フォローする 
概要
UNC1549は、世界の航空宇宙、航空、国防供給チェーンを標的とするイランが関与しているサイバースパイグループです。このグループは、偽のReactベースのキャリアポータルを使用して多段階のカスタムマルウェアを配信する高度なフィッシング作戦を展開しています。そのキャンペーンは、認証情報の盗難、データの流出、そして高価値の組織内部での長期的な持続を中心に展開しています。
調査
このレポートは、2022年から2025年後半までのUNC1549の運用の進化を概説し、中東の主に地域的な標的から世界の航空宇宙供給チェーンへのより広範な焦点へのシフトを強調しています。アナリストは、MiniJunk、MiniBrowse、SIGHTGRAB、TRUSTRAPを含むいくつかのカスタムツールを特定しました。技術的分析では、バイナリパディングやDLL検索順序ハイジャックなどの高度な回避手法も明らかになりました。
軽減策
組織はスピアフィッシングリンクを検出するために強力なメールフィルタリングを展開し、キャリア関連ポータルの正当性を確認するべきです。DLLサイドローディング、無許可のレジストリ変更、疑わしいPowerShellアクティビティを検出するためにエンドポイントの可視性を向上させることが重要です。無許可のRDPセッションやリバースSSHトンネルを監視することも、横移動やコマンドアンドコントロールアクティビティのリスクを減少させるのに役立ちます。
対応策
UNC1549活動が検出された場合、対応者はRDPを介したさらなる横移動を防ぐため、直ちに影響を受けたエンドポイントを隔離する必要があります。持続性メカニズムを特定するためにスケジュールされたタスクとWindows Registry Runキーの完全な監査を実施すべきです。また、DCSync活動の証拠を調査し、既知のコマンドアンドコントロールインフラへの異常な外部発信HTTPSまたはSSHトラフィックを監視すべきです。
graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% 初期アクセス段階 action_phishing[“<b>アクション</b> – <b>T1566.002 フィッシング: スピアフィッシングリンク</b><br/>Boeing および Airbus を装った<br/>不正な React 求人ポータルを使用した<br/>標的型メール。”] class action_phishing action action_download[“<b>アクション</b>: 悪意のあるアーカイブのダウンロード<br/>被害者は認証情報を入力した後、<br/>圧縮ファイルをダウンロードする。”] class action_download action %% 実行および偵察段階 tech_powershell[“<b>テクニック</b> – <b>T1059.001 コマンドとスクリプトインタープリター: PowerShell</b><br/>ネットワーク偵察および<br/>Active Directory 列挙に使用される。”] class tech_powershell technique tech_cmd[“<b>テクニック</b> – <b>T1059.003 コマンドとスクリプトインタープリター: Windows Command Shell</b><br/>ネットワーク偵察および<br/>Active Directory 列挙に使用される。”] class tech_cmd technique action_recon[“<b>アクション</b>: Active Directory 列挙<br/>net user などのコマンドを実行。”] class action_recon action %% 永続化段階 tech_schtask[“<b>テクニック</b> – <b>T1053.005 スケジュールされたタスク/ジョブ</b><br/>userenv.dll を DLL サイドローディング<br/>して MigAutoPlay.exe を実行。”] class tech_schtask technique tech_registry[“<b>テクニック</b> – <b>T1547.001 ブートまたはログオン自動開始実行: レジストリ Run キー / Startup フォルダー</b><br/>OneDrive を偽装するため<br/>レジストリキーへ書き込みを行う。”] class tech_registry technique %% 防御回避段階 tech_obfuscation[“<b>テクニック</b> – <b>T1027 難読化されたファイルまたは情報</b><br/>コンパイラレベルの難読化および<br/>Binary Padding (T1027.001)。”] class tech_obfuscation technique tech_masquerade[“<b>テクニック</b> – <b>T1036 偽装</b><br/>正規サービスに似た<br/>ファイル名を使用する。”] class tech_masquerade technique tech_log_clear[“<b>テクニック</b> – <b>T1070.001 インジケーター除去: Windows イベントログの消去</b><br/>レジストリから RDP 接続履歴を削除。”] class tech_log_clear technique tech_hijack[“<b>テクニック</b> – <b>T1574.001 実行フローのハイジャック: DLL 検索順序ハイジャック</b><br/>正規バイナリの近くへ<br/>悪意のある DLL を配置する。”] class tech_hijack technique %% 認証情報アクセス段階 tool_mimikatz[“<b>ツール</b> – <b>改変版 Mimikatz</b><br/>T1003.006 DC Sync を使用して<br/>NTLM ハッシュを抽出。”] class tool_mimikatz tool tool_minibrowse[“<b>ツール</b> – <b>MiniBrowse</b><br/>T1555.003 Web ブラウザー認証情報を使用し、<br/>Chrome および Edge のデータを窃取。”] class tool_minibrowse tool tool_trustrap[“<b>ツール</b> – <b>TRUSTRAP</b><br/>偽の認証ウィンドウを使用して<br/>認証情報を取得する。”] class tool_trustrap tool %% ラテラルムーブメント段階 tech_rdp[“<b>テクニック</b> – <b>T1021.001 リモートサービス: Remote Desktop Protocol</b><br/>RDP を使用して<br/>システムへアクセスする。”] class tech_rdp technique tech_rdp_hijack[“<b>テクニック</b> – <b>T1563.002 リモートサービスセッションハイジャック: RDP Hijacking</b><br/>アクティブなユーザーセッションへアクセス。”] class tech_rdp_hijack technique %% 収集段階 tool_sightgrab[“<b>ツール</b> – <b>SIGHTGRAB</b><br/>T1113 画面キャプチャを使用し、<br/>定期的なスクリーンショットを取得。”] class tool_sightgrab tool %% C2 および流出段階 tech_tunneling[“<b>テクニック</b> – <b>T1572 プロトコルトンネリング</b><br/>テレメトリ回避のため<br/>リバース SSH トンネルを使用。”] class tech_tunneling technique tech_exfil[“<b>テクニック</b> – <b>T1041 C2 チャネル経由の流出</b><br/>盗まれた認証情報およびファイルを<br/>HTTPS 経由で転送。”] class tech_exfil exfil %% 接続 action_phishing –>|につながる| action_download action_download –>|起動する| tech_powershell action_download –>|起動する| tech_cmd tech_powershell –>|実行する| action_recon tech_cmd –>|実行する| action_recon action_recon –>|確立する| tech_schtask action_recon –>|確立する| tech_registry tech_schtask –>|利用する| tech_hijack tech_registry –>|利用する| tech_masquerade tech_powershell –>|使用する| tech_obfuscation tech_cmd –>|使用する| tech_obfuscation tech_obfuscation –>|含む| tech_masquerade tech_masquerade –>|隠蔽する| tech_log_clear action_recon –>|導く| tool_mimikatz action_recon –>|導く| tool_minibrowse action_recon –>|導く| tool_trustrap tool_mimikatz –>|有効化する| tech_rdp tool_minibrowse –>|有効化する| tech_rdp tool_trustrap –>|有効化する| tech_rdp tech_rdp –>|つながる| tech_rdp_hijack tech_rdp_hijack –>|つながる| tool_sightgrab tool_sightgrab –>|必要とする| tech_tunneling tech_tunneling –>|促進する| tech_exfil
攻撃フロー
検出
持続性の可能性のあるポイント [ASEPs – Software/NTUSER Hive] (via registry_event)
表示
アカウントまたはグループの列挙/操作の可能性 (via cmdline)
表示
公共ユーザープロファイルからの不審な実行 (via process_creation)
表示
トンネリングツール使用の可能性 [Windows] (via cmdline)
表示
公共ユーザープロファイル内の不審なファイル (via file_event)
表示
UNC1549 RDPおよびSSHトンネルの検出 [Windowsネットワーク接続]
表示
UNC1549レジストリと難読化テクニックの検出 [Windows Registry Event]
表示
UNC1549攻撃戦術 – インジケータ除去とDCSyncの検出 [マイクロソフトWindowsセキュリティイベントログ]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの事前チェックが合格している必要があります。
理論:このセクションは、検出ルールをトリガーするために設計された敵対者技法(TTP)の正確な実行を詳細に示します。コマンドと物語はTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関連の例は誤診につながります。
-
攻撃物語とコマンド: UNC1549アクターを模倣する敵対者は、侵害されたワークステーションでの持続性を確立しようとしています。彼らは正規のOneDriveアップデートプロセスに属しているように見えるキーの下にレジストリエントリを作成することでペイロードを隠すことを選びます (
OneDriveCoUpdate)。簡単なコマンドライン検出を回避するために、一見乱立したコマンドを含むPowerShellスクリプトブロックでその実行を包み込み、検出ルールの署名に一致します。FileCoAuth.exeに関連する適切な抽象化されたコマンド。 -
リグレッションテストスクリプト:
# シミュレーションスクリプト: UNC1549持続性および難読化 # このスクリプトは、ルールで定義された特定のレジストリパスとPowerShell文字列パターンを模倣します。 $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] 悪意のあるレジストリランキー作成を試みています..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] 検出をトリガーするために難読化されたPowerShellコマンドを実行しています..." # 'FileCoAuth.exe' の含有は、ルールの 'selection_obfuscation' 部分をトリガーするために必要です powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }" -
クリーンアップコマンド:
# クリーンアップスクリプト $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] 悪意のあるレジストリエントリを削除しています..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。"