팔로우 
개요
UNC1549는 세계 항공우주, 항공 및 방위 공급망을 목표로 하는 이란 연계 사이버 첩보 조직입니다. 이 그룹은 다단계 맞춤형 멀웨어를 전달하기 위해 가짜 React 기반 채용 포털을 사용하는 정교한 피싱 작전을 운영합니다. 그들의 캠페인은 자격 증명 탈취, 데이터 전송 및 고가치 조직 내에서 장기적 지속성을 유지하는 데 중점을 두고 있습니다.
조사
보고서는 UNC1549의 2022년부터 2025년 말까지의 운영 진화를 개괄하며, 주로 중동 지역 대상에서 글로벌 항공우주 공급망으로 초점을 확대한 변화를 강조합니다. 분석가들은 MiniJunk, MiniBrowse, SIGHTGRAB, TRUSTRAP과 같은 여러 맞춤형 도구를 식별했습니다. 기술 분석은 바이너리 패딩 및 DLL 검색 순서 하이재킹과 같은 고급 회피 방법도 드러냈습니다.
완화
조직은 스피어 피싱 링크를 탐지하기 위해 강력한 이메일 필터링을 배포하고, 채용 관련 포털의 적법성을 확인해야 합니다. DLL 사이드로딩, 무단 레지스트리 변경, 의심스러운 PowerShell 활동을 감지하기 위해 엔드포인트 가시성을 개선하는 것이 필수적입니다. 무단 RDP 세션 및 리버스 SSH 터널을 모니터링하면 횡적 이동 및 명령-제어 활동의 위험을 줄이는 데 도움이 될 수 있습니다.
대응
UNC1549 활동이 감지되면, 대응자가 즉시 RDP를 통해 추가 횡적 이동을 방지하기 위해 영향을 받은 엔드포인트를 격리해야 합니다. 지속성 메커니즘을 식별하기 위해 예약된 작업 및 Windows 레지스트리 실행 키의 전체 감사를 수행해야 합니다. 팀은 또한 DCSync 활동 증거를 위해 도메인 컨트롤러 로그를 검토하고 알려진 명령-제어 인프라로의 비정상적인 아웃바운드 HTTPS 또는 SSH 트래픽을 모니터링해야 합니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#f9f,stroke:#333,stroke-width:2px classDef exfil fill:#ff9999 %% 초기 접근 단계 action_phishing[“<b>행위</b> – <b>T1566.002 피싱: 스피어피싱 링크</b><br/>Boeing 및 Airbus를 사칭하는<br/>가짜 React 채용 포털을 포함한<br/>표적 이메일.”] class action_phishing action action_download[“<b>행위</b>: 악성 압축 파일 다운로드<br/>피해자는 자격 증명을 입력한 후<br/>압축 파일을 다운로드함.”] class action_download action %% 실행 및 정찰 단계 tech_powershell[“<b>기술</b> – <b>T1059.001 명령 및 스크립팅 인터프리터: PowerShell</b><br/>네트워크 정찰 및<br/>Active Directory 열거에 사용.”] class tech_powershell technique tech_cmd[“<b>기술</b> – <b>T1059.003 명령 및 스크립팅 인터프리터: Windows Command Shell</b><br/>네트워크 정찰 및<br/>Active Directory 열거에 사용.”] class tech_cmd technique action_recon[“<b>행위</b>: Active Directory 열거<br/>net user와 같은 명령 실행.”] class action_recon action %% 지속성 단계 tech_schtask[“<b>기술</b> – <b>T1053.005 예약 작업/작업 스케줄러</b><br/>DLL 사이드로딩을 통해 로드된<br/>userenv.dll과 함께 MigAutoPlay.exe 실행.”] class tech_schtask technique tech_registry[“<b>기술</b> – <b>T1547.001 부팅 또는 로그온 자동 시작 실행: Registry Run Keys / Startup Folder</b><br/>OneDrive로 위장하기 위해<br/>레지스트리 키에 기록.”] class tech_registry technique %% 방어 회피 단계 tech_obfuscation[“<b>기술</b> – <b>T1027 난독화된 파일 또는 정보</b><br/>컴파일러 수준 난독화 및<br/>Binary Padding (T1027.001) 사용.”] class tech_obfuscation technique tech_masquerade[“<b>기술</b> – <b>T1036 위장</b><br/>정상 서비스와 유사한<br/>파일 이름 사용.”] class tech_masquerade technique tech_log_clear[“<b>기술</b> – <b>T1070.001 지표 제거: Windows 이벤트 로그 삭제</b><br/>레지스트리에서 RDP 연결 기록 삭제.”] class tech_log_clear technique tech_hijack[“<b>기술</b> – <b>T1574.001 실행 흐름 하이재킹: DLL 검색 순서 하이재킹</b><br/>정상 바이너리 근처에<br/>악성 DLL 배치.”] class tech_hijack technique %% 자격 증명 접근 단계 tool_mimikatz[“<b>도구</b> – <b>수정된 Mimikatz</b><br/>T1003.006 DC Sync를 사용하여<br/>NTLM 해시 추출.”] class tool_mimikatz tool tool_minibrowse[“<b>도구</b> – <b>MiniBrowse</b><br/>T1555.003 웹 브라우저 자격 증명을 통해<br/>Chrome 및 Edge 데이터 탈취.”] class tool_minibrowse tool tool_trustrap[“<b>도구</b> – <b>TRUSTRAP</b><br/>가짜 인증 창을 통해<br/>자격 증명 수집.”] class tool_trustrap tool %% 측면 이동 단계 tech_rdp[“<b>기술</b> – <b>T1021.001 원격 서비스: Remote Desktop Protocol</b><br/>RDP를 사용하여<br/>시스템에 접근.”] class tech_rdp technique tech_rdp_hijack[“<b>기술</b> – <b>T1563.002 원격 서비스 세션 하이재킹: RDP Hijacking</b><br/>활성 사용자 세션에 접근.”] class tech_rdp_hijack technique %% 수집 단계 tool_sightgrab[“<b>도구</b> – <b>SIGHTGRAB</b><br/>T1113 화면 캡처를 사용하여<br/>주기적인 스크린샷 수집.”] class tool_sightgrab tool %% C2 및 데이터 유출 단계 tech_tunneling[“<b>기술</b> – <b>T1572 프로토콜 터널링</b><br/>텔레메트리 우회를 위해<br/>Reverse SSH 터널 사용.”] class tech_tunneling technique tech_exfil[“<b>기술</b> – <b>T1041 C2 채널을 통한 데이터 유출</b><br/>탈취한 자격 증명과 파일을<br/>HTTPS를 통해 전송.”] class tech_exfil exfil %% 연결 action_phishing –>|이어짐| action_download action_download –>|활성화| tech_powershell action_download –>|활성화| tech_cmd tech_powershell –>|수행| action_recon tech_cmd –>|수행| action_recon action_recon –>|설정| tech_schtask action_recon –>|설정| tech_registry tech_schtask –>|사용| tech_hijack tech_registry –>|사용| tech_masquerade tech_powershell –>|사용| tech_obfuscation tech_cmd –>|사용| tech_obfuscation tech_obfuscation –>|포함| tech_masquerade tech_masquerade –>|은폐| tech_log_clear action_recon –>|유도| tool_mimikatz action_recon –>|유도| tool_minibrowse action_recon –>|유도| tool_trustrap tool_mimikatz –>|활성화| tech_rdp tool_minibrowse –>|활성화| tech_rdp tool_trustrap –>|활성화| tech_rdp tech_rdp –>|연결| tech_rdp_hijack tech_rdp_hijack –>|연결| tool_sightgrab tool_sightgrab –>|필요| tech_tunneling tech_tunneling –>|지원| tech_exfil
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – 소프트웨어/NTUSER Hive] (registry_event 경유)
보기
가능한 계정 또는 그룹 열거/조작 (cmdline 경유)
보기
공용 사용자 프로필에서의 의심스러운 실행 (process_creation 경유)
보기
가능한 터널링 도구 사용 [Windows] (cmdline 경유)
보기
공용 사용자 프로필의 의심스러운 파일 (file_event 경유)
보기
UNC1549 RDP 및 SSH 터널 탐지 [Windows 네트워크 연결]
보기
UNC1549 레지스트리 및 난독화 기법 탐지 [Windows 레지스트리 이벤트]
보기
UNC1549 공격 전술 – 지표 제거 및 DCSync 탐지 [Microsoft Windows 보안 이벤트 로그]
보기
시뮬레이션 실행
전제조건: 텔레메트리 및 기준선 사전 점검이 통과했어야 합니다.
이론적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 공격 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 내러티브는 감지 로직에 따른 예상 텔레메트리를 생성하도록 TTP를 직접 반영해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령어: UNC1549 행위자를 모방하는 적은 타협한 워크스테이션에서 지속성을 확립하려고 합니다. 이들은 정상적인 OneDrive 업데이트 프로세스(
OneDriveCoUpdate)로 보이는 키 아래에 레지스트리 항목을 만들어 페이로드를 숨기기로 선택합니다. 간단한 명령줄 탐지를 회피하려면FileCoAuth.exe이라는 문자열을 포함한 PowerShell 스크립트 블록으로 실행을 래핑하여 탐지 규칙의 서명을 시뮬레이트합니다. -
회귀 테스트 스크립트:
# 시뮬레이션 스크립트: UNC1549 지속성 및 난독화 # 이 스크립트는 규칙에 정의된 특정 레지스트리 경로와 PowerShell 문자열 패턴을 모방합니다. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] 악성 레지스트리 실행 키 생성 시도 중..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] 탐지를 트리거하기 위해 난독화된 PowerShell 명령 실행 중..." # 'FileCoAuth.exe'을 포함하는 것은 'selection_obfuscation' 규칙 부분을 트리거하기 위해 필요합니다 powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }" -
정리 명령:
# 정리 스크립트 $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] 악성 레지스트리 항목 제거 중..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] 정리 완료."