SOC Prime Bias: Kritisch

17 Jun 2026 12:50 UTC

UNC1549 TTPs: Iranische APT zielt auf Luft- und Raumfahrt und Verteidigung

Author Photo
SOC Prime Team linkedin icon Folgen
UNC1549 TTPs: Iranische APT zielt auf Luft- und Raumfahrt und Verteidigung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

UNC1549 ist eine mit dem Iran verbundene Cyber-Spionagegruppe, die globale Lieferketten der Luft- und Raumfahrt, der Luftfahrt und der Verteidigung angreift. Die Gruppe führt ausgeklügelte Phishing-Operationen durch, die gefälschte, auf React basierende Karriereportale nutzen, um maßgeschneiderte mehrstufige Malware bereitzustellen. Ihre Kampagnen konzentrieren sich auf den Diebstahl von Anmeldedaten, die Datenexfiltration und die Aufrechterhaltung langfristiger Persistenz in wertvollen Organisationen.

Untersuchung

Der Bericht skizziert die operative Entwicklung von UNC1549 von 2022 bis Ende 2025 und hebt den Übergang von primär regionalen Zielen im Nahen Osten zu einem breiteren Fokus auf die globale Lieferkette der Luft- und Raumfahrt hervor. Analysten identifizierten mehrere benutzerdefinierte Tools, darunter MiniJunk, MiniBrowse, SIGHTGRAB und TRUSTRAP. Die technische Analyse enthüllte auch fortschrittliche Umgehungsmethoden wie Binärpadding und DLL-Suchreihenfolge-Hijacking.

Minderung

Organisationen sollten starke E-Mail-Filter einsetzen, um Spearfishing-Links zu erkennen und die Legitimität von karrierebezogenen Portalen zu überprüfen. Die Verbesserung der Endpunktsichtbarkeit zur Erkennung von DLL-Sideloading, unbefugten Registrierungsänderungen und verdächtigen PowerShell-Aktivitäten ist unerlässlich. Die Überwachung unautorisierter RDP-Sitzungen und umgekehrter SSH-Tunnel kann ebenfalls dazu beitragen, das Risiko von lateral Movement und Command-and-Control-Aktivitäten zu verringern.

Antwort

Wenn Aktivitäten von UNC1549 festgestellt werden, sollten Responder sofort betroffene Endpunkte isolieren, um eine weitere laterale Bewegung über RDP zu verhindern. Es sollte eine vollständige Überprüfung geplanter Aufgaben und Windows-Registrierungs-Run-Schlüssel durchgeführt werden, um Persistenzmechanismen zu identifizieren. Teams sollten auch Domänen-Controller-Protokolle auf Anzeichen von DCSync-Aktivitäten überprüfen und überwachen, ob ungewöhnlicher ausgehender HTTPS- oder SSH-Verkehr zur bekannten Command-and-Control-Infrastruktur erfolgt.

Angriffsablauf

Simulation Execution

Voraussetzung: Die Telemetrie- & Basislinien-Vorabprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau von der Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder irrelevante Beispiele führen zur Fehlinterpretation.

  • Angriffsnarrativ & Befehle: Ein Angreifer, der sich als UNC1549-Akteur ausgibt, beabsichtigt, Persistenz auf einem kompromittierten Arbeitsplatz zu etablieren. Sie entscheiden sich, ihre Nutzlast zu verbergen, indem sie einen Registrierungs-Eintrag unter einem Schlüssel erstellen, der zu einem legitimen OneDrive-Update-Prozess (OneDriveCoUpdate) zu gehören scheint. Um einfache Kommandozeilen-Erkennung zu umgehen, packen sie ihre Ausführung in einen PowerShell-Skriptblock, der den String enthält FileCoAuth.exe, was einem schlecht verschleierten Befehl simuliert, der das Erkennungssignatur der Regel trifft.

  • Regression Testskript:

    # Simulationsskript: UNC1549 Persistenz und Verschleierung
    # Dieses Skript imitiert den spezifischen Registrierungs-Pfad und die PowerShell-String-Muster, die in der Regel definiert sind.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] Versuch, einen bösartigen Registrierungs-Run-Schlüssel zu erstellen..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] Ausführen des verschleierten PowerShell-Befehls, um die Erkennung auszulösen..."
    # Das Einfügen von 'FileCoAuth.exe' ist erforderlich, um den 'selection_obfuscation'-Teil der Regel auszulösen
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Ausführen' $encoded }"
  • Bereinigungskommandos:

    # Bereinigungsskript
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] Entfernen des bösartigen Registrierungseintrags..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] Bereinigung abgeschlossen."