SOC Prime Bias: Critico

17 Jun 2026 12:50 UTC

UNC1549 TTP: un APT iraniano che prende di mira il settore aerospaziale e della difesa

Author Photo
SOC Prime Team linkedin icon Segui
UNC1549 TTP: un APT iraniano che prende di mira il settore aerospaziale e della difesa
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

UNC1549 è un gruppo di cyber-spionaggio legato all’Iran che prende di mira la catena di fornitura globale dell’industria aerospaziale, dell’aviazione e della difesa. Il gruppo gestisce sofisticate operazioni di phishing che utilizzano falsi portali di carriera basati su React per distribuire malware personalizzato a più stadi. Le sue campagne sono focalizzate sul furto di credenziali, sull’esfiltrazione di dati e sul mantenimento di una persistenza a lungo termine all’interno di organizzazioni di alto valore.

Investigazione

Il report descrive l’evoluzione operativa di UNC1549 dal 2022 fino a fine 2025, evidenziando un cambiamento dai target principalmente regionali nel Medio Oriente a un focus più ampio sulla catena di fornitura aerospaziale globale. Gli analisti hanno identificato diversi strumenti personalizzati, tra cui MiniJunk, MiniBrowse, SIGHTGRAB e TRUSTRAP. L’analisi tecnica ha anche rivelato metodi avanzati di elusione come il padding binario e il dirottamento dell’ordine di ricerca DLL.

Mitigazione

Le organizzazioni dovrebbero implementare filtri email robusti per rilevare i link di spear-phishing e verificare la legittimità dei portali relativi alle carriere. Migliorare la visibilità degli endpoint per rilevare il caricamento DLL, cambiamenti non autorizzati al registro e attività sospette di PowerShell è essenziale. Il monitoraggio delle sessioni RDP non autorizzate e dei tunnel SSH inversi può anche aiutare a ridurre il rischio di movimenti laterali e attività di comando e controllo.

Risposta

Se viene rilevata un’attività di UNC1549, i responder dovrebbero isolare immediatamente gli endpoint interessati per prevenire ulteriori movimenti laterali tramite RDP. Dovrebbe essere condotto un audit completo delle attività pianificate e delle chiavi Run del Registro di sistema di Windows per identificare i meccanismi di persistenza. I team dovrebbero anche rivedere i log del controller di dominio per evidenze di attività DCSync e monitorare traffico HTTPS o SSH in uscita insolito verso infrastrutture di comando e controllo note.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo di Telemetria e Linee Guida Pre-volo devono avere esito positivo.

Motivazione: Questa sezione dettagli l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e puntano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione di Attacco & Comandi: Un avversario, imitando l’attore UNC1549, mira a stabilire la persistenza su una workstation compromessa. Sceglie di nascondere il proprio payload creando una voce di registro sotto una chiave che sembra appartenere a un legittimo processo di aggiornamento di OneDrive (OneDriveCoUpdate). Per evadere un rilevamento di semplice riga di comando, avvolge la propria esecuzione in un blocco di script PowerShell che contiene la stringa FileCoAuth.exe, simulando un comando mal offuscato che corrisponde alla firma della regola di rilevamento.

  • Script di Test di Regressione:

    # Script di Simulazione: Persistenza e Offuscazione UNC1549
    # Questo script imita il percorso specifico del registro e i pattern di stringa PowerShell definiti nella regola.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] Tentativo di creazione della chiave di esecuzione del registro malevola..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] Esecuzione del comando PowerShell offuscato per attivare il rilevamento..."
    # L'inclusione di 'FileCoAuth.exe' è necessaria per attivare la parte 'selection_obfuscation' della regola
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Esecuzione' $encoded }"
  • Comandi di Pulizia:

    # Script di Pulizia
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] Rimozione della voce di registro malevola..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata."