Анализ активности группировки UNC1549 выявляет хорошо организованную операцию с широким набором тактик, методов и процедур (TTP), направленных на сбор разведданных и массовую эксфильтрацию информации из целевых сетей. В центре внимания — аэрокосмическая и оборонная отрасли, где злоумышленники стремятся получить доступ через доверенные внешние связи и затем длительно удерживать присутствие в инфраструктуре жертвы.
Ключевые выводы
- Первоначальный доступ: социальная инженерия и компрометация сторонних учетных записей (учетные данные от доверенных внешних организаций); злоупотребление такими сервисами как Citrix, VMware и Azure Virtual Desktop.
- Вредоносная экосистема: несколько пользовательских бэкдоров и туннелей (MINIBIKE, TWOSTROKE, DEEPROOT, LIGHTRAIL, GHOSTLINE, POLLBLEND) с разными языками и платформами.
- Обход защит: подпись вредоносного ПО легитимными сертификатами, перехват DLL search order, удаление следов для уклонения от судебной экспертизы.
- Кража учетных данных и эскалация привилегий: специализированные инструменты (DCSYNCER.SLICK, CRASHPAD, TRUSTTRAP, SIGHTGRAB).
- Командование и управление (C2): Microsoft Azure Web Apps и обратные SSH-туннели для маскировки каналов управления и эксфильтрации.
Методы первоначального доступа
UNC1549 регулярно использует методы социальной инженерии и целевые spear phishing-кампании, в том числе с предложениями о трудоустройстве, чтобы заставить сотрудников раскрыть учетные данные или запустить вредоносные вложения. Часто начальная точка создается через компрометацию учетных записей третьих сторон: полученные от доверенных организаций логины позволяют злоумышленникам аутентифицироваться в окружении жертвы и обходить первичные барьеры безопасности. В ряде случаев злоумышленники эксплуатируют удалённые сервисы — Citrix, VMware, Azure Virtual Desktop — для получения опоры внутри сети.
Инструменты, бэкдоры и техники закрепления
- MINIBIKE: пользовательский бэкдор (описание поведения — избегание обнаружения и долгосрочное поддержание доступа).
- TWOSTROKE: бэкдор на C++, коммуницирующий по SSL-зашифрованным каналам; предоставляет возможности системного перечисления и работы с файлами.
- DEEPROOT: бэкдор для Linux-платформ.
- LIGHTRAIL: туннелирующий компонент, загруженный из инфраструктуры злоумышленников и запущенный посредством перехвата порядка поиска DLL (DLL search order hijacking).
- GHOSTLINE и POLLBLEND: утилиты туннелирования, написанные на Golang и C++ соответственно, демонстрирующие разноязычный арсенал для связи и эксфильтрации.
- Применение легитимных сертификатов подписи кода для подписи вредоносных бинарников с целью обхода allowlists и уменьшения подозрительности при запуске.
Кража учетных данных и повышение привилегий
Для получения и расширения доступа злоумышленники применяют ряд специализированных инструментов:
- DCSYNCER.SLICK — имитирует поведение DCSync для извлечения NTLM-хэшей с контроллеров домена;
- CRASHPAD — извлекает учетные данные, сохранённые в веб-браузерах;
- SIGHTGRAB — делает снимки экрана для сбора конфиденциальной визуальной информации;
- TRUSTTRAP — реализует фишинговые всплывающие окна, обманывая пользователя и получая учетные данные интерактивно.
Разведка, латеральное перемещение и C2
Для разведки во внутренних сетях группа использует как легитимные, подписанные Microsoft утилиты, так и встроенные команды Windows. Для удалённого управления и поддержки действий после компрометации были зафиксированы потребление коммерческих RAT/административных утилит — Atelier Web Remote Commander и SCCMVNC.
Инфраструктура C2 включает Microsoft Azure Web Apps, используемые как маскируемые контролируемые приложения, а также обратные SSH-туннели, применяемые для усложнения трассировки трафика и эксфильтрации данных.
Мотивы и цели
Деятельность UNC1549 определяется шпионскими целями: извлечение конфиденциальной информации, интеллектуальной собственности и использование скомпрометированных организаций как плацдарма для проникновения к партнёрам и поставщикам внутри той же отрасли.
Тактики обхода защиты и OPSEC
- Удаление артефактов судебной экспертизы и следов активности для затруднения расследований.
- Использование SSH-туннелей и обратных прокси для маскировки C2-трафика.
- Подпись вредоносного ПО легитимными сертификатами для обхода allowlists и снижения подозрительности.
- Перехват порядка поиска DLL для скрытого запуска компонентов и поддержания присутствия.
«Действия UNC1549 были классифицированы в соответствии с системой MITRE ATT&CK, иллюстрируя их методы — от первоначального доступа до сбора данных и стратегий обхода защиты.»
Соответствие MITRE ATT&CK
Поведение группировки укладывается в модели MITRE ATT&CK на протяжении всего жизненного цикла атаки: Initial Access (социальная инженерия, компрометация учетных записей), Execution (DLL search order hijacking), Persistence (подписанные бинарники, бэкдоры), Privilege Escalation (DCSync-подобные методы), Credential Access (кража браузерных учетных данных, фишинг), Discovery (встроенные инструменты и утилиты), Lateral Movement (коммерческие RDP/remote control решения, использование доверенных учетных записей), Collection/Exfiltration (скриншоты, массовая эксфильтрация) и Defense Evasion (удаление артефактов, подписанные сертификаты, туннелирование).
Рекомендации по защите
- Внедрить многофакторную аутентификацию (MFA) для всех внешних и критичных сервисов, включая Citrix, VMware и Azure Virtual Desktop.
- Ограничить и мониторить использование учетных записей третьих сторон и предусмотреть отдельные каналы доступа для партнеров.
- Настроить EDR/IDS на детекцию DLL search order hijacking, необычных загрузок модулей и подписанных бинарников от неизвестных издателей.
- Контролировать и логировать попытки DCSync/replication и аномальные операции на контроллерах домена; блокировать неожиданные запросы репликации.
- Отслеживать использование Azure Web Apps и подозрительную активность обратных SSH-туннелей; внедрить сеть разрешённых приложений и сегментацию для предотвращения эксфильтрации.
- Обучать сотрудников распознавать targeted spear phishing (включая «job lure») и фишинговые всплывающие окна.
- Регулярно проверять и отзывать легитимные сертификаты подписи, которые могут быть украдены или использованы злоумышленниками.
Заключение
UNC1549 — это гибкая и технически подготовленная группировка, использующая многоязычные инструменты, подписанные бинарники и техники маскировки, что делает её заметной и持续威胁 для аэрокосмической и оборонной отраслей. Их устойчивое развитие оперативных приёмов подчёркивает необходимость проактивной защиты, постоянного мониторинга и обмена информацией о новых индикаторах компрометации между организациями отрасли.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNC1549 (Иран): TTP и бэкдоры — угроза аэрокосмическому и оборонному сектору".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.