UNC1549 TTP: un APT iraniano che prende di mira il settore aerospaziale e della difesa
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
UNC1549 è un gruppo di cyber-spionaggio legato all’Iran che prende di mira la catena di fornitura globale dell’industria aerospaziale, dell’aviazione e della difesa. Il gruppo gestisce sofisticate operazioni di phishing che utilizzano falsi portali di carriera basati su React per distribuire malware personalizzato a più stadi. Le sue campagne sono focalizzate sul furto di credenziali, sull’esfiltrazione di dati e sul mantenimento di una persistenza a lungo termine all’interno di organizzazioni di alto valore.
Investigazione
Il report descrive l’evoluzione operativa di UNC1549 dal 2022 fino a fine 2025, evidenziando un cambiamento dai target principalmente regionali nel Medio Oriente a un focus più ampio sulla catena di fornitura aerospaziale globale. Gli analisti hanno identificato diversi strumenti personalizzati, tra cui MiniJunk, MiniBrowse, SIGHTGRAB e TRUSTRAP. L’analisi tecnica ha anche rivelato metodi avanzati di elusione come il padding binario e il dirottamento dell’ordine di ricerca DLL.
Mitigazione
Le organizzazioni dovrebbero implementare filtri email robusti per rilevare i link di spear-phishing e verificare la legittimità dei portali relativi alle carriere. Migliorare la visibilità degli endpoint per rilevare il caricamento DLL, cambiamenti non autorizzati al registro e attività sospette di PowerShell è essenziale. Il monitoraggio delle sessioni RDP non autorizzate e dei tunnel SSH inversi può anche aiutare a ridurre il rischio di movimenti laterali e attività di comando e controllo.
Risposta
Se viene rilevata un’attività di UNC1549, i responder dovrebbero isolare immediatamente gli endpoint interessati per prevenire ulteriori movimenti laterali tramite RDP. Dovrebbe essere condotto un audit completo delle attività pianificate e delle chiavi Run del Registro di sistema di Windows per identificare i meccanismi di persistenza. I team dovrebbero anche rivedere i log del controller di dominio per evidenze di attività DCSync e monitorare traffico HTTPS o SSH in uscita insolito verso infrastrutture di comando e controllo note.
Flusso di Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (tramite registry_event)
Visualizza
Possibile Enumerazione o Manipolazione di Account o Gruppi (tramite cmdline)
Visualizza
Esecuzione Sospetta dal Profilo Utente Pubblico (tramite process_creation)
Visualizza
Possibile Utilizzo di Strumenti di Tunneling [Windows] (tramite cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite file_event)
Visualizza
Rilevamento di UNC1549 RDP e Tunnel SSH [Connessione alla Rete Windows]
Visualizza
Rilevamenti Tecniche di Registro e Offuscazione UNC1549 [Evento Registro Windows]
Visualizza
Tattiche di Attacco UNC1549 – Rimozione Indicatore e Rilevamento DCSync [Log Evento di Sicurezza Microsoft Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Telemetria e Linee Guida Pre-volo devono avere esito positivo.
Motivazione: Questa sezione dettagli l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e puntano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione di Attacco & Comandi: Un avversario, imitando l’attore UNC1549, mira a stabilire la persistenza su una workstation compromessa. Sceglie di nascondere il proprio payload creando una voce di registro sotto una chiave che sembra appartenere a un legittimo processo di aggiornamento di OneDrive (
OneDriveCoUpdate). Per evadere un rilevamento di semplice riga di comando, avvolge la propria esecuzione in un blocco di script PowerShell che contiene la stringaFileCoAuth.exe, simulando un comando mal offuscato che corrisponde alla firma della regola di rilevamento. -
Script di Test di Regressione:
# Script di Simulazione: Persistenza e Offuscazione UNC1549 # Questo script imita il percorso specifico del registro e i pattern di stringa PowerShell definiti nella regola. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Tentativo di creazione della chiave di esecuzione del registro malevola..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Esecuzione del comando PowerShell offuscato per attivare il rilevamento..." # L'inclusione di 'FileCoAuth.exe' è necessaria per attivare la parte 'selection_obfuscation' della regola powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Esecuzione' $encoded }" -
Comandi di Pulizia:
# Script di Pulizia $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Rimozione della voce di registro malevola..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."