SOC Prime Bias: Critique

17 Jun 2026 12:50 UTC

TTPs UNC1549 : Un APT iranien ciblant l’aéronautique et la défense

Author Photo
SOC Prime Team linkedin icon Suivre
TTPs UNC1549 : Un APT iranien ciblant l’aéronautique et la défense
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

UNC1549 est un groupe de cyberespionnage lié à l’Iran ciblant la chaîne d’approvisionnement mondiale de l’aérospatiale, de l’aviation et de la défense. Le groupe mène des opérations de phishing sophistiquées utilisant de faux portails de carrière basés sur React pour déployer des malwares sur mesure en plusieurs étapes. Ses campagnes se concentrent sur le vol d’identifiants, l’exfiltration de données et le maintien d’une persistance à long terme au sein d’organisations de grande valeur.

Enquête

Le rapport décrit l’évolution opérationnelle d’UNC1549 de 2022 à la fin de 2025, mettant en évidence un passage de cibles principalement régionales au Moyen-Orient à un intérêt plus large pour la chaîne d’approvisionnement mondiale de l’aérospatiale. Les analystes ont identifié plusieurs outils personnalisés, notamment MiniJunk, MiniBrowse, SIGHTGRAB et TRUSTRAP. L’analyse technique a également révélé des méthodes d’évasion avancées telles que le remplissage binaire et le détournement de l’ordre de recherche des DLL.

Atténuation

Les organisations doivent déployer un filtrage d’email puissant pour détecter les liens de spear-phishing et vérifier la légitimité des portails liés aux carrières. Améliorer la visibilité sur les terminaux pour détecter le chargement par DLL, les modifications non autorisées du registre et les activités PowerShell suspectes est essentiel. Surveiller les sessions RDP non autorisées et les tunnels SSH inversés peut également aider à réduire le risque de mouvement latéral et d’activité de commandement et de contrôle.

Réponse

Si une activité d’UNC1549 est détectée, les intervenants doivent immédiatement isoler les points de terminaison affectés pour éviter tout mouvement latéral supplémentaire via RDP. Un audit complet des tâches programmées et des clés Run du Registre Windows doit être effectué pour identifier les mécanismes de persistance. Les équipes doivent également examiner les journaux des contrôleurs de domaine pour détecter des signes d’activité DCSync et surveiller le trafic HTTPS ou SSH sortant inhabituel vers une infrastructure de commandement et de contrôle connue.

Flux d’attaque

Exécution de simulation

Prérequis : L’examen préalable de télémétrie et de référence doit être réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents entraîneront de fausses interprétations.

  • Narratif d’attaque et commandes : Un adversaire, imitant l’acteur UNC1549, cherche à établir une persistance sur une station de travail compromise. Il choisit de cacher sa charge utile en créant une entrée de registre sous une clé qui semble appartenir à un processus de mise à jour légitime de OneDrive (OneDriveCoUpdate). Pour échapper à une détection simple de ligne de commande, il enveloppe son exécution dans un bloc de script PowerShell contenant la chaîne FileCoAuth.exe, simulant une commande mal obfusquée correspondant à la signature de la règle de détection.

  • Script de test de régression :

    # Script de simulation : Persistance et obfuscation d'UNC1549
    # Ce script imite le chemin du registre spécifique et les modèles de chaîne PowerShell définis dans la règle.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] Tentative de création de clé de registre d'exécution malveillante..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] Exécution de commande PowerShell obfusquée pour déclencher la détection..."
    # L'inclusion de 'FileCoAuth.exe' est requise pour déclencher la partie 'selection_obfuscation' de la règle
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }"
  • Commandes de nettoyage :

    # Script de nettoyage
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] Suppression de l'entrée de registre malveillante..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé."