Από τα μέσα του 2024, μια εξελιγμένη ομάδα απειλών που υποστηρίζεται από το Ιράν, γνωστή ως UNC1549, διεξάγει στοχευμένες εκστρατείες κατά της αεροδιαστημικής, της αεροπορίας και των αμυντικών οργανισμών σε όλο τον κόσμο.
Οι χάκερ χρησιμοποιούν μια προηγμένη διπλή προσέγγιση, που συνδυάζει προσεκτικά κατασκευασμένες εκστρατείες phishing με την εκμετάλλευση αξιόπιστων συνδέσεων μεταξύ των πρωταρχικών στόχων και των τρίτων προμηθευτών τους.
Αυτή η στρατηγική αποδεικνύεται ιδιαίτερα αποτελεσματική ενάντια σε καλά αμυνόμενους οργανισμούς όπως οι εργολάβοι άμυνας, οι οποίοι συχνά αφήνουν τους προμηθευτές τους ως πιο ήπιους στόχους για αρχικό συμβιβασμό.
Οι επιχειρησιακές μέθοδοι της ομάδας απειλών επιδεικνύουν σημαντική εξέλιξη και τακτική πολυπλοκότητα. Λειτουργώντας από τα τέλη του 2023 έως το 2025, το UNC1549 αξιοποιεί ιδιαίτερα στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος που σχετίζονται με ρόλους για να δημιουργήσει αρχικά ερείσματα.
Μόλις εισέλθουν σε ένα δίκτυο, χρησιμοποιούν τεχνικές δημιουργικής πλευρικής κίνησης, συμπεριλαμβανομένης της κλοπής του πηγαίου κώδικα του θύματος για τη δημιουργία εκστρατειών ψαρέματος με δόρυ χρησιμοποιώντας όμοιους τομείς που παρακάμπτουν τους διακομιστές μεσολάβησης ασφαλείας.
Η ομάδα καταχράται επίσης εσωτερικά συστήματα έκδοσης εισιτηρίων για να συλλέξει διαπιστευτήρια από ανυποψίαστους υπαλλήλους.
Αναλυτές ασφαλείας Google Cloud αναγνωρισθείς ότι το UNC1549 αναπτύσσει προσαρμοσμένα εργαλεία που έχουν σχεδιαστεί ειδικά για να αποφεύγουν τον εντοπισμό και να περιπλέκουν τις ιατροδικαστικές έρευνες.
Σημειωτέον, κάθε ωφέλιμο φορτίο μετά την εκμετάλλευση που εντοπίστηκε κατά τη διάρκεια των ερευνών έφερε ένα μοναδικό κατακερματισμό, ακόμη και όταν εμφανίζονταν πολλά δείγματα της ίδιας παραλλαγής backdoor μέσα σε ένα δίκτυο θύματος.
Αυτό το επίπεδο προσαρμογής υπογραμμίζει τους σημαντικούς πόρους και τη δέσμευση του ομίλου στη λειτουργική ασφάλεια.
Μία από τις πιο σημαντικές τεχνικά πτυχές των λειτουργιών του UNC1549 περιλαμβάνει τη χρήση της πειρατείας εντολών αναζήτησης για επιμονή κακόβουλου λογισμικού.
Αυτή η τεχνική περιλαμβάνει την τοποθέτηση κακόβουλων DLL σε νόμιμους καταλόγους εγκατάστασης λογισμικού, επιτρέποντας στους εισβολείς να επιτύχουν μόνιμη εκτέλεση όταν οι διαχειριστές ή οι χρήστες εκτελούν το νόμιμο λογισμικό.
.webp.png)
Η ομάδα έχει εκμεταλλευτεί με επιτυχία αυτήν την ευπάθεια σε ευρέως χρησιμοποιούμενες εταιρικές λύσεις, συμπεριλαμβανομένων των εκτελέσιμων αρχείων FortiGate, VMWare, Citrix, Microsoft και NVIDIA.
Αρχική πρόσβαση
Σε αυτές τις περιπτώσεις, οι ερευνητές εντόπισαν ότι το UNC1549 εγκατέστησε σκόπιμα νόμιμο λογισμικό μετά την απόκτηση αρχικής πρόσβασης, ειδικά για κατάχρηση αυτής της δυνατότητας πειρατείας εντολής αναζήτησης DLL.
Η κερκόπορτα TWOSTROKE αποτελεί παράδειγμα αυτής της τεχνικής πολυπλοκότητας. Αυτή η προσαρμοσμένη κερκόπορτα C++ επικοινωνεί μέσω συνδέσεων TCP κρυπτογραφημένων με SSL στη θύρα 443, καθιστώντας δύσκολη τη διάκριση από τη νόμιμη κυκλοφορία.
Κατά την εκτέλεση, το TWOSTROKE δημιουργεί ένα μοναδικό αναγνωριστικό θύματος ανακτώντας το πλήρως πιστοποιημένο όνομα υπολογιστή DNS χρησιμοποιώντας τη συνάρτηση API των Windows GetComputerNameExW(ComputerNameDnsFullyQualified).
Αυτό το όνομα υφίσταται κρυπτογράφηση XOR χρησιμοποιώντας ένα στατικό κλειδί, μετατρέπεται σε πεζούς δεκαεξαδικούς χαρακτήρες και εξάγει τους πρώτους οκτώ χαρακτήρες πριν τους αντιστρέψει για να δημιουργήσει το αναγνωριστικό ρομπότ.
Το σύνολο εντολών του TWOSTROKE επιτρέπει εκτεταμένες δυνατότητες μετά τον συμβιβασμό, συμπεριλαμβανομένης της συλλογής πληροφοριών συστήματος, της δυναμικής φόρτωσης DLL, του χειρισμού αρχείων και της μόνιμης λειτουργικότητας backdoor.
Το κακόβουλο λογισμικό λαμβάνει ωφέλιμα φορτία με εξαγωνική κωδικοποίηση από διακομιστές εντολών που περιέχουν πολλαπλές εντολές που χωρίζονται με οριοθέτες “@##@”. Οι εντολές κυμαίνονται από μεταφορτώσεις αρχείων και εκτέλεση εντολών φλοιού έως λειτουργίες καταχώρισης καταλόγου και διαγραφής αρχείων.
Η καμπάνια του UNC1549 δίνει προτεραιότητα στη μακροπρόθεσμη επιμονή και αναμένει την ανταπόκριση του ερευνητή. Αναπτύσσουν στρατηγικά κερκόπορτες που παραμένουν αδρανείς για μήνες, ενεργοποιώντας μόνο αφού τα θύματα επιχειρήσουν αποκατάσταση.
Αυτή η προσέγγιση, σε συνδυασμό με εκτεταμένη χρήση αντίστροφου κελύφους SSH και τομείς που μιμούνται τις βιομηχανίες θύματα, δημιουργεί ένα απαιτητικό επιχειρησιακό περιβάλλον για τους υπερασπιστές.
