TTPs UNC1549 : Un APT iranien ciblant l’aéronautique et la défense
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
UNC1549 est un groupe de cyberespionnage lié à l’Iran ciblant la chaîne d’approvisionnement mondiale de l’aérospatiale, de l’aviation et de la défense. Le groupe mène des opérations de phishing sophistiquées utilisant de faux portails de carrière basés sur React pour déployer des malwares sur mesure en plusieurs étapes. Ses campagnes se concentrent sur le vol d’identifiants, l’exfiltration de données et le maintien d’une persistance à long terme au sein d’organisations de grande valeur.
Enquête
Le rapport décrit l’évolution opérationnelle d’UNC1549 de 2022 à la fin de 2025, mettant en évidence un passage de cibles principalement régionales au Moyen-Orient à un intérêt plus large pour la chaîne d’approvisionnement mondiale de l’aérospatiale. Les analystes ont identifié plusieurs outils personnalisés, notamment MiniJunk, MiniBrowse, SIGHTGRAB et TRUSTRAP. L’analyse technique a également révélé des méthodes d’évasion avancées telles que le remplissage binaire et le détournement de l’ordre de recherche des DLL.
Atténuation
Les organisations doivent déployer un filtrage d’email puissant pour détecter les liens de spear-phishing et vérifier la légitimité des portails liés aux carrières. Améliorer la visibilité sur les terminaux pour détecter le chargement par DLL, les modifications non autorisées du registre et les activités PowerShell suspectes est essentiel. Surveiller les sessions RDP non autorisées et les tunnels SSH inversés peut également aider à réduire le risque de mouvement latéral et d’activité de commandement et de contrôle.
Réponse
Si une activité d’UNC1549 est détectée, les intervenants doivent immédiatement isoler les points de terminaison affectés pour éviter tout mouvement latéral supplémentaire via RDP. Un audit complet des tâches programmées et des clés Run du Registre Windows doit être effectué pour identifier les mécanismes de persistance. Les équipes doivent également examiner les journaux des contrôleurs de domaine pour détecter des signes d’activité DCSync et surveiller le trafic HTTPS ou SSH sortant inhabituel vers une infrastructure de commandement et de contrôle connue.
Flux d’attaque
Détections
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
Énumération/manipulation possible de compte ou de groupe (via cmdline)
Voir
Exécution suspecte depuis le profil utilisateur public (via process_creation)
Voir
Utilisation potentielle d’outil de tunneling [Windows] (via cmdline)
Voir
Fichiers suspects dans le profil utilisateur public (via file_event)
Voir
Détection RDP et Tunnel SSH UNC1549 [Windows Network Connection]
Voir
Détection des techniques de registre et d’obfuscation UNC1549 [Événement du Registre Windows]
Voir
Tactiques d’attaque UNC1549 – Suppression d’indicateurs et détection DCSync [Journal des événements de sécurité Microsoft Windows]
Voir
Exécution de simulation
Prérequis : L’examen préalable de télémétrie et de référence doit être réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents entraîneront de fausses interprétations.
-
Narratif d’attaque et commandes : Un adversaire, imitant l’acteur UNC1549, cherche à établir une persistance sur une station de travail compromise. Il choisit de cacher sa charge utile en créant une entrée de registre sous une clé qui semble appartenir à un processus de mise à jour légitime de OneDrive (
OneDriveCoUpdate). Pour échapper à une détection simple de ligne de commande, il enveloppe son exécution dans un bloc de script PowerShell contenant la chaîneFileCoAuth.exe, simulant une commande mal obfusquée correspondant à la signature de la règle de détection. -
Script de test de régression :
# Script de simulation : Persistance et obfuscation d'UNC1549 # Ce script imite le chemin du registre spécifique et les modèles de chaîne PowerShell définis dans la règle. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Tentative de création de clé de registre d'exécution malveillante..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Exécution de commande PowerShell obfusquée pour déclencher la détection..." # L'inclusion de 'FileCoAuth.exe' est requise pour déclencher la partie 'selection_obfuscation' de la règle powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }" -
Commandes de nettoyage :
# Script de nettoyage $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Suppression de l'entrée de registre malveillante..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé."