Кибершпионаж нового уровня: группа UNC1549 годами скрытно атакует аэрокосмическую отрасль

Первоначальное проникновение UNC1549 осуществляет через два основных вектора. Во-первых, группа развертывает тщательно проработанные фишинговые кампании, нацеленные на кражу учетных данных или доставку вредоносного программного обеспечения. Во-вторых, и это особенно стратегически важно, они активно эксплуатируют доверенные подключения с поставщиками и партнерами целевых организаций. Такой подход позволяет обходить основные системы защиты компаний с высоким уровнем безопасности, поскольку поставщики часто имеют менее строгие меры защиты.

Специалисты отмечают, что группа демонстрирует исключительную операционную гибкость. После успешного проникновения UNC1549 переключается на целевые фишинговые кампании против ИТ-персонала и администраторов. Для повышения убедительности атакеры предварительно проводят разведку, изучая переписку в уже скомпрометированных почтовых ящиках для выявления легитимных запросов на сброс паролей.

Эксперты идентифицировали несколько уникальных инструментов, разработанных группой. Среди них бэкдор TWOSTROKE, написанный на C++, который использует SSL-шифрование для соединений через TCP/443. Этот вредоносный код обладает разнообразным набором команд, позволяя собирать системную информацию, загружать библиотеки DLL, манипулировать файлами и обеспечивать устойчивость в системе. Особенностью TWOSTROKE является генерация уникального идентификатора жертвы на основе полного DNS-имени компьютера.

Другой инструмент, LIGHTRAIL, представляет собой туннелирующее программное обеспечение, основанное на открытом исходном коде Socks4a прокси Lastenzug. Группа модифицировала исходный код, увеличив максимальное количество соединений с 250 до 5000 и изменив алгоритмы хеширования. LIGHTRAIL использует облачную инфраструктуру Azure для управления соединениями.

Для операций в Linux-средах группа разработала бэкдор DEEPROOT, написанный на Golang. Этот инструмент поддерживает выполнение shell-команд, перечисление системной информации и операции с файлами. Характерной особенностью DEEPROOT является использование нескольких серверов управления на один экземпляр, что обеспечивает избыточность в случае блокировки одного из серверов.

Особое внимание специалисты уделили инструменту DCSYNCER.SLICK, предназначенному для имитации функции репликации Active Directory DCSync. Этот инструмент, основанный на исходном коде Mimikatz, позволяет злоумышленникам извлекать NTLM-хеши паролей непосредственно с контроллеров домена. Для маскировки UNC1549 выполняет вредоносный код в контексте скомпрометированной учетной записи контроллера домена.

Группа активно использует технику подмены порядка загрузки DLL (DLL search order hijacking) для выполнения таких полезных нагрузок, как CRASHPAD, GHOSTLINE, POLLBLEND и других. Этот метод обеспечивает устойчивый и скрытый способ выполнения их инструментария. UNC1549 продемонстрировала глубокое понимание программных зависимостей, эксплуатируя эту уязвимость в программных решениях Fortigate, VMWare, Citrix, Microsoft и NVIDIA.

В ходе расследований было обнаружено, что UNC1549 подписывает некоторые свои бэкдоры легитимными сертификатами кодовой подписи. Эта тактика помогает вредоносному программному обеспечению избегать обнаружения и обходить системы безопасности, такие как списки разрешенных приложений. Все идентифицированные сертификаты были переданы в соответствующие центры сертификации для отзыва.

Для lateral movement группа использует разнообразные методы, включая RDP, PowerShell Remoting и коммерческие утилиты. В частности, была отмечена активность с использованием Atelier Web Remote Commander (AWRC) - агентless-инструмента для удаленного управления системами Windows. С его помощью злоумышленники устанавливали удаленные подключения, проводили разведку, извлекали учетные данные и развертывали вредоносное программное обеспечение.

Эксперты подчеркивают, что UNC1549 продолжает использовать инфраструктуру Microsoft Azure для управления командными серверами. Кроме того, группа активно применяет обратные SSH-туннели с компрометированных систем, что ограничивает доступность артефактов на хосте во время расследований. Специалисты также обнаружили доказательства развертывания UNC1549 избыточных методов удаленного доступа, включая ZEROTIER и NGROK.

Миссия группы явно мотивирована шпионажем, с фокусом на сбор конфиденциальной информации, включая сетевую документацию, интеллектуальную собственность и электронную почту. Примечательно, что UNC1549 часто использует скомпрометированные организации в качестве плацдарма для атак на другие компании в том же секторе промышленности.

Группа демонстрирует повышенное внимание к операционной безопасности, регулярно удаляя утилиты с компрометированных систем после выполнения и очищая журналы подключений RDP. Сочетание сложных технических методов с тщательным устранением следов деятельности свидетельствует о возросшей операционной безопасности UNC1549 за последний год.

IPv4

• 104.194.215.88
• 13.60.50.172
• 167.172.137.208
• 34.18.42.26
• 4.188.75.206
• 4.240.113.27
• 40.119.176.233
• 46.31.115.92

Domains

• acc-cloud-connection.azurewebsites.net
• ac-connection-status105.azurewebsites.net
• active-az-check-status45.azurewebsites.net
• active-az-check-status675.azurewebsites.net
• active-az-status45.azurewebsites.net
• active-az-status795.azurewebsites.net
• active-internal-log65.azurewebsites.net
• active-internal-logs.azurewebsites.net
• active-intranet-logs.azurewebsites.net
• airbus.usa-careers.com
• airlinecontrolsite.uaenorth.cloudapp.azure.com
• airlinecontrolsite.westus3.cloudapp.azure.com
• airplaneserviceticketings.com
• airseatregister.eastus.cloudapp.azure.com
• airseatsregister.qatarcentral.cloudapp.azure.com
• airseatsregistering.qatarcentral.cloudapp.azure.com
• airtravellog.com
• automationagencybusiness.azurewebsites.net
• automationagencybusiness.com
• browsercheckap.azurewebsites.net
• codesparkle.eastus.cloudapp.azure.com
• connect-acc-492.azurewebsites.net
• connect-acl-492.azurewebsites.net
• customerlistchange.eastus.cloudapp.azure.com
• developercodepro.azurewebsites.net
• developercodevista.azurewebsites.net
• dreamtiniventures.azurewebsites.net
• fdtsprobusinesssolutions.azurewebsites.net
• fdtsprobusinesssolutions.com
• fdtsprobusinesssolutions.eastus.cloudapp.azure.com
• fdtsprobusinesssolutions.northeurope.cloudapp.azure.com
• forcecodestore.com
• hserbhh43.westus3.cloudapp.azure.com
• infrasync-ac372.azurewebsites.net
• intra-az-check-status45.azurewebsites.net
• intra-az-check-status675.azurewebsites.net
• intra-az-status45.azurewebsites.net
• intra-az-status795.azurewebsites.net
• masterflexiblecloud.azurewebsites.net
• mso-internal-log65.azurewebsites.net
• mso-internal-logs.azurewebsites.net
• mso-intranet-logs.azurewebsites.net
• mydocs.qatarcentral.cloudapp.azure.com
• nx425-win4945.azurewebsites.net
• nx4542-win4957.azurewebsites.net
• nxlog-crash-1567.azurewebsites.net
• nxlog-win-1567.azurewebsites.net
• nxversion-win-1567.azurewebsites.net
• nxversion-win32-1127.azurewebsites.net
• overqatfa.northeurope.cloudapp.azure.com
• politicalanorak.com
• queuetestapplication.azurewebsites.net
• skychain13424.azurewebsites.net
• skychain41334.northeurope.cloudapp.azure.com
• skychains42745.eastus.cloudapp.azure.com
• skyticketgrant.azurewebsites.net
• snare-core.azurewebsites.net
• storageboxcloud.northeurope.cloudapp.azure.com
• storagewiz.co.azurewebsites.net
• swiftcode.eastus.cloudapp.azure.com
• swifttiniventures.azurewebsites.net
• terratechworld.eastus.cloudapp.azure.com
• thecloudappbox.azurewebsites.net
• thestorageboxcloud.northeurope.cloudapp.azure.com
• thetacticstore.com
• thevaultapp.westus3.cloudapp.azure.com
• thevaultspace.eastus.cloudapp.azure.com
• tini-ventures.com
• vcphone-ms.azurewebsites.net
• vcs-news.com
• vm-ticket-svc.azurewebsites.net
• vm-tools-svc.azurewebsites.net
• vmware-health-ms.azurewebsites.net