UNC1549 TTP: un APT iraniano che prende di mira il settore aerospaziale e della difesa
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
UNC1549 è un gruppo di cyber-spionaggio legato all’Iran che prende di mira la catena di fornitura globale dell’industria aerospaziale, dell’aviazione e della difesa. Il gruppo gestisce sofisticate operazioni di phishing che utilizzano falsi portali di carriera basati su React per distribuire malware personalizzato a più stadi. Le sue campagne sono focalizzate sul furto di credenziali, sull’esfiltrazione di dati e sul mantenimento di una persistenza a lungo termine all’interno di organizzazioni di alto valore.
Investigazione
Il report descrive l’evoluzione operativa di UNC1549 dal 2022 fino a fine 2025, evidenziando un cambiamento dai target principalmente regionali nel Medio Oriente a un focus più ampio sulla catena di fornitura aerospaziale globale. Gli analisti hanno identificato diversi strumenti personalizzati, tra cui MiniJunk, MiniBrowse, SIGHTGRAB e TRUSTRAP. L’analisi tecnica ha anche rivelato metodi avanzati di elusione come il padding binario e il dirottamento dell’ordine di ricerca DLL.
Mitigazione
Le organizzazioni dovrebbero implementare filtri email robusti per rilevare i link di spear-phishing e verificare la legittimità dei portali relativi alle carriere. Migliorare la visibilità degli endpoint per rilevare il caricamento DLL, cambiamenti non autorizzati al registro e attività sospette di PowerShell è essenziale. Il monitoraggio delle sessioni RDP non autorizzate e dei tunnel SSH inversi può anche aiutare a ridurre il rischio di movimenti laterali e attività di comando e controllo.
Risposta
Se viene rilevata un’attività di UNC1549, i responder dovrebbero isolare immediatamente gli endpoint interessati per prevenire ulteriori movimenti laterali tramite RDP. Dovrebbe essere condotto un audit completo delle attività pianificate e delle chiavi Run del Registro di sistema di Windows per identificare i meccanismi di persistenza. I team dovrebbero anche rivedere i log del controller di dominio per evidenze di attività DCSync e monitorare traffico HTTPS o SSH in uscita insolito verso infrastrutture di comando e controllo note.
graph TB %% Definizione delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Fase di accesso iniziale action_phishing[“<b>Azione</b> – <b>T1566.002 Phishing: Link di Spearphishing</b><br/>Email mirate con portali React<br/>fraudolenti per offerte di lavoro<br/>che imitano Boeing e Airbus.”] class action_phishing action action_download[“<b>Azione</b>: Download di archivio dannoso<br/>Le vittime scaricano archivi compressi<br/>dopo aver fornito le credenziali.”] class action_download action %% Fase di esecuzione e ricognizione tech_powershell[“<b>Tecnica</b> – <b>T1059.001 Interprete di comandi e script: PowerShell</b><br/>Utilizzato per la ricognizione di rete<br/>e l’enumerazione di Active Directory.”] class tech_powershell technique tech_cmd[“<b>Tecnica</b> – <b>T1059.003 Interprete di comandi e script: Windows Command Shell</b><br/>Utilizzato per la ricognizione di rete<br/>e l’enumerazione di Active Directory.”] class tech_cmd technique action_recon[“<b>Azione</b>: Enumerazione di Active Directory<br/>Esecuzione di comandi come net user.”] class action_recon action %% Fase di persistenza tech_schtask[“<b>Tecnica</b> – <b>T1053.005 Attività pianificata</b><br/>Esecuzione di MigAutoPlay.exe<br/>con userenv.dll caricata tramite DLL side-loading.”] class tech_schtask technique tech_registry[“<b>Tecnica</b> – <b>T1547.001 Esecuzione automatica all’avvio: Chiavi Run del Registro / Cartella Startup</b><br/>Scrittura nelle chiavi di registro<br/>per mascherarsi come OneDrive.”] class tech_registry technique %% Fase di evasione delle difese tech_obfuscation[“<b>Tecnica</b> – <b>T1027 File o informazioni offuscate</b><br/>Offuscamento a livello del compilatore<br/>e Binary Padding (T1027.001).”] class tech_obfuscation technique tech_masquerade[“<b>Tecnica</b> – <b>T1036 Mascheramento</b><br/>Utilizzo di nomi di file<br/>simili a servizi legittimi.”] class tech_masquerade technique tech_log_clear[“<b>Tecnica</b> – <b>T1070.001 Rimozione degli indicatori: Cancellazione dei log eventi Windows</b><br/>Eliminazione della cronologia delle connessioni RDP<br/>dal registro di sistema.”] class tech_log_clear technique tech_hijack[“<b>Tecnica</b> – <b>T1574.001 Dirottamento del flusso di esecuzione: DLL Search Order Hijacking</b><br/>Posizionamento di DLL dannose<br/>vicino a binari legittimi.”] class tech_hijack technique %% Fase di accesso alle credenziali tool_mimikatz[“<b>Strumento</b> – <b>Mimikatz modificato</b><br/>Utilizzato per T1003.006 DC Sync<br/>per estrarre hash NTLM.”] class tool_mimikatz tool tool_minibrowse[“<b>Strumento</b> – <b>MiniBrowse</b><br/>Utilizzato per T1555.003 Credenziali<br/>da browser web per rubare dati<br/>di Chrome ed Edge.”] class tool_minibrowse tool tool_trustrap[“<b>Strumento</b> – <b>TRUSTRAP</b><br/>Acquisizione delle credenziali tramite<br/>finestre di autenticazione false.”] class tool_trustrap tool %% Fase di movimento laterale tech_rdp[“<b>Tecnica</b> – <b>T1021.001 Servizi remoti: Remote Desktop Protocol</b><br/>Accesso ai sistemi<br/>tramite RDP.”] class tech_rdp technique tech_rdp_hijack[“<b>Tecnica</b> – <b>T1563.002 Dirottamento sessione servizio remoto: RDP Hijacking</b><br/>Accesso alle sessioni attive<br/>degli utenti.”] class tech_rdp_hijack technique %% Fase di raccolta tool_sightgrab[“<b>Strumento</b> – <b>SIGHTGRAB</b><br/>Utilizzato per T1113 Cattura dello schermo<br/>tramite screenshot periodici.”] class tool_sightgrab tool %% Fase C2 ed esfiltrazione tech_tunneling[“<b>Tecnica</b> – <b>T1572 Tunnel di protocollo</b><br/>Utilizzo di tunnel SSH inversi<br/>per evitare la telemetria.”] class tech_tunneling technique tech_exfil[“<b>Tecnica</b> – <b>T1041 Esfiltrazione tramite canale C2</b><br/>Trasferimento di credenziali e file rubati<br/>tramite HTTPS.”] class tech_exfil exfil %% Connessioni action_phishing –>|porta_a| action_download action_download –>|attiva| tech_powershell action_download –>|attiva| tech_cmd tech_powershell –>|esegue| action_recon tech_cmd –>|esegue| action_recon action_recon –>|stabilisce| tech_schtask action_recon –>|stabilisce| tech_registry tech_schtask –>|utilizza| tech_hijack tech_registry –>|utilizza| tech_masquerade tech_powershell –>|impiega| tech_obfuscation tech_cmd –>|impiega| tech_obfuscation tech_obfuscation –>|include| tech_masquerade tech_masquerade –>|nasconde_tramite| tech_log_clear action_recon –>|porta_a| tool_mimikatz action_recon –>|porta_a| tool_minibrowse action_recon –>|porta_a| tool_trustrap tool_mimikatz –>|abilita| tech_rdp tool_minibrowse –>|abilita| tech_rdp tool_trustrap –>|abilita| tech_rdp tech_rdp –>|porta_a| tech_rdp_hijack tech_rdp_hijack –>|porta_a| tool_sightgrab tool_sightgrab –>|richiede| tech_tunneling tech_tunneling –>|facilita| tech_exfil
Flusso di Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (tramite registry_event)
Visualizza
Possibile Enumerazione o Manipolazione di Account o Gruppi (tramite cmdline)
Visualizza
Esecuzione Sospetta dal Profilo Utente Pubblico (tramite process_creation)
Visualizza
Possibile Utilizzo di Strumenti di Tunneling [Windows] (tramite cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite file_event)
Visualizza
Rilevamento di UNC1549 RDP e Tunnel SSH [Connessione alla Rete Windows]
Visualizza
Rilevamenti Tecniche di Registro e Offuscazione UNC1549 [Evento Registro Windows]
Visualizza
Tattiche di Attacco UNC1549 – Rimozione Indicatore e Rilevamento DCSync [Log Evento di Sicurezza Microsoft Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Telemetria e Linee Guida Pre-volo devono avere esito positivo.
Motivazione: Questa sezione dettagli l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e puntano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione di Attacco & Comandi: Un avversario, imitando l’attore UNC1549, mira a stabilire la persistenza su una workstation compromessa. Sceglie di nascondere il proprio payload creando una voce di registro sotto una chiave che sembra appartenere a un legittimo processo di aggiornamento di OneDrive (
OneDriveCoUpdate). Per evadere un rilevamento di semplice riga di comando, avvolge la propria esecuzione in un blocco di script PowerShell che contiene la stringaFileCoAuth.exe, simulando un comando mal offuscato che corrisponde alla firma della regola di rilevamento. -
Script di Test di Regressione:
# Script di Simulazione: Persistenza e Offuscazione UNC1549 # Questo script imita il percorso specifico del registro e i pattern di stringa PowerShell definiti nella regola. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Tentativo di creazione della chiave di esecuzione del registro malevola..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Esecuzione del comando PowerShell offuscato per attivare il rilevamento..." # L'inclusione di 'FileCoAuth.exe' è necessaria per attivare la parte 'selection_obfuscation' della regola powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Esecuzione' $encoded }" -
Comandi di Pulizia:
# Script di Pulizia $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Rimozione della voce di registro malevola..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."