事件背景:国家级黑客盯上macOS
2026年4月16日,微软Defender安全研究团队发布了一份详细报告,披露了朝鲜国家级黑客组织Sapphire Sleet(与臭名昭著的Lazarus Group存在关联)发起的一场针对macOS系统的精心攻击活动。这次攻击的特别之处在于:它几乎不依赖任何软件漏洞,而是完全通过社会工程学手段突破企业安全边界。
Sapphire Sleet长期以来以针对金融机构、加密货币平台和IT企业著称,其核心目标是窃取资金和机密数据。此次macOS攻击活动揭示了一个令人警惕的趋势:即使在苹果精心构建的安全生态系统中,攻击者依然能够找到突破口——而这个突破口,往往就是员工本人。
攻击手法解析:ClickFix + AppleScript的双重欺骗
此次攻击采用了被安全研究人员称为"ClickFix"的社会工程学技术,攻击链分为以下几个阶段:
第一步:建立信任关系
攻击者在LinkedIn等职业社交平台上伪装成猎头或知名科技公司的招聘经理,主动联系IT、金融、软件开发等领域的从业人员。初始沟通往往非常专业,会涉及真实的岗位描述、薪资待遇和面试流程,使目标放松警惕。
第二步:投递恶意文件
在沟通推进到"技术测试"或"视频面试"环节时,攻击者要求目标下载一个名为 Zoom SDK Update.scpt 的文件,声称这是参与视频面试所必需的"Zoom插件更新"。实际上,这是一个精心构造的AppleScript脚本文件。
第三步:绕过系统防护
当受害者双击运行该文件时,macOS会用系统自带的Script Editor打开它——这是一个苹果官方的可信应用。恶意代码借助这个"白名单"进程完成执行,有效绕过了macOS的门卫(Gatekeeper)和应用公证检查。更危险的是,攻击者还通过修改TCC(透明度、同意和控制)数据库,在不弹出任何权限请求弹窗的情况下,悄悄获取了摄像头、麦克风和文件系统的访问权限。
第四步:多阶段载荷投递
初始脚本执行后,会从攻击者控制的服务器依次下载后续组件,整个过程环环相扣:
| 阶段 | 组件名称 | 主要功能 |
|---|---|---|
| 第一阶段 | 侦察模块 | 收集设备名称、macOS版本、运行进程列表,发送至C2服务器 |
| 第二阶段 | com.apple.cli(伪装名) | 建立持久化后门,伪装成Apple系统服务 |
| 第三阶段 | 凭证窃取器 | 伪装成"macOS系统更新"弹窗,诱导用户输入登录密码 |
| 第四阶段 | 数据外泄模块 | 打包并上传所有窃取数据 |
第五步:全面数据窃取
一旦攻击链完整执行,攻击者可以获取的数据范围令人震惊,包括但不限于:浏览器保存的所有账号密码和Cookie、macOS Keychain中的密钥和证书、加密货币钱包文件及浏览器扩展数据、Telegram会话数据、SSH私钥、以及完整的系统日志。
为什么企业员工是最薄弱的环节?
这次攻击再一次印证了一个行业共识:技术防护再强大,也难以抵御针对"人"的攻击。以下几个因素使企业员工特别容易成为目标:
- 职业发展焦虑:对职位晋升和薪资提升的渴望,使员工更愿意配合"招聘流程"中的各种要求,包括下载"必要工具"。
- 对知名品牌的信任:Zoom、Teams等视频会议工具已深度融入日常工作,员工对"更新提示"的警惕性极低。
- macOS的"安全光环":很多企业员工和管理者认为Mac系统"更安全",因此降低了防护意识,甚至不安装终端安全软件。
- 社交工程的长期铺垫:攻击者不急于求成,往往经过多次专业的邮件或消息沟通后才投递恶意文件,此时受害者已完全放松警惕。
企业IT应对措施:从被动防御到主动预防
针对此类社会工程学攻击,传统的防火墙和防病毒软件作用有限。以下是我们结合实际运维经验给出的建议:
1. 软件安装管控
企业应建立统一的软件管理策略,禁止员工自行安装未经IT部门审核的软件。对于视频会议工具的更新,应通过公司统一渠道推送,而非依赖员工个人下载。这一点在macOS环境中尤为重要,因为苹果系统自带的Script Editor是合法程序,不会被杀毒软件拦截。
2. 安全意识培训
定期对员工开展网络安全培训,重点讲解以下几类常见的社会工程学套路:虚假招聘诱饵、伪造软件更新、恶意技术测试文件。培训不应停留在理论层面,建议配合模拟钓鱼演练,让员工在真实场景中提升判断能力。
3. 终端设备防护
不要迷信macOS的"天然安全性"。建议在所有企业Mac设备上部署支持行为分析的终端安全软件(EDR),同时开启macOS内置的系统完整性保护(SIP),并定期检查Launch Daemon中是否存在可疑持久化项目。
4. 最小权限原则
限制普通员工账号的管理员权限,减少攻击者通过凭证窃取后能够操作的范围。对于高价值账号(财务、HR、高管),应强制启用硬件安全密钥(如YubiKey)进行二步验证,防止密码泄露后的账号接管。
5. 出站流量监控
部署出站流量过滤策略,对未知域名的连接请求进行审查和拦截。Sapphire Sleet的C2通信会伪装成Apple或Google的服务流量,因此需要更精细的DNS过滤和异常行为检测,而非简单的黑名单屏蔽。
写在最后
Sapphire Sleet的这次macOS攻击活动是2026年社会工程学威胁升级的一个缩影。从Microsoft Teams伪帮助台到伪造Zoom更新,攻击者越来越善于利用员工对日常工作工具的信任实施渗透。对于企业IT管理者而言,这意味着安全工作的重心不能仅仅放在"堵漏洞"上,更需要系统性地提升人员的安全意识和操作规范。如果您的企业正在推进IT外包或安全加固工作,欢迎通过留言板联系我们,我们将提供针对性的评估和建议。