UNC1549 TTPs: イランのAPT、航空宇宙と防衛を標的
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
UNC1549は、世界の航空宇宙、航空、国防供給チェーンを標的とするイランが関与しているサイバースパイグループです。このグループは、偽のReactベースのキャリアポータルを使用して多段階のカスタムマルウェアを配信する高度なフィッシング作戦を展開しています。そのキャンペーンは、認証情報の盗難、データの流出、そして高価値の組織内部での長期的な持続を中心に展開しています。
調査
このレポートは、2022年から2025年後半までのUNC1549の運用の進化を概説し、中東の主に地域的な標的から世界の航空宇宙供給チェーンへのより広範な焦点へのシフトを強調しています。アナリストは、MiniJunk、MiniBrowse、SIGHTGRAB、TRUSTRAPを含むいくつかのカスタムツールを特定しました。技術的分析では、バイナリパディングやDLL検索順序ハイジャックなどの高度な回避手法も明らかになりました。
軽減策
組織はスピアフィッシングリンクを検出するために強力なメールフィルタリングを展開し、キャリア関連ポータルの正当性を確認するべきです。DLLサイドローディング、無許可のレジストリ変更、疑わしいPowerShellアクティビティを検出するためにエンドポイントの可視性を向上させることが重要です。無許可のRDPセッションやリバースSSHトンネルを監視することも、横移動やコマンドアンドコントロールアクティビティのリスクを減少させるのに役立ちます。
対応策
UNC1549活動が検出された場合、対応者はRDPを介したさらなる横移動を防ぐため、直ちに影響を受けたエンドポイントを隔離する必要があります。持続性メカニズムを特定するためにスケジュールされたタスクとWindows Registry Runキーの完全な監査を実施すべきです。また、DCSync活動の証拠を調査し、既知のコマンドアンドコントロールインフラへの異常な外部発信HTTPSまたはSSHトラフィックを監視すべきです。
攻撃フロー
検出
持続性の可能性のあるポイント [ASEPs – Software/NTUSER Hive] (via registry_event)
表示
アカウントまたはグループの列挙/操作の可能性 (via cmdline)
表示
公共ユーザープロファイルからの不審な実行 (via process_creation)
表示
トンネリングツール使用の可能性 [Windows] (via cmdline)
表示
公共ユーザープロファイル内の不審なファイル (via file_event)
表示
UNC1549 RDPおよびSSHトンネルの検出 [Windowsネットワーク接続]
表示
UNC1549レジストリと難読化テクニックの検出 [Windows Registry Event]
表示
UNC1549攻撃戦術 – インジケータ除去とDCSyncの検出 [マイクロソフトWindowsセキュリティイベントログ]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの事前チェックが合格している必要があります。
理論:このセクションは、検出ルールをトリガーするために設計された敵対者技法(TTP)の正確な実行を詳細に示します。コマンドと物語はTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関連の例は誤診につながります。
-
攻撃物語とコマンド: UNC1549アクターを模倣する敵対者は、侵害されたワークステーションでの持続性を確立しようとしています。彼らは正規のOneDriveアップデートプロセスに属しているように見えるキーの下にレジストリエントリを作成することでペイロードを隠すことを選びます (
OneDriveCoUpdate)。簡単なコマンドライン検出を回避するために、一見乱立したコマンドを含むPowerShellスクリプトブロックでその実行を包み込み、検出ルールの署名に一致します。FileCoAuth.exeに関連する適切な抽象化されたコマンド。 -
リグレッションテストスクリプト:
# シミュレーションスクリプト: UNC1549持続性および難読化 # このスクリプトは、ルールで定義された特定のレジストリパスとPowerShell文字列パターンを模倣します。 $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] 悪意のあるレジストリランキー作成を試みています..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] 検出をトリガーするために難読化されたPowerShellコマンドを実行しています..." # 'FileCoAuth.exe' の含有は、ルールの 'selection_obfuscation' 部分をトリガーするために必要です powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }" -
クリーンアップコマンド:
# クリーンアップスクリプト $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] 悪意のあるレジストリエントリを削除しています..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。"