Тактики UNC1549: Іранська APT, що націлюється на аерокосмічну та оборонну промисловість
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
UNC1549 — це група іранського кібершпіонажу, що спрямована на глобальний ланцюг поставок в аерокосмічній, авіаційній та оборонній галузях. Група проводить складні фішингові операції, використовуючи підроблені кар’єрні портали на основі React, щоб доставити багатозахідне спеціалізоване шкідливе ПЗ. Кампанії зосереджені на крадіжці облікових даних, ексфільтрації даних та збереженні тривалої присутності в організаціях із високою цінністю.
Розслідування
Звіт описує еволюцію роботи UNC1549 з 2022 до кінця 2025 року, підкреслюючи зміну від переважно регіональних цілей на Близькому Сході до ширшого фокусу на глобальному ланцюгу поставок в аерокосмічній галузі. Аналітики ідентифікували кілька спеціалізованих інструментів, зокрема MiniJunk, MiniBrowse, SIGHTGRAB та TRUSTRAP. Технічний аналіз також виявив передові методи ухилення, такі як заповнення бінарного коду та захоплення порядку пошуку DLL.
Захист
Організації повинні впровадити потужне фільтрування електронної пошти для виявлення лінків спрямованого фішингу та перевірки легітимності кар’єрних порталів. Покращення видимості кінцевих точок для виявлення побічного завантаження DLL, несанкціонованих змін у реєстрі та підозрілої активності PowerShell є важливим. Моніторинг несанкціонованих сеансів RDP та зворотних SSH тунелів також може допомогти зменшити ризик бокового руху та командно-контрольної діяльності.
Відповідь
Якщо активність UNC1549 виявлена, відповідачі повинні негайно ізолювати уражені кінцеві точки, щоб запобігти подальшому боковому руху через RDP. Повний аудит запланованих задач та ключів запуску Windows Registry слід провести для ідентифікації механізмів стійкості. Команди також повинні перевірити журнали контролерів доменів на наявність активності DCSync та відстежувати незвичний вихідний HTTPS або SSH трафік до відомої командно-контрольної інфраструктури.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Фаза початкового доступу action_phishing[“<b>Дія</b> – <b>T1566.002 Фішинг: Посилання цільового фішингу</b><br/>Цільові електронні листи з шахрайськими<br/>React-порталами вакансій,<br/>що імітують Boeing та Airbus.”] class action_phishing action action_download[“<b>Дія</b>: Завантаження шкідливого архіву<br/>Користувачі завантажують архіви<br/>після введення облікових даних.”] class action_download action %% Фаза виконання та розвідки tech_powershell[“<b>Техніка</b> – <b>T1059.001 Інтерпретатор команд і скриптів: PowerShell</b><br/>Використовується для мережевої розвідки<br/>та переліку Active Directory.”] class tech_powershell technique tech_cmd[“<b>Техніка</b> – <b>T1059.003 Інтерпретатор команд і скриптів: Windows Command Shell</b><br/>Використовується для мережевої розвідки<br/>та переліку Active Directory.”] class tech_cmd technique action_recon[“<b>Дія</b>: Перелік Active Directory<br/>Виконання команд, таких як net user.”] class action_recon action %% Фаза закріплення tech_schtask[“<b>Техніка</b> – <b>T1053.005 Заплановане завдання/робота: Scheduled Task</b><br/>Виконання MigAutoPlay.exe<br/>із userenv.dll, завантаженою через DLL side-loading.”] class tech_schtask technique tech_registry[“<b>Техніка</b> – <b>T1547.001 Автозапуск під час завантаження або входу: Ключі Run реєстру / Startup Folder</b><br/>Запис у ключі реєстру<br/>для маскування під OneDrive.”] class tech_registry technique %% Фаза обходу захисту tech_obfuscation[“<b>Техніка</b> – <b>T1027 Обфусковані файли або інформація</b><br/>Обфускація на рівні компілятора<br/>та Binary Padding (T1027.001).”] class tech_obfuscation technique tech_masquerade[“<b>Техніка</b> – <b>T1036 Маскування</b><br/>Використання назв файлів,<br/>схожих на легітимні служби.”] class tech_masquerade technique tech_log_clear[“<b>Техніка</b> – <b>T1070.001 Видалення індикаторів: Очищення журналів подій Windows</b><br/>Видалення історії RDP-підключень<br/>із системного реєстру.”] class tech_log_clear technique tech_hijack[“<b>Техніка</b> – <b>T1574.001 Перехоплення потоку виконання: DLL Search Order Hijacking</b><br/>Розміщення шкідливих DLL<br/>поруч із легітимними бінарними файлами.”] class tech_hijack technique %% Фаза доступу до облікових даних tool_mimikatz[“<b>Інструмент</b> – <b>Модифікований Mimikatz</b><br/>Використовується для T1003.006 DC Sync<br/>для отримання NTLM-хешів.”] class tool_mimikatz tool tool_minibrowse[“<b>Інструмент</b> – <b>MiniBrowse</b><br/>Використовується для T1555.003 Облікові дані<br/>з веббраузерів для викрадення даних<br/>Chrome та Edge.”] class tool_minibrowse tool tool_trustrap[“<b>Інструмент</b> – <b>TRUSTRAP</b><br/>Збір облікових даних через<br/>фальшиві вікна автентифікації.”] class tool_trustrap tool %% Фаза бічного переміщення tech_rdp[“<b>Техніка</b> – <b>T1021.001 Віддалені служби: Remote Desktop Protocol</b><br/>Доступ до систем<br/>через RDP.”] class tech_rdp technique tech_rdp_hijack[“<b>Техніка</b> – <b>T1563.002 Перехоплення сесії віддаленої служби: RDP Hijacking</b><br/>Доступ до активних<br/>користувацьких сесій.”] class tech_rdp_hijack technique %% Фаза збору tool_sightgrab[“<b>Інструмент</b> – <b>SIGHTGRAB</b><br/>Використовується для T1113 Знімок екрана<br/>через періодичне створення скриншотів.”] class tool_sightgrab tool %% Фаза C2 та ексфільтрації tech_tunneling[“<b>Техніка</b> – <b>T1572 Тунелювання протоколу</b><br/>Використання зворотних SSH-тунелів<br/>для обходу телеметрії.”] class tech_tunneling technique tech_exfil[“<b>Техніка</b> – <b>T1041 Ексфільтрація через канал C2</b><br/>Передача викрадених облікових даних<br/>і файлів через HTTPS.”] class tech_exfil exfil %% З’єднання action_phishing –>|призводить_до| action_download action_download –>|активує| tech_powershell action_download –>|активує| tech_cmd tech_powershell –>|виконує| action_recon tech_cmd –>|виконує| action_recon action_recon –>|встановлює| tech_schtask action_recon –>|встановлює| tech_registry tech_schtask –>|використовує| tech_hijack tech_registry –>|використовує| tech_masquerade tech_powershell –>|застосовує| tech_obfuscation tech_cmd –>|застосовує| tech_obfuscation tech_obfuscation –>|включає| tech_masquerade tech_masquerade –>|приховує_через| tech_log_clear action_recon –>|призводить_до| tool_mimikatz action_recon –>|призводить_до| tool_minibrowse action_recon –>|призводить_до| tool_trustrap tool_mimikatz –>|дозволяє| tech_rdp tool_minibrowse –>|дозволяє| tech_rdp tool_trustrap –>|дозволяє| tech_rdp tech_rdp –>|призводить_до| tech_rdp_hijack tech_rdp_hijack –>|призводить_до| tool_sightgrab tool_sightgrab –>|потребує| tech_tunneling tech_tunneling –>|полегшує| tech_exfil
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Hive програмного забезпечення/NTUSER] (через registry_event)
Перегляд
Можливий перелік або маніпуляція з обліковими записами чи групами (через cmdline)
Перегляд
Підозріле виконання з загальнодоступного профілю користувача (через process_creation)
Перегляд
Можливе використання інструменту тунелізації [Windows] (через cmdline)
Перегляд
Підозрілі файли у загальнодоступному профілі користувача (через file_event)
Перегляд
Виявлення тунелів UNC1549 RDP та SSH [Підключення до мережі Windows]
Перегляд
Виявлення методів реєстру та затьмарення UNC1549 [Подія реєстру Windows]
Перегляд
Тактики атаки UNC1549 – Видалення індикаторів та виявлення DCSync [Журнал безпеки Microsoft Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна пройти перевірку перед польотом.
Обґрунтування: Цей розділ описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати визначені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення. Абстрактні чи нерелевантні приклади призводять до неправильного діагностування.
-
Наратив атаки та команди: Супротивник, який імітує актора UNC1549, прагне встановити стійкість на зламаній робочій станції. Вони вибирають приховати свій вантаж, створивши запис у реєстрі під ключем, який здається, що належить до легітимного процесу оновлення OneDrive (
OneDriveCoUpdate). Щоб уникнути простого виявлення командного рядка, вони обертають свою реалізацію у блок скриптів PowerShell, що містить рядокFileCoAuth.exe, імітуючи погано захаращену команду, що відповідає сигнатурі правила виявлення. -
Сценарій регресійного тестування:
# Скрипт симуляції: Стійкість та затьмарення UNC1549 # Цей скрипт імітує специфічний шлях реєстру та візерунки рядків PowerShell, визначені у правилі. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Спроба створити зловмисний ключ автозапуску реєстру..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Виконання затьмареної команди PowerShell для активації виявлення..." # Включення "FileCoAuth.exe" є обов'язковим для активації "selection_obfuscation" частини правила powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Виконання' $encoded }" -
Команди очистки:
# Скрипт очистки $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Видалення зловмисного запису у реєстрі..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Очистка завершена."