Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
UNC1549 est un groupe de cyberespionnage lié à l’Iran ciblant la chaîne d’approvisionnement mondiale de l’aérospatiale, de l’aviation et de la défense. Le groupe mène des opérations de phishing sophistiquées utilisant de faux portails de carrière basés sur React pour déployer des malwares sur mesure en plusieurs étapes. Ses campagnes se concentrent sur le vol d’identifiants, l’exfiltration de données et le maintien d’une persistance à long terme au sein d’organisations de grande valeur.
Enquête
Le rapport décrit l’évolution opérationnelle d’UNC1549 de 2022 à la fin de 2025, mettant en évidence un passage de cibles principalement régionales au Moyen-Orient à un intérêt plus large pour la chaîne d’approvisionnement mondiale de l’aérospatiale. Les analystes ont identifié plusieurs outils personnalisés, notamment MiniJunk, MiniBrowse, SIGHTGRAB et TRUSTRAP. L’analyse technique a également révélé des méthodes d’évasion avancées telles que le remplissage binaire et le détournement de l’ordre de recherche des DLL.
Atténuation
Les organisations doivent déployer un filtrage d’email puissant pour détecter les liens de spear-phishing et vérifier la légitimité des portails liés aux carrières. Améliorer la visibilité sur les terminaux pour détecter le chargement par DLL, les modifications non autorisées du registre et les activités PowerShell suspectes est essentiel. Surveiller les sessions RDP non autorisées et les tunnels SSH inversés peut également aider à réduire le risque de mouvement latéral et d’activité de commandement et de contrôle.
Réponse
Si une activité d’UNC1549 est détectée, les intervenants doivent immédiatement isoler les points de terminaison affectés pour éviter tout mouvement latéral supplémentaire via RDP. Un audit complet des tâches programmées et des clés Run du Registre Windows doit être effectué pour identifier les mécanismes de persistance. Les équipes doivent également examiner les journaux des contrôleurs de domaine pour détecter des signes d’activité DCSync et surveiller le trafic HTTPS ou SSH sortant inhabituel vers une infrastructure de commandement et de contrôle connue.
graph TB %% Définition des classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% Phase d’accès initial action_phishing[« <b>Action</b> – <b>T1566.002 Hameçonnage : Lien d’hameçonnage ciblé</b><br/>E-mails ciblés contenant des portails<br/>React frauduleux de recrutement<br/>imitant Boeing et Airbus. »] class action_phishing action action_download[« <b>Action</b> : Téléchargement d’une archive malveillante<br/>Les victimes téléchargent des archives<br/>après avoir fourni leurs identifiants. »] class action_download action %% Phase d’exécution et de reconnaissance tech_powershell[« <b>Technique</b> – <b>T1059.001 Interpréteur de commandes et de scripts : PowerShell</b><br/>Utilisé pour la reconnaissance réseau<br/>et l’énumération Active Directory. »] class tech_powershell technique tech_cmd[« <b>Technique</b> – <b>T1059.003 Interpréteur de commandes et de scripts : Windows Command Shell</b><br/>Utilisé pour la reconnaissance réseau<br/>et l’énumération Active Directory. »] class tech_cmd technique action_recon[« <b>Action</b> : Énumération Active Directory<br/>Exécution de commandes telles que net user. »] class action_recon action %% Phase de persistance tech_schtask[« <b>Technique</b> – <b>T1053.005 Tâche planifiée</b><br/>Exécution de MigAutoPlay.exe<br/>avec userenv.dll chargée par DLL side-loading. »] class tech_schtask technique tech_registry[« <b>Technique</b> – <b>T1547.001 Exécution automatique au démarrage : Clés Run du registre / Dossier Startup</b><br/>Écriture dans les clés du registre<br/>pour se faire passer pour OneDrive. »] class tech_registry technique %% Phase d’évasion des défenses tech_obfuscation[« <b>Technique</b> – <b>T1027 Fichiers ou informations obfusqués</b><br/>Obfuscation au niveau du compilateur<br/>et Binary Padding (T1027.001). »] class tech_obfuscation technique tech_masquerade[« <b>Technique</b> – <b>T1036 Usurpation d’identité</b><br/>Utilisation de noms de fichiers<br/>imitant des services légitimes. »] class tech_masquerade technique tech_log_clear[« <b>Technique</b> – <b>T1070.001 Suppression d’indicateurs : Effacement des journaux d’événements Windows</b><br/>Suppression de l’historique des connexions RDP<br/>dans le registre système. »] class tech_log_clear technique tech_hijack[« <b>Technique</b> – <b>T1574.001 Détournement du flux d’exécution : DLL Search Order Hijacking</b><br/>Placement de DLL malveillantes<br/>à proximité de binaires légitimes. »] class tech_hijack technique %% Phase d’accès aux identifiants tool_mimikatz[« <b>Outil</b> – <b>Mimikatz modifié</b><br/>Utilisé pour T1003.006 DC Sync<br/>afin d’extraire des hachages NTLM. »] class tool_mimikatz tool tool_minibrowse[« <b>Outil</b> – <b>MiniBrowse</b><br/>Utilisé pour T1555.003 Identifiants provenant<br/>des navigateurs web afin de voler les données<br/>Chrome et Edge. »] class tool_minibrowse tool tool_trustrap[« <b>Outil</b> – <b>TRUSTRAP</b><br/>Capture des identifiants via<br/>de fausses fenêtres d’authentification. »] class tool_trustrap tool %% Phase de mouvement latéral tech_rdp[« <b>Technique</b> – <b>T1021.001 Services distants : Remote Desktop Protocol</b><br/>Accès aux systèmes<br/>via RDP. »] class tech_rdp technique tech_rdp_hijack[« <b>Technique</b> – <b>T1563.002 Détournement de session de service distant : RDP Hijacking</b><br/>Accès aux sessions utilisateur<br/>actives. »] class tech_rdp_hijack technique %% Phase de collecte tool_sightgrab[« <b>Outil</b> – <b>SIGHTGRAB</b><br/>Utilisé pour T1113 Capture d’écran<br/>par des captures périodiques. »] class tool_sightgrab tool %% Phase C2 et exfiltration tech_tunneling[« <b>Technique</b> – <b>T1572 Tunneling de protocole</b><br/>Utilisation de tunnels SSH inversés<br/>pour contourner la télémétrie. »] class tech_tunneling technique tech_exfil[« <b>Technique</b> – <b>T1041 Exfiltration via canal C2</b><br/>Transfert des identifiants et fichiers volés<br/>via HTTPS. »] class tech_exfil exfil %% Connexions action_phishing –>|mène_à| action_download action_download –>|déclenche| tech_powershell action_download –>|déclenche| tech_cmd tech_powershell –>|effectue| action_recon tech_cmd –>|effectue| action_recon action_recon –>|établit| tech_schtask action_recon –>|établit| tech_registry tech_schtask –>|utilise| tech_hijack tech_registry –>|utilise| tech_masquerade tech_powershell –>|emploie| tech_obfuscation tech_cmd –>|emploie| tech_obfuscation tech_obfuscation –>|inclut| tech_masquerade tech_masquerade –>|dissimule_via| tech_log_clear action_recon –>|mène_à| tool_mimikatz action_recon –>|mène_à| tool_minibrowse action_recon –>|mène_à| tool_trustrap tool_mimikatz –>|active| tech_rdp tool_minibrowse –>|active| tech_rdp tool_trustrap –>|active| tech_rdp tech_rdp –>|mène_à| tech_rdp_hijack tech_rdp_hijack –>|mène_à| tool_sightgrab tool_sightgrab –>|nécessite| tech_tunneling tech_tunneling –>|facilite| tech_exfil
Flux d’attaque
Détections
Points de persistance possibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
Énumération/manipulation possible de compte ou de groupe (via cmdline)
Voir
Exécution suspecte depuis le profil utilisateur public (via process_creation)
Voir
Utilisation potentielle d’outil de tunneling [Windows] (via cmdline)
Voir
Fichiers suspects dans le profil utilisateur public (via file_event)
Voir
Détection RDP et Tunnel SSH UNC1549 [Windows Network Connection]
Voir
Détection des techniques de registre et d’obfuscation UNC1549 [Événement du Registre Windows]
Voir
Tactiques d’attaque UNC1549 – Suppression d’indicateurs et détection DCSync [Journal des événements de sécurité Microsoft Windows]
Voir
Exécution de simulation
Prérequis : L’examen préalable de télémétrie et de référence doit être réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents entraîneront de fausses interprétations.
-
Narratif d’attaque et commandes : Un adversaire, imitant l’acteur UNC1549, cherche à établir une persistance sur une station de travail compromise. Il choisit de cacher sa charge utile en créant une entrée de registre sous une clé qui semble appartenir à un processus de mise à jour légitime de OneDrive (
OneDriveCoUpdate). Pour échapper à une détection simple de ligne de commande, il enveloppe son exécution dans un bloc de script PowerShell contenant la chaîneFileCoAuth.exe, simulant une commande mal obfusquée correspondant à la signature de la règle de détection. -
Script de test de régression :
# Script de simulation : Persistance et obfuscation d'UNC1549 # Ce script imite le chemin du registre spécifique et les modèles de chaîne PowerShell définis dans la règle. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Tentative de création de clé de registre d'exécution malveillante..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Exécution de commande PowerShell obfusquée pour déclencher la détection..." # L'inclusion de 'FileCoAuth.exe' est requise pour déclencher la partie 'selection_obfuscation' de la règle powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }" -
Commandes de nettoyage :
# Script de nettoyage $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Suppression de l'entrée de registre malveillante..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé."