UNC1549: бэкдор и кейлоггер против телекоммуникационных сетей

«Иранская группа кибершпионажа, известная как UNC1549, использует сложный метод работы, используя множество инструментов и техник для проведения долгосрочных кампаний против телекоммуникационных сетей.»

Новый анализ показывает, что UNC1549 ведет целенаправленные, продолжительные операции против телекоммуникационных операторов, комбинируя социальную инженерию, подписанные легитимные бинарные файлы и сложные механизмы загрузки вредоносных библиотек. Их цель — невидимо закрепиться в инфраструктуре и эксфильтрировать конфиденциальные данные, включая PST‑файлы Outlook и другие крупные архивы, не привлекая внимания средств обнаружения и DLP‑систем.

Ключевые компоненты и инструментарий

• Основной бэкдор: реализован так, чтобы загружать дополнительные DLL в скомпрометированные системы; использует C2‑связь и алгоритм на основе XOR для динамической дешифровки строк во время выполнения (с разными процедурами дешифровки в зависимости от длины строк).
• Кейлоггер через DLL: загружается через C2 и применяет методы линейного конгруэнтного генератора (LCG) для динамического дешифрования строк и обфускации, инициализируемой разными начальными значениями — это усложняет статический анализ.
• Браузер‑похититель: собирает данные из браузеров жертв.
• Похититель Outlook/Winlogon: имитирует вводящие в заблуждение запросы на вход в систему, вынуждая пользователей раскрывать учетные данные Windows и Outlook.

Тактика первоначального доступа и закрепления

Методология UNC1549 начинается с углублённой разведки. Группа профилирует целевой персонал — в первую очередь исследователей и ИТ‑администраторов — чтобы выявить людей с повышенным доступом к критическим системам. Для сбора данных активно используются общедоступные источники, включая LinkedIn.

Для завлечения жертв атакующие создают поддельные учетные записи отдела кадров и рассылают сфабрикованные предложения о работе. Эти целевые фишинговые кампании приводят к тому, что жертвы скачивают и запускают вредоносные библиотеки DLL, которые загружаются в подписанные двоичные файлы, ассоциированные с исполняемыми файлами, работающими с высокими привилегиями. Такой подход (DLL sideloading через легитимные, подписанные бинарники) обеспечивает выполнение кода без срабатывания ряда механизмов обнаружения.

Для достижения устойчивости бэкдор настроен на автозагрузку при старте системы, а для повышения привилегий атакующие используют запуск легитимных бинарных файлов с повышенными правами.

Архитектура C2 и методы эксфильтрации

Командно‑контрольная инфраструктура UNC1549 маскируется под легитимный трафик, используя облачные сервисы Azure. Это позволяет смешать вредоносные коммуникации с обычными запросами и снизить вероятность блокировки.

Сбор и вывоз данных организованы стратегически:

• Вредоносное ПО автоматически идентифицирует и подготавливает чувствительные файлы для передачи.
• Применяется фрагментированная загрузка (chunked transfer) для передачи больших объёмов данных — в том числе PST — по частям, чтобы не создавать всплесков трафика и не триггерить системы предотвращения потери данных (DLP) или мониторинг пропускной способности.
• Такие меры повышенной операционной безопасности позволяют сохранять долгосрочный доступ и регулярно извлекать конфиденциальную информацию.

Воздействие и риски для целевых организаций

Деятельность UNC1549 сочетает целевую разведку и устойчивое присутствие в критически важных сетях, что приводит к повышенному риску утечки данных и компрометации инфраструктуры. Для телеком‑операторов последствия могут включать утечку клиентских данных, нарушенную работу сервисов и риск дальнейшего распространения в смежные подсистемы.

Рекомендации по защите

• Усилить мониторинг исходящих соединений к облачным платформам (Azure) и анализировать аномалии в поведении сервисов, маскирующихся под легитимный трафик.
• Проверять целостность и цепочку подписей используемых бинарников; внедрить контроль над загрузкой сторонних DLL и политики запрета DLL sideloading там, где это возможно.
• Ограничить привилегированные выполнения: минимизировать случаи запуска приложений с повышенными правами и контролировать процессы, загружающие дополнительные модули.
• Внедрить многофакторную аутентификацию для систем Windows и Outlook и обучение персонала проверки рекрутинговых предложений — особенно от неизвестных аккаунтов в LinkedIn.
• Настроить DLP и EDR на обнаружение фрагментированной эксфильтрации и аномалий при выгрузке PST/архивов; логировать и коррелировать события автозагрузки и неожиданных изменений в списках DLL.
• Проводить регулярный threat hunting с фокусом на признаках обфускации (динамическая дешифровка с XOR/LCG), необычных точках входа и подозрительных запросах Winlogon/Outlook на ввод учетных данных.

Вывод

Операции UNC1549 демонстрируют зрелый и скрытный набор тактик: от целевой социальной инженерии до технически выверенной архитектуры C2 и продуманной эксфильтрации. Комбинация подписанных бинарников, DLL‑загрузки, обфускации и облачных сервисов делает их действия труднодетектируемыми, особенно в окружениях с ограниченным уровнем наблюдаемости. Для защиты критических телеком-инфраструктур требуется сочетание технических мер (контроль загрузки модулей, мониторинг облачного трафика, DLP/EDR) и организационных практик (контроль рекрутинговых каналов, обучение персонала, ограничение привилегий).

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "UNC1549: бэкдор и кейлоггер против телекоммуникационных сетей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.