Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
UNC1549 ist eine mit dem Iran verbundene Cyber-Spionagegruppe, die globale Lieferketten der Luft- und Raumfahrt, der Luftfahrt und der Verteidigung angreift. Die Gruppe führt ausgeklügelte Phishing-Operationen durch, die gefälschte, auf React basierende Karriereportale nutzen, um maßgeschneiderte mehrstufige Malware bereitzustellen. Ihre Kampagnen konzentrieren sich auf den Diebstahl von Anmeldedaten, die Datenexfiltration und die Aufrechterhaltung langfristiger Persistenz in wertvollen Organisationen.
Untersuchung
Der Bericht skizziert die operative Entwicklung von UNC1549 von 2022 bis Ende 2025 und hebt den Übergang von primär regionalen Zielen im Nahen Osten zu einem breiteren Fokus auf die globale Lieferkette der Luft- und Raumfahrt hervor. Analysten identifizierten mehrere benutzerdefinierte Tools, darunter MiniJunk, MiniBrowse, SIGHTGRAB und TRUSTRAP. Die technische Analyse enthüllte auch fortschrittliche Umgehungsmethoden wie Binärpadding und DLL-Suchreihenfolge-Hijacking.
Minderung
Organisationen sollten starke E-Mail-Filter einsetzen, um Spearfishing-Links zu erkennen und die Legitimität von karrierebezogenen Portalen zu überprüfen. Die Verbesserung der Endpunktsichtbarkeit zur Erkennung von DLL-Sideloading, unbefugten Registrierungsänderungen und verdächtigen PowerShell-Aktivitäten ist unerlässlich. Die Überwachung unautorisierter RDP-Sitzungen und umgekehrter SSH-Tunnel kann ebenfalls dazu beitragen, das Risiko von lateral Movement und Command-and-Control-Aktivitäten zu verringern.
Antwort
Wenn Aktivitäten von UNC1549 festgestellt werden, sollten Responder sofort betroffene Endpunkte isolieren, um eine weitere laterale Bewegung über RDP zu verhindern. Es sollte eine vollständige Überprüfung geplanter Aufgaben und Windows-Registrierungs-Run-Schlüssel durchgeführt werden, um Persistenzmechanismen zu identifizieren. Teams sollten auch Domänen-Controller-Protokolle auf Anzeichen von DCSync-Aktivitäten überprüfen und überwachen, ob ungewöhnlicher ausgehender HTTPS- oder SSH-Verkehr zur bekannten Command-and-Control-Infrastruktur erfolgt.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Phase des initialen Zugriffs action_phishing[„<b>Aktion</b> – <b>T1566.002 Phishing: Spearphishing-Link</b><br/>Gezielte E-Mails mit betrügerischen<br/>React-Karriereportalen, die<br/>Boeing und Airbus nachahmen.“] class action_phishing action action_download[„<b>Aktion</b>: Download eines schädlichen Archivs<br/>Opfer laden Archive herunter,<br/>nachdem sie Zugangsdaten eingegeben haben.“] class action_download action %% Ausführungs- und Aufklärungsphase tech_powershell[„<b>Technik</b> – <b>T1059.001 Befehls- und Skriptinterpreter: PowerShell</b><br/>Wird für Netzwerkaufklärung<br/>und Active-Directory-Aufzählung verwendet.“] class tech_powershell technique tech_cmd[„<b>Technik</b> – <b>T1059.003 Befehls- und Skriptinterpreter: Windows Command Shell</b><br/>Wird für Netzwerkaufklärung<br/>und Active-Directory-Aufzählung verwendet.“] class tech_cmd technique action_recon[„<b>Aktion</b>: Active-Directory-Aufzählung<br/>Ausführung von Befehlen wie net user.“] class action_recon action %% Persistenzphase tech_schtask[„<b>Technik</b> – <b>T1053.005 Geplante Aufgabe/Job: Geplante Aufgabe</b><br/>Ausführung von MigAutoPlay.exe<br/>mit per DLL-Side-Loading geladener userenv.dll.“] class tech_schtask technique tech_registry[„<b>Technik</b> – <b>T1547.001 Boot- oder Anmelde-Autostart: Registry Run Keys / Startup-Ordner</b><br/>Schreiben in Registrierungsschlüssel,<br/>um OneDrive zu imitieren.“] class tech_registry technique %% Phase der Umgehung von Sicherheitsmechanismen tech_obfuscation[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>Compilerbasierte Verschleierung<br/>und Binary Padding (T1027.001).“] class tech_obfuscation technique tech_masquerade[„<b>Technik</b> – <b>T1036 Tarnung</b><br/>Verwendung von Dateinamen,<br/>die legitime Dienste nachahmen.“] class tech_masquerade technique tech_log_clear[„<b>Technik</b> – <b>T1070.001 Entfernung von Indikatoren: Windows-Ereignisprotokolle löschen</b><br/>Löschen der RDP-Verbindungshistorie<br/>aus der Registrierung.“] class tech_log_clear technique tech_hijack[„<b>Technik</b> – <b>T1574.001 Ausführungsfluss-Hijacking: DLL-Suchreihenfolge-Hijacking</b><br/>Platzieren schädlicher DLLs<br/>neben legitimen Binärdateien.“] class tech_hijack technique %% Phase des Zugriffs auf Anmeldedaten tool_mimikatz[„<b>Werkzeug</b> – <b>Modifiziertes Mimikatz</b><br/>Verwendet für T1003.006 DC Sync<br/>zum Extrahieren von NTLM-Hashes.