SOC Prime Bias: 위험

17 Jun 2026 12:50 UTC

UNC1549 TTP: 이란 APT 항공우주 및 방위산업 표적

Author Photo
SOC Prime Team linkedin icon 팔로우
UNC1549 TTP: 이란 APT 항공우주 및 방위산업 표적
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

개요

UNC1549는 세계 항공우주, 항공 및 방위 공급망을 목표로 하는 이란 연계 사이버 첩보 조직입니다. 이 그룹은 다단계 맞춤형 멀웨어를 전달하기 위해 가짜 React 기반 채용 포털을 사용하는 정교한 피싱 작전을 운영합니다. 그들의 캠페인은 자격 증명 탈취, 데이터 전송 및 고가치 조직 내에서 장기적 지속성을 유지하는 데 중점을 두고 있습니다.

조사

보고서는 UNC1549의 2022년부터 2025년 말까지의 운영 진화를 개괄하며, 주로 중동 지역 대상에서 글로벌 항공우주 공급망으로 초점을 확대한 변화를 강조합니다. 분석가들은 MiniJunk, MiniBrowse, SIGHTGRAB, TRUSTRAP과 같은 여러 맞춤형 도구를 식별했습니다. 기술 분석은 바이너리 패딩 및 DLL 검색 순서 하이재킹과 같은 고급 회피 방법도 드러냈습니다.

완화

조직은 스피어 피싱 링크를 탐지하기 위해 강력한 이메일 필터링을 배포하고, 채용 관련 포털의 적법성을 확인해야 합니다. DLL 사이드로딩, 무단 레지스트리 변경, 의심스러운 PowerShell 활동을 감지하기 위해 엔드포인트 가시성을 개선하는 것이 필수적입니다. 무단 RDP 세션 및 리버스 SSH 터널을 모니터링하면 횡적 이동 및 명령-제어 활동의 위험을 줄이는 데 도움이 될 수 있습니다.

대응

UNC1549 활동이 감지되면, 대응자가 즉시 RDP를 통해 추가 횡적 이동을 방지하기 위해 영향을 받은 엔드포인트를 격리해야 합니다. 지속성 메커니즘을 식별하기 위해 예약된 작업 및 Windows 레지스트리 실행 키의 전체 감사를 수행해야 합니다. 팀은 또한 DCSync 활동 증거를 위해 도메인 컨트롤러 로그를 검토하고 알려진 명령-제어 인프라로의 비정상적인 아웃바운드 HTTPS 또는 SSH 트래픽을 모니터링해야 합니다.

공격 흐름

시뮬레이션 실행

전제조건: 텔레메트리 및 기준선 사전 점검이 통과했어야 합니다.

이론적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 공격 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 내러티브는 감지 로직에 따른 예상 텔레메트리를 생성하도록 TTP를 직접 반영해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령어: UNC1549 행위자를 모방하는 적은 타협한 워크스테이션에서 지속성을 확립하려고 합니다. 이들은 정상적인 OneDrive 업데이트 프로세스( OneDriveCoUpdate)로 보이는 키 아래에 레지스트리 항목을 만들어 페이로드를 숨기기로 선택합니다. 간단한 명령줄 탐지를 회피하려면 FileCoAuth.exe이라는 문자열을 포함한 PowerShell 스크립트 블록으로 실행을 래핑하여 탐지 규칙의 서명을 시뮬레이트합니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: UNC1549 지속성 및 난독화
    # 이 스크립트는 규칙에 정의된 특정 레지스트리 경로와 PowerShell 문자열 패턴을 모방합니다.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] 악성 레지스트리 실행 키 생성 시도 중..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] 탐지를 트리거하기 위해 난독화된 PowerShell 명령 실행 중..."
    # 'FileCoAuth.exe'을 포함하는 것은 'selection_obfuscation' 규칙 부분을 트리거하기 위해 필요합니다
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Executing' $encoded }"
  • 정리 명령:

    # 정리 스크립트
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] 악성 레지스트리 항목 제거 중..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] 정리 완료."