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全意识,应急响应,漏洞分析

伪装Zoom SDK升级：朝鲜政府支持的APT组织Sapphire Sleet针对macOS的新型攻击

原创

助力行业的 助力行业的

李白你好

2026年4月20日 00:01 青海

在小说阅读器读本章

去阅读

一、事件概述

2026年4月，微软威胁情报团队发现并披露了一起针对macOS用户的新型攻击活动。攻击者伪装成Zoom SDK升级包，通过精心设计的社会工程学手段诱导受害者执行恶意AppleScript脚本，最终实现密码窃取、加密货币资产盗取以及敏感数据外泄。经归因分析，该攻击活动来自朝鲜政府支持的APT组织 Sapphire Sleet（亦被追踪为BlueNoroff、APT38、Stardust Chollima、Copernicium等）【12†L3-L6】。

与以往依赖软件漏洞的APT攻击不同，本次攻击完全基于社会工程学欺骗，通过操纵受害者行为而非绕过技术防御来达成入侵目的。截至微软披露时，Apple已通过XProtect签名更新和Safari安全浏览保护对该攻击基础设施进行了封锁。

二、攻击者背景：Sapphire Sleet

Sapphire Sleet是朝鲜Lazarus Group旗下的子组织，历史上以窃取加密货币和金融资产为主要目标【9†L3-L6】。该组织通常通过创建虚假的加密货币交易平台、风险投资公司或招聘角色来接触受害者，其基础设施常伪装成合法的金融科技公司或加密货币服务商【9†L23-L27】。

Sapphire Sleet的主要攻击目标集中在加密货币交易所、去中心化金融平台、风险投资公司以及持有大量加密资产的个人用户，地缘分布涵盖北美、欧洲和亚太地区的金融中心【9†L28-L35】。安全研究机构已记录该组织多次加密货币盗窃事件，累计涉案金额超过数亿美元【10†L3-L7】。

值得注意的是，Sapphire Sleet在2024年曾使用“Titanium”后门（基于PowerShell的Windows恶意软件）攻击俄罗斯金融机构，而本次macOS攻击链是其攻击能力向Apple生态系统的首次大规模延伸【9†L5-L9】【11†L3-L8】。

三、攻击链深度剖析

3.1 初始入侵：伪装Zoom SDK的社会工程学攻击

攻击的起点是Sapphire Sleet在LinkedIn等职业社交平台上伪装成招聘人员，通过多次对话建立信任后，邀请受害者参加一个虚假的技术面试。在面试的关键环节，攻击者会引导受害者下载名为 Zoom SDK Update.scpt 的编译型AppleScript文件。

该文件在macOS系统中会默认由系统自带的“脚本编辑器”应用程序打开。由于脚本编辑器是Apple官方签名的合法应用程序，macOS的Gatekeeper和公证机制不会对其产生任何安全警告，从而为恶意代码的执行创造了“合法”的上下文环境。从用户视角来看，他们只会看到一段例行升级提示，而恶意代码则隐藏在数千行空白行之后，难以被察觉。

3.2 五阶段执行链：mac-cur1 至 mac-cur5

一旦受害者打开诱饵文件，攻击会迅速进入一个包含五个阶段的执行链。该脚本首先调用macOS合法的 softwareupdate 命令并传入无效参数，以模拟系统更新过程。随后使用 curl 工具从远程C2服务器拉取下一阶段的AppleScript负载，并直接传递给 osascript 解释器执行。

微软研究人员发现，这五个阶段的网络请求分别使用自定义User-Agent字符串 mac-cur1 至 mac-cur5，使Sapphire Sleet能够精确跟踪每个受害者的感染进度并管理负载分发。以下为各阶段的核心功能：

阶段一（mac-cur1）：初始化和持久化

mac-cur1作为整个攻击链的“指挥中心”，负责收集主机系统信息（包括macOS版本、硬件标识符、用户名等），向C2服务器注册受害主机，并部署主机监控二进制文件 com.apple.cli。

该阶段同时安装名为 services 的后门程序，并创建启动守护进程 com.google.webkit.service.plist，其命名刻意模仿Apple和Google合法服务，确保系统重启后恶意代码仍能持续运行。

阶段二（mac-cur2）：凭证窃取

mac-cur2阶段部署名为 systemupdate.app 的凭证窃取组件。该应用程序会弹出一个与macOS原生系统提示完全相同的密码输入对话框。一旦受害者输入密码，恶意软件首先验证其有效性，随后立即通过Telegram Bot API将明文密码发送至Sapphire Sleet的C2服务器。

紧接着，另一个名为 softwareupdate.app 的伪装应用会显示“系统更新完成”的虚假消息，以消除受害者的任何疑虑。

阶段三（mac-cur3）：TCC数据库篡改与数据窃取

macOS的Transparency Consent and Control (TCC) 机制负责管理应用程序对敏感数据的访问权限（如摄像头、麦克风、文件系统等）。mac-cur3阶段通过对TCC数据库进行动态篡改来绕过这一关键防护。

具体操作是：恶意脚本指导Finder进程临时重命名TCC文件夹，利用重命名窗口期向TCC数据库注入新权限条目，授予 osascript 解释器访问敏感文件的特权，整个过程不会触发任何用户许可提示。

权限提升完成后，一段长达575行的数据窃取脚本开始执行，系统性地收集以下九类敏感信息：

| 数据类别 | 具体内容 | | — | — | | 系统登录密码 | 从凭证窃取模块获取 | | Telegram会话数据 | 会话令牌、聊天记录 | | 浏览器凭证 | Chrome、Firefox、Safari等保存的密码 | | 加密货币钱包密钥 | Ledger Live、Exodus等钱包数据 | | SSH密钥 | ~/.ssh/ 目录下所有私钥 | | macOS钥匙串数据库 | Keychain中存储的全部密码项 | | 浏览器Cookie | 可用于会话劫持 | | 系统配置信息 | 主机名、网络配置等 | | 个人文档 | 桌面和文档目录中的文件 |

所有窃取的数据经压缩后通过8443端口静默上传至攻击者控制的服务器。

四、Titanium恶意软件关联分析

在2024年针对俄罗斯金融机构的攻击中，Sapphire Sleet使用了名为Titanium的Windows恶意软件框架【11†L3-L8】。Titanium是一个复杂的后门工具，其核心特征包括：

1. 多层加密通信：使用AES-256加密C2通信流量
2. 内存驻留技术：通过PowerShell脚本在内存中执行，减少磁盘痕迹
3. 模块化架构：支持动态加载窃密、键盘记录、远程Shell等功能模块

尽管本次macOS攻击链使用了完全不同的技术栈（AppleScript、Bash脚本、Swift应用程序），但以下行为模式显示出明显的攻击者指纹重叠【11†L21-L28】：

• 虚假软件更新诱饵：macOS攻击中的 softwareupdate.app 与Titanium攻击中使用的伪装Windows更新程序在攻击理念上高度一致
• Telegram Bot API数据外泄：两种攻击均利用Telegram作为命令控制与数据外泄通道
• 目标行业重合：加密货币、金融科技和风险投资行业
• C2基础设施架构：域名命名模式与SSL证书特征呈现一致性

五、攻击基础设施与归因分析

Sapphire Sleet的攻击基础设施具有以下典型特征【12†L3-L11】：

1. 域名仿冒：注册与合法加密货币服务和金融科技公司高度相似的域名
2. 短期轮换：C2服务器IP地址平均每3-7天更换一次
3. 证书特征：大量使用Let‘s Encrypt免费证书，证书主题常模仿目标行业公司名称
4. Telegram Bot中继：将窃取数据通过Telegram Bot API中转，增加追踪难度

本次macOS攻击活动的归因依据包括【12†L3-L6】：

• 攻击链使用的mac-cur*自定义User-Agent字符串是Sapphire Sleet的独特签名
• 域名注册记录与历史攻击活动中使用的注册邮箱关联
• 使用的TCC数据库绕过技术与该组织已知的macOS攻击工具集重叠
• 目标画像与Sapphire Sleet的历史攻击目标完全匹配

六、防御建议与检测方案

6.1 终端用户防御措施

1. 警惕非预期文件下载：任何在线面试过程中要求下载并运行脚本或软件的行为都应视为高危信号
2. 文件扩展名识别：对 .scpt 和 .app 等可执行格式文件保持警觉，特别是在非预期上下文中
3. 双重验证渠道：通过企业官方渠道（而非LinkedIn私信）核实招聘人员身份

6.2 企业安全团队检测方案

文件与进程监控

| 监控指标 | 检测规则 | | — | — | | AppleScript文件 | 阻止 .scpt 文件通过邮件/即时通讯传入，监控 osascript 进程的非预期调用 | | 异常curl请求 | 检测User-Agent包含 mac-cur[1-5] 的HTTP请求 | | 可疑LaunchDaemon | 审计 /Library/LaunchDaemons/ 中非预期的 .plist 文件，特别关注 com.google.webkit.service 等伪装名称 | | TCC数据库修改 | 监控TCC目录重命名事件及 ~/Library/Application Support/com.apple.TCC/ 的异常写入 |

网络层检测

• 监控8443端口的非HTTPS流量（该攻击使用8443端口进行非标准加密传输）
• 阻断与已知Sapphire Sleet C2域名的通信
• 检测Telegram Bot API的可疑调用模式

6.3 Apple生态防护

保持macOS系统更新至最新版本，确保以下防护机制处于激活状态：

• XProtect：Apple已部署针对本攻击链中恶意文件的签名检测
• Safari安全浏览：Google Safe Browsing集成已封锁已知C2域名
• Gatekeeper：虽然本攻击绕过了Gatekeeper（因用户主动执行），但仍建议保持Gatekeeper的“仅允许App Store和被认可开发者”设置

七、总结

本次Sapphire Sleet攻击活动揭示了APT攻击的一个关键趋势：当操作系统安全机制日趋完善时，攻击者将重心转向社会工程学。在macOS平台上，Gatekeeper、XProtect、TCC等安全机制构成了多层纵深防御，但所有技术防护的最终边界仍然是用户的操作行为。

对于安全从业者而言，本案例的启示在于：

1. 端点检测与响应（EDR）必须覆盖AppleScript和合法系统工具的异常使用模式，而非仅依赖文件哈希检测
2. TCC数据库完整性监控应纳入macOS安全基线
3. 员工安全意识培训需要针对性地加入“虚假技术面试”和“伪装软件更新”场景
4. 行业协作与威胁情报共享是应对国家级APT的有效手段——本次披露即得益于微软与Apple的协作

随着Sapphire Sleet等朝鲜APT组织将攻击能力延伸至Apple生态系统，企业安全团队需要重新审视跨平台威胁检测策略，确保Windows、macOS和Linux终端获得同等程度的安全防护覆盖。

参考来源：

1. Cybersecurity News: Fake Zoom SDK Update Delivers Sapphire Sleet Malware in New macOS Intrusion Chain
2. Microsoft Threat Intelligence: Dissecting Sapphire Sleet‘s macOS intrusion from lure to compromise
3. SentinelOne: Sapphire Sleet | Threat Actor Profile
4. Group-IB: Titanium: Analyzing Sapphire Sleet’s malware used in attacks
5. SOCRadar: Sapphire Sleet (BlueNoroff) – Threat Actor Profile
6. The Hacker News: Fake Zoom SDK Update Delivers Sapphire Sleet Malware in New macOS Intrusion Chain

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好 助力行业的 助力行业的《伪装Zoom SDK升级：朝鲜政府支持的APT组织Sapphire Sleet针对macOS的新型攻击》