“] class tool_mimikatz tool tool_minibrowse[„<b>Werkzeug</b> – <b>MiniBrowse</b><br/>Verwendet für T1555.003 Zugangsdaten<br/>aus Webbrowsern zum Diebstahl von<br/>Chrome- und Edge-Daten.“] class tool_minibrowse tool tool_trustrap[„<b>Werkzeug</b> – <b>TRUSTRAP</b><br/>Erfassung von Zugangsdaten durch<br/>gefälschte Authentifizierungsfenster.“] class tool_trustrap tool %% Phase der lateralen Bewegung tech_rdp[„<b>Technik</b> – <b>T1021.001 Remote-Dienste: Remote Desktop Protocol</b><br/>Zugriff auf Systeme<br/>über RDP.“] class tech_rdp technique tech_rdp_hijack[„<b>Technik</b> – <b>T1563.002 Hijacking von Remote-Service-Sitzungen: RDP Hijacking</b><br/>Zugriff auf aktive Benutzersitzungen.“] class tech_rdp_hijack technique %% Sammelphase tool_sightgrab[„<b>Werkzeug</b> – <b>SIGHTGRAB</b><br/>Verwendet für T1113 Bildschirmaufnahme<br/>durch regelmäßige Screenshots.“] class tool_sightgrab tool %% C2- und Exfiltrationsphase tech_tunneling[„<b>Technik</b> – <b>T1572 Protokoll-Tunneling</b><br/>Verwendung von Reverse-SSH-Tunneln<br/>zur Umgehung der Telemetrie.“] class tech_tunneling technique tech_exfil[„<b>Technik</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/>Übertragung gestohlener Zugangsdaten<br/>und Dateien über HTTPS.“] class tech_exfil exfil %% Verbindungen action_phishing –>|führt_zu| action_download action_download –>|aktiviert| tech_powershell action_download –>|aktiviert| tech_cmd tech_powershell –>|führt_aus| action_recon tech_cmd –>|führt_aus| action_recon action_recon –>|etabliert| tech_schtask action_recon –>|etabliert| tech_registry tech_schtask –>|verwendet| tech_hijack tech_registry –>|verwendet| tech_masquerade tech_powershell –>|setzt_ein| tech_obfuscation tech_cmd –>|setzt_ein| tech_obfuscation tech_obfuscation –>|enthält| tech_masquerade tech_masquerade –>|verbirgt_durch| tech_log_clear action_recon –>|führt_zu| tool_mimikatz action_recon –>|führt_zu| tool_minibrowse action_recon –>|führt_zu| tool_trustrap tool_mimikatz –>|ermöglicht| tech_rdp tool_minibrowse –>|ermöglicht| tech_rdp tool_trustrap –>|ermöglicht| tech_rdp tech_rdp –>|führt_zu| tech_rdp_hijack tech_rdp_hijack –>|führt_zu| tool_sightgrab tool_sightgrab –>|benötigt| tech_tunneling tech_tunneling –>|ermöglicht| tech_exfil
Angriffsablauf
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER-Hive] (via registry_event)
Ansehen
Mögliche Konto- oder Gruppenumfrage / -manipulation (via cmdline)
Ansehen
Verdächtige Ausführung aus öffentlichen Benutzerprofilen (via process_creation)
Ansehen
Mögliche Nutzung von Tunneling-Tools [Windows] (via cmdline)
Ansehen
Verdächtige Dateien in öffentlichen Benutzerprofilen (via file_event)
Ansehen
Erkennung von RDP- und SSH-Tunneln der UNC1549 [Windows-Netzwerkverbindung]
Ansehen
Erkennung von UNC1549-Registrierungs- und Verschleierungstechniken [Windows-Registrierungsereignis]
Ansehen
Angriffstaktiken von UNC1549 – Indikatorenentfernung und DCSync-Erkennung [Microsoft Windows Sicherheitsereignisprotokoll]
Ansehen
Simulation Execution
Voraussetzung: Die Telemetrie- & Basislinien-Vorabprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau von der Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder irrelevante Beispiele führen zur Fehlinterpretation.
-
Angriffsnarrativ & Befehle: Ein Angreifer, der sich als UNC1549-Akteur ausgibt, beabsichtigt, Persistenz auf einem kompromittierten Arbeitsplatz zu etablieren. Sie entscheiden sich, ihre Nutzlast zu verbergen, indem sie einen Registrierungs-Eintrag unter einem Schlüssel erstellen, der zu einem legitimen OneDrive-Update-Prozess (
OneDriveCoUpdate) zu gehören scheint. Um einfache Kommandozeilen-Erkennung zu umgehen, packen sie ihre Ausführung in einen PowerShell-Skriptblock, der den String enthältFileCoAuth.exe, was einem schlecht verschleierten Befehl simuliert, der das Erkennungssignatur der Regel trifft. -
Regression Testskript:
# Simulationsskript: UNC1549 Persistenz und Verschleierung # Dieses Skript imitiert den spezifischen Registrierungs-Pfad und die PowerShell-String-Muster, die in der Regel definiert sind. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Versuch, einen bösartigen Registrierungs-Run-Schlüssel zu erstellen..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Ausführen des verschleierten PowerShell-Befehls, um die Erkennung auszulösen..." # Das Einfügen von 'FileCoAuth.exe' ist erforderlich, um den 'selection_obfuscation'-Teil der Regel auszulösen powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Ausführen' $encoded }" -
Bereinigungskommandos:
# Bereinigungsskript $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Entfernen des bösartigen Registrierungseintrags..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen."