Beobachtungen
Seit Mitte 2024 greift, wie Mandiant bereits damals berichtete, die Gruppierung UNC1549 Ziele in der Luft-, Raumfahrt- und Verteidigungsindustrie an. Ihr Fokus liegt dabei auf der Suche nach sensiblen Informationen, darunter Netzwerk-/IT-Dokumentation, geistiges Eigentum und E-Mails. Darüber hinaus nutzt UNC1549 häufig kompromittierte Organisationen als Dreh- und Angelpunkt und nutzt deren Zugang, um andere Unternehmen, insbesondere solche aus derselben Branche, anzugreifen. So führt sie Angriffe auf Drittanbieter und Partner durch, um ihre Ziele im Bereich der Informationsbeschaffung voranzutreiben.
Methoden
UNC1549 ist seit Ende 2023 aktiv und nutzt ausgeklügelte Initial-Access-Vektoren, darunter Supply-Chain-Attacks, VDI-Breakouts und Phishing. Einmal im System, nutzt die Gruppe unterschiedliche Techniken zur lateralen Bewegung.
Zu den Techniken zählen beispielsweise der Missbrauch von Quellcode der Opfer für spätere Spear-Phishing-Kampagnen, die ähnliche Domains verwenden, um Proxys zu umgehen. Daneben verwenden sie interne Service-Ticketsysteme für den Zugriff auf Anmeldedaten. Auch der Einsatz maßgeschneiderter Tools, insbesondere DCSYNCