Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
UNC1549 é um grupo de ciberespionagem ligado ao Irã que visa a cadeia de suprimentos global de aeroespacial, aviação e defesa. O grupo realiza operações de phishing sofisticadas que usam portais de carreira falsos baseados em React para entregar malware customizado em múltiplos estágios. Suas campanhas são centradas no roubo de credenciais, exfiltração de dados e manutenção de persistência a longo prazo dentro de organizações de alto valor.
Investigação
O relatório descreve a evolução operacional do UNC1549 de 2022 até o final de 2025, destacando uma mudança de alvos principalmente regionais no Oriente Médio para um foco mais amplo na cadeia de suprimentos aeroespacial global. Analistas identificaram várias ferramentas customizadas, incluindo MiniJunk, MiniBrowse, SIGHTGRAB e TRUSTRAP. A análise técnica também revelou métodos avançados de evasão, como preenchimento binário e sequestro de ordem de pesquisa de DLL.
Mitigação
As organizações devem implantar filtragem de e-mails robusta para detectar links de spear-phishing e verificar a legitimidade de portais relacionados a carreiras. Melhorar a visibilidade do endpoint para detectar carregamento de DLL, alterações de registro não autorizadas e atividade suspeita do PowerShell é essencial. Monitorar sessões RDP não autorizadas e túneis SSH reversos também pode ajudar a reduzir o risco de movimento lateral e atividade de comando e controle.
Resposta
Se a atividade do UNC1549 for detectada, os respondedores devem imediatamente isolar os endpoints afetados para prevenir mais movimento lateral via RDP. Uma auditoria completa das tarefas agendadas e chaves Run do Registro do Windows deve ser executada para identificar mecanismos de persistência. As equipes também devem revisar os logs do controlador de domínio para evidências de atividade DCSync e monitorar tráfego de HTTPS ou SSH de saída incomum para infraestrutura conhecida de comando e controle.
graph TB %% Definição das classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Fase de Acesso Inicial action_phishing[“<b>Ação</b> – <b>T1566.002 Phishing: Link de Spearphishing</b><br/>E-mails direcionados com portais<br/>React fraudulentos de carreira<br/>imitando Boeing e Airbus.”] class action_phishing action action_download[“<b>Ação</b>: Download de arquivo compactado malicioso<br/>As vítimas baixam arquivos compactados<br/>após fornecerem credenciais.”] class action_download action %% Fase de Execução e Reconhecimento tech_powershell[“<b>Técnica</b> – <b>T1059.001 Interpretador de Comandos e Scripts: PowerShell</b><br/>Usado para reconhecimento de rede<br/>e enumeração de Active Directory.”] class tech_powershell technique tech_cmd[“<b>Técnica</b> – <b>T1059.003 Interpretador de Comandos e Scripts: Windows Command Shell</b><br/>Usado para reconhecimento de rede<br/>e enumeração de Active Directory.”] class tech_cmd technique action_recon[“<b>Ação</b>: Enumeração do Active Directory<br/>Execução de comandos como net user.”] class action_recon action %% Fase de Persistência tech_schtask[“<b>Técnica</b> – <b>T1053.005 Tarefa Agendada</b><br/>Execução do MigAutoPlay.exe<br/>com userenv.dll carregada por sideloading.”] class tech_schtask technique tech_registry[“<b>Técnica</b> – <b>T1547.001 Execução Automática na Inicialização: Chaves Run do Registro / Pasta Startup</b><br/>Gravação em chaves do registro<br/>para se mascarar como OneDrive.”] class tech_registry technique %% Fase de Evasão de Defesa tech_obfuscation[“<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/>Ofuscação em nível de compilador<br/>e Binary Padding (T1027.001).”] class tech_obfuscation technique tech_masquerade[“<b>Técnica</b> – <b>T1036 Mascaramento</b><br/>Uso de nomes de arquivos<br/>semelhantes a serviços legítimos.”] class tech_masquerade technique tech_log_clear[“<b>Técnica</b> – <b>T1070.001 Remoção de Indicadores: Limpeza dos Logs de Eventos do Windows</b><br/>Exclusão do histórico de conexões RDP<br/>no registro do sistema.”] class tech_log_clear technique tech_hijack[“<b>Técnica</b> – <b>T1574.001 Sequestro da Ordem de Pesquisa de DLL</b><br/>Plantação de DLLs maliciosas<br/>próximas a binários legítimos.”] class tech_hijack technique %% Fase de Acesso a Credenciais tool_mimikatz[“<b>Ferramenta</b> – <b>Mimikatz Modificado</b><br/>Usado para T1003.006 DC Sync<br/>para extrair hashes NTLM.”] class tool_mimikatz tool tool_minibrowse[“<b>Ferramenta</b> – <b>MiniBrowse</b><br/>Usado para T1555.003 Credenciais de Navegadores Web<br/>para roubar dados do Chrome e Edge.”] class tool_minibrowse tool tool_trustrap[“<b>Ferramenta</b> – <b>TRUSTRAP</b><br/>Captura credenciais através<br/>de janelas falsas de autenticação.”] class tool_trustrap tool %% Fase de Movimento Lateral tech_rdp[“<b>Técnica</b> – <b>T1021.001 Serviços Remotos: Protocolo de Área de Trabalho Remota</b><br/>Acesso a sistemas através de RDP.”] class tech_rdp technique tech_rdp_hijack[“<b>Técnica</b> – <b>T1563.002 Sequestro de Sessão de Serviço Remoto: RDP Hijacking</b><br/>Acesso a sessões ativas de usuários.”] class tech_rdp_hijack technique %% Fase de Coleta tool_sightgrab[“<b>Ferramenta</b> – <b>SIGHTGRAB</b><br/>Usada para T1113 Captura de Tela<br/>por meio de capturas periódicas.”] class tool_sightgrab tool %% Fase de C2 e Exfiltração tech_tunneling[“<b>Técnica</b> – <b>T1572 Tunelamento de Protocolo</b><br/>Uso de túneis SSH reversos<br/>para evitar telemetria.”] class tech_tunneling technique tech_exfil[“<b>Técnica</b> – <b>T1041 Exfiltração pelo Canal C2</b><br/>Movimentação de credenciais e arquivos roubados<br/>via HTTPS.”] class tech_exfil exfil %% Conexões action_phishing –>|leva_a| action_download action_download –>|aciona| tech_powershell action_download –>|aciona| tech_cmd tech_powershell –>|executa| action_recon tech_cmd –>|executa| action_recon action_recon –>|estabelece| tech_schtask action_recon –>|estabelece| tech_registry tech_schtask –>|utiliza| tech_hijack tech_registry –>|utiliza| tech_masquerade tech_powershell –>|emprega| tech_obfuscation tech_cmd –>|emprega| tech_obfuscation tech_obfuscation –>|inclui| tech_masquerade tech_masquerade –>|oculta_por| tech_log_clear action_recon –>|leva_a| tool_mimikatz action_recon –>|leva_a| tool_minibrowse action_recon –>|leva_a| tool_trustrap tool_mimikatz –>|habilita| tech_rdp tool_minibrowse –>|habilita| tech_rdp tool_trustrap –>|habilita| tech_rdp tech_rdp –>|leva_a| tech_rdp_hijack tech_rdp_hijack –>|leva_a| tool_sightgrab tool_sightgrab –>|requer| tech_tunneling tech_tunneling –>|facilita| tech_exfil
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento_registry)
Visualizar
Possível Enumeração ou Manipulação de Conta ou Grupo (via cmdline)
Visualizar
Execução Suspeita do Perfil de Usuário Público (via criação_de_processo)
Visualizar
Possível Uso de Ferramenta de Tunelamento [Windows] (via cmdline)
Visualizar
Arquivos Suspeitos no Perfil de Usuário Público (via evento_arquivo)
Visualizar
Detecção de RDP e Tunelamento SSH UNC1549 [Conexão com Rede do Windows]
Visualizar
Detecção de Técnicas de Registro e Ofuscação UNC1549 [Evento de Registro do Windows]
Visualizar
Táticas de Ataque UNC1549 – Remoção de Indicadores e Detecção de DCSync [Log de Evento de Segurança do Microsoft Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Pré-Lançamento de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.
-
Narrativa de Ataque & Comandos: Um adversário, imitando o ator UNC1549, visa estabelecer persistência em uma estação de trabalho comprometida. Eles optam por esconder seu payload criando uma entrada de registro em uma chave que parece pertencer a um processo legítimo de atualização do OneDrive (
OneDriveCoUpdate). Para evitar a detecção simples de linha de comando, eles envolvem sua execução em um bloco de script PowerShell que contém a stringFileCoAuth.exe, simulando um comando mal ofuscado que corresponde à assinatura da regra de detecção. -
Script de Teste de Regressão:
# Script de Simulação: Persistência e Ofuscação UNC1549 # Este script imita o caminho específico do registro e os padrões de string do PowerShell definidos na regra. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Tentando criar chave de execução de registro maliciosa..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Executando comando PowerShell ofuscado para acionar a detecção..." # A inclusão de 'FileCoAuth.exe' é necessária para acionar a parte 'seleção_ofuscação' da regra powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executando' $encoded }" -
Comandos de Limpeza:
# Script de Limpeza $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Removendo entrada de registro maliciosa..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa."