SOC Prime Bias: Критичний

17 Jun 2026 12:50 UTC

Тактики UNC1549: Іранська APT, що націлюється на аерокосмічну та оборонну промисловість

Author Photo
SOC Prime Team linkedin icon Стежити
Тактики UNC1549: Іранська APT, що націлюється на аерокосмічну та оборонну промисловість
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

UNC1549 — це група іранського кібершпіонажу, що спрямована на глобальний ланцюг поставок в аерокосмічній, авіаційній та оборонній галузях. Група проводить складні фішингові операції, використовуючи підроблені кар’єрні портали на основі React, щоб доставити багатозахідне спеціалізоване шкідливе ПЗ. Кампанії зосереджені на крадіжці облікових даних, ексфільтрації даних та збереженні тривалої присутності в організаціях із високою цінністю.

Розслідування

Звіт описує еволюцію роботи UNC1549 з 2022 до кінця 2025 року, підкреслюючи зміну від переважно регіональних цілей на Близькому Сході до ширшого фокусу на глобальному ланцюгу поставок в аерокосмічній галузі. Аналітики ідентифікували кілька спеціалізованих інструментів, зокрема MiniJunk, MiniBrowse, SIGHTGRAB та TRUSTRAP. Технічний аналіз також виявив передові методи ухилення, такі як заповнення бінарного коду та захоплення порядку пошуку DLL.

Захист

Організації повинні впровадити потужне фільтрування електронної пошти для виявлення лінків спрямованого фішингу та перевірки легітимності кар’єрних порталів. Покращення видимості кінцевих точок для виявлення побічного завантаження DLL, несанкціонованих змін у реєстрі та підозрілої активності PowerShell є важливим. Моніторинг несанкціонованих сеансів RDP та зворотних SSH тунелів також може допомогти зменшити ризик бокового руху та командно-контрольної діяльності.

Відповідь

Якщо активність UNC1549 виявлена, відповідачі повинні негайно ізолювати уражені кінцеві точки, щоб запобігти подальшому боковому руху через RDP. Повний аудит запланованих задач та ключів запуску Windows Registry слід провести для ідентифікації механізмів стійкості. Команди також повинні перевірити журнали контролерів доменів на наявність активності DCSync та відстежувати незвичний вихідний HTTPS або SSH трафік до відомої командно-контрольної інфраструктури.

Потік атаки

Виявлення

Можливі точки стійкості [ASEPs – Hive програмного забезпечення/NTUSER] (через registry_event)

Команда SOC Prime
16 червня 2026

Можливий перелік або маніпуляція з обліковими записами чи групами (через cmdline)

Команда SOC Prime
16 червня 2026

Підозріле виконання з загальнодоступного профілю користувача (через process_creation)

Команда SOC Prime
16 червня 2026

Можливе використання інструменту тунелізації [Windows] (через cmdline)

Команда SOC Prime
16 червня 2026

Підозрілі файли у загальнодоступному профілі користувача (через file_event)

Команда SOC Prime
16 червня 2026

Виявлення тунелів UNC1549 RDP та SSH [Підключення до мережі Windows]

Правила SOC Prime AI
16 червня 2026

Виявлення методів реєстру та затьмарення UNC1549 [Подія реєстру Windows]

Правила SOC Prime AI
16 червня 2026

Тактики атаки UNC1549 – Видалення індикаторів та виявлення DCSync [Журнал безпеки Microsoft Windows]

Правила SOC Prime AI
16 червня 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна пройти перевірку перед польотом.

Обґрунтування: Цей розділ описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати визначені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення. Абстрактні чи нерелевантні приклади призводять до неправильного діагностування.

  • Наратив атаки та команди: Супротивник, який імітує актора UNC1549, прагне встановити стійкість на зламаній робочій станції. Вони вибирають приховати свій вантаж, створивши запис у реєстрі під ключем, який здається, що належить до легітимного процесу оновлення OneDrive (OneDriveCoUpdate). Щоб уникнути простого виявлення командного рядка, вони обертають свою реалізацію у блок скриптів PowerShell, що містить рядок FileCoAuth.exe, імітуючи погано захаращену команду, що відповідає сигнатурі правила виявлення.

  • Сценарій регресійного тестування:

    # Скрипт симуляції: Стійкість та затьмарення UNC1549
    # Цей скрипт імітує специфічний шлях реєстру та візерунки рядків PowerShell, визначені у правилі.
    
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd""
    
    Write-Host "[+] Спроба створити зловмисний ключ автозапуску реєстру..."
    New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force
    
    Write-Host "[+] Виконання затьмареної команди PowerShell для активації виявлення..."
    # Включення "FileCoAuth.exe" є обов'язковим для активації "selection_obfuscation" частини правила
    powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Виконання' $encoded }"
  • Команди очистки:

    # Скрипт очистки
    $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $regName = "OneDriveCoUpdate"
    
    Write-Host "[-] Видалення зловмисного запису у реєстрі..."
    Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue
    Write-Host "[+] Очистка завершена."