«Иранская группа кибершпионажа, известная как UNC1549, использует сложный метод работы, используя множество инструментов и техник для проведения долгосрочных кампаний против телекоммуникационных сетей.»
Новый анализ показывает, что UNC1549 ведет целенаправленные, продолжительные операции против телекоммуникационных операторов, комбинируя социальную инженерию, подписанные легитимные бинарные файлы и сложные механизмы загрузки вредоносных библиотек. Их цель — невидимо закрепиться в инфраструктуре и эксфильтрировать конфиденциальные данные, включая PST‑файлы Outlook и другие крупные архивы, не привлекая внимания средств обнаружения и DLP‑систем.
Ключевые компоненты и инструментарий
- Основной бэкдор: реализован так, чтобы загружать дополнительные DLL в скомпрометированные системы; использует C2‑связь и алгоритм на основе XOR для динамической дешифровки строк во время выполнения (с разными процедурами дешифровки в зависимости от длины строк).
- Кейлоггер через DLL: загружается через C2 и применяет методы линейного конгруэнтного генератора (LCG) для динамического дешифрования строк и обфускации, инициализируемой разными начальными значениями — это усложняет статический анализ.
- Браузер‑похититель: собирает данные из браузеров жертв.
- Похититель Outlook/Winlogon: имитирует вводящие в заблуждение запросы на вход в систему, вынуждая пользователей раскрывать учетные данные Windows и Outlook.
Тактика первоначального доступа и закрепления
Методология UNC1549 начинается с углублённой разведки. Группа профилирует целевой персонал — в первую очередь исследователей и ИТ‑администраторов — чтобы выявить людей с повышенным доступом к критическим системам. Для сбора данных активно используются общедоступные источники, включая LinkedIn.
Для завлечения жертв атакующие создают поддельные учетные записи отдела кадров и рассылают сфабрикованные предложения о работе. Эти целевые фишинговые кампании приводят к тому, что жертвы скачивают и запускают вредоносные библиотеки DLL, которые загружаются в подписанные двоичные файлы, ассоциированные с исполняемыми файлами, работающими с высокими привилегиями. Такой подход (DLL sideloading через легитимные, подписанные бинарники) обеспечивает выполнение кода без срабатывания ряда механизмов обнаружения.
Для достижения устойчивости бэкдор настроен на автозагрузку при старте системы, а для повышения привилегий атакующие используют запуск легитимных бинарных файлов с повышенными правами.
Архитектура C2 и методы эксфильтрации
Командно‑контрольная инфраструктура UNC1549 маскируется под легитимный трафик, используя облачные сервисы Azure. Это позволяет смешать вредоносные коммуникации с обычными запросами и снизить вероятность блокировки.
Сбор и вывоз данных организованы стратегически:
- Вредоносное ПО автоматически идентифицирует и подготавливает чувствительные файлы для передачи.
- Применяется фрагментированная загрузка (chunked transfer) для передачи больших объёмов данных — в том числе PST — по частям, чтобы не создавать всплесков трафика и не триггерить системы предотвращения потери данных (DLP) или мониторинг пропускной способности.
- Такие меры повышенной операционной безопасности позволяют сохранять долгосрочный доступ и регулярно извлекать конфиденциальную информацию.
Воздействие и риски для целевых организаций
Деятельность UNC1549 сочетает целевую разведку и устойчивое присутствие в критически важных сетях, что приводит к повышенному риску утечки данных и компрометации инфраструктуры. Для телеком‑операторов последствия могут включать утечку клиентских данных, нарушенную работу сервисов и риск дальнейшего распространения в смежные подсистемы.
Рекомендации по защите
- Усилить мониторинг исходящих соединений к облачным платформам (Azure) и анализировать аномалии в поведении сервисов, маскирующихся под легитимный трафик.
- Проверять целостность и цепочку подписей используемых бинарников; внедрить контроль над загрузкой сторонних DLL и политики запрета DLL sideloading там, где это возможно.
- Ограничить привилегированные выполнения: минимизировать случаи запуска приложений с повышенными правами и контролировать процессы, загружающие дополнительные модули.
- Внедрить многофакторную аутентификацию для систем Windows и Outlook и обучение персонала проверки рекрутинговых предложений — особенно от неизвестных аккаунтов в LinkedIn.
- Настроить DLP и EDR на обнаружение фрагментированной эксфильтрации и аномалий при выгрузке PST/архивов; логировать и коррелировать события автозагрузки и неожиданных изменений в списках DLL.
- Проводить регулярный threat hunting с фокусом на признаках обфускации (динамическая дешифровка с XOR/LCG), необычных точках входа и подозрительных запросах Winlogon/Outlook на ввод учетных данных.
Вывод
Операции UNC1549 демонстрируют зрелый и скрытный набор тактик: от целевой социальной инженерии до технически выверенной архитектуры C2 и продуманной эксфильтрации. Комбинация подписанных бинарников, DLL‑загрузки, обфускации и облачных сервисов делает их действия труднодетектируемыми, особенно в окружениях с ограниченным уровнем наблюдаемости. Для защиты критических телеком-инфраструктур требуется сочетание технических мер (контроль загрузки модулей, мониторинг облачного трафика, DLP/EDR) и организационных практик (контроль рекрутинговых каналов, обучение персонала, ограничение привилегий).
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNC1549: бэкдор и кейлоггер против телекоммуникационных сетей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.