Тактики UNC1549: Іранська APT, що націлюється на аерокосмічну та оборонну промисловість
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
UNC1549 — це група іранського кібершпіонажу, що спрямована на глобальний ланцюг поставок в аерокосмічній, авіаційній та оборонній галузях. Група проводить складні фішингові операції, використовуючи підроблені кар’єрні портали на основі React, щоб доставити багатозахідне спеціалізоване шкідливе ПЗ. Кампанії зосереджені на крадіжці облікових даних, ексфільтрації даних та збереженні тривалої присутності в організаціях із високою цінністю.
Розслідування
Звіт описує еволюцію роботи UNC1549 з 2022 до кінця 2025 року, підкреслюючи зміну від переважно регіональних цілей на Близькому Сході до ширшого фокусу на глобальному ланцюгу поставок в аерокосмічній галузі. Аналітики ідентифікували кілька спеціалізованих інструментів, зокрема MiniJunk, MiniBrowse, SIGHTGRAB та TRUSTRAP. Технічний аналіз також виявив передові методи ухилення, такі як заповнення бінарного коду та захоплення порядку пошуку DLL.
Захист
Організації повинні впровадити потужне фільтрування електронної пошти для виявлення лінків спрямованого фішингу та перевірки легітимності кар’єрних порталів. Покращення видимості кінцевих точок для виявлення побічного завантаження DLL, несанкціонованих змін у реєстрі та підозрілої активності PowerShell є важливим. Моніторинг несанкціонованих сеансів RDP та зворотних SSH тунелів також може допомогти зменшити ризик бокового руху та командно-контрольної діяльності.
Відповідь
Якщо активність UNC1549 виявлена, відповідачі повинні негайно ізолювати уражені кінцеві точки, щоб запобігти подальшому боковому руху через RDP. Повний аудит запланованих задач та ключів запуску Windows Registry слід провести для ідентифікації механізмів стійкості. Команди також повинні перевірити журнали контролерів доменів на наявність активності DCSync та відстежувати незвичний вихідний HTTPS або SSH трафік до відомої командно-контрольної інфраструктури.
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Hive програмного забезпечення/NTUSER] (через registry_event)
Перегляд
Можливий перелік або маніпуляція з обліковими записами чи групами (через cmdline)
Перегляд
Підозріле виконання з загальнодоступного профілю користувача (через process_creation)
Перегляд
Можливе використання інструменту тунелізації [Windows] (через cmdline)
Перегляд
Підозрілі файли у загальнодоступному профілі користувача (через file_event)
Перегляд
Виявлення тунелів UNC1549 RDP та SSH [Підключення до мережі Windows]
Перегляд
Виявлення методів реєстру та затьмарення UNC1549 [Подія реєстру Windows]
Перегляд
Тактики атаки UNC1549 – Видалення індикаторів та виявлення DCSync [Журнал безпеки Microsoft Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна пройти перевірку перед польотом.
Обґрунтування: Цей розділ описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати визначені TTP та прагнути згенерувати точну телеметрію, очікувану логікою виявлення. Абстрактні чи нерелевантні приклади призводять до неправильного діагностування.
-
Наратив атаки та команди: Супротивник, який імітує актора UNC1549, прагне встановити стійкість на зламаній робочій станції. Вони вибирають приховати свій вантаж, створивши запис у реєстрі під ключем, який здається, що належить до легітимного процесу оновлення OneDrive (
OneDriveCoUpdate). Щоб уникнути простого виявлення командного рядка, вони обертають свою реалізацію у блок скриптів PowerShell, що містить рядокFileCoAuth.exe, імітуючи погано захаращену команду, що відповідає сигнатурі правила виявлення. -
Сценарій регресійного тестування:
# Скрипт симуляції: Стійкість та затьмарення UNC1549 # Цей скрипт імітує специфічний шлях реєстру та візерунки рядків PowerShell, визначені у правилі. $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" $payload = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "$cmd = 'FileCoAuth.exe'; Start-Process $cmd"" Write-Host "[+] Спроба створити зловмисний ключ автозапуску реєстру..." New-ItemProperty -Path $registryPath -Name $regName -Value $payload -PropertyType String -Force Write-Host "[+] Виконання затьмареної команди PowerShell для активації виявлення..." # Включення "FileCoAuth.exe" є обов'язковим для активації "selection_obfuscation" частини правила powershell.exe -Command "& { $encoded = 'FileCoAuth.exe'; Write-Host 'Виконання' $encoded }" -
Команди очистки:
# Скрипт очистки $registryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $regName = "OneDriveCoUpdate" Write-Host "[-] Видалення зловмисного запису у реєстрі..." Remove-ItemProperty -Path $registryPath -Name $regName -ErrorAction SilentlyContinue Write-Host "[+] Очистка завершена."