Ирански шпионси, свързвани с групата UNC1549 (известна още като GalaxyGato, Nimbus Manticore или Subtle Snail), продължават да провеждат целенасочени кибератаки срещу авиационни, аерокосмически и отбранителни компании. Според анализи на Mandiant кампанията е активна от края на 2023 г. до 2025 г. и използва комбинация от сложни вектори за първоначално проникване.

Акцент върху компрометирани доставчици и целеви фишинг

Основна характеристика на атаките е злоупотребата с доверени партньорски отношения. Групата пробива първо по-слабо защитени външни доставчици, след което използва техните достъпи, за да проникне в мрежите на стратегическите цели. Това включва:

• злоупотреба с акаунти за Citrix, VMWare и Azure Virtual Desktop/Application,

• VDI breakout техники за излизане от виртуализирани среди,

• насочени фишинг имейли към ключови роли, включително ИТ администратори.

Отделно, атака чрез LinkedIn с примамки за работа също е отчетена, включително в по-ранни кампании, при които UNC1549 е успяла да компрометира поне 11 европейски телекома.

Специално таргетиране на администратори и ескалация на привилегии

UNC1549 често се насочва към служители с администраторски привилегии, използвайки spear-phishing имейли, които ги подмамват да свалят зловреден код. След установяване на достъп към корпоративната мрежа нападателите извършват:

• разузнаване,

• кражба на идентификационни данни,

• странично придвижване,

• укриване от защити и

• извличане на чувствителни данни.

Често атаките завършват с кражба на интелектуална собственост, вътрешна документация и имейл кореспонденция.

Оръжейният арсенал на UNC1549

Групата използва богата колекция от собствени и публични инструменти:

Основни зловредни компоненти

• MINIBIKE (SlugResin) – C++ бекдор за събиране на системни данни, кейлогинг, кражба на Outlook и браузърни креденшъли, екранни снимки и зареждане на допълнителни полезни товари.

• TWOSTROKE – C++ бекдор с функции за персистентност, файлови операции и DLL зареждане.

• DEEPROOT – Golang бекдор за Linux, поддържащ командна обвивка и файлови операции.

• LIGHTRAIL – тунелинг инструмент, използващ инфраструктура на Azure, вероятно базиран на Lastenzug.

• GHOSTLINE – Golang тунелър с твърдо зададен домейн за C2.

• POLLBLEND – Windows тунелър с C2 адреси, компилирани в кода.

• DCSYNCER.SLICK – инструмент за DCSync атаки с цел повишаване на привилегии.

• CRASHPAD – кражба на браузърни креденшъли.

• SIGHTGRAB – инструмент за периодични скрийншотове.

• TRUSTTRAP – механизъм за подвеждане на потребители да въведат Microsoft акаунт парола.

Използване на легитимни инструменти

• AD Explorer – за рекогносцировка в Active Directory,

• AWRC (Atelier Web Remote Commander) – за дистанционен достъп и кражба на данни,

• SCCMVNC – за отдалечен контрол.

Групата премахва RDP история и други артефакти, за да ограничи форензиката след проникване.

Персистентност и укриване: „тихото присъствие“

Според Mandiant UNC1549 не просто прониква – те остават вътре месеци наред, използвайки бекдори, които мълчаливо изпращат контролни сигнали, но активират пълните си функции едва след опит на жертвата да отстрани заразата.

Освен това групата широко разчита на reverse SSH сесии, които значително усложняват разследването, и домейни, имитиращи индустрията на жертвата, за да избегнат откриване.

Кампанията на UNC1549 показва високо ниво на планиране, технологична зрялост и стратегическо използване на supply-chain слабости. Комбинацията от таргетиран фишинг, злоупотреба с доставчици, богати бекдори и продължително присъствие превръща групата в една от най-опасните кибершпионски единици, насочени към критични сектори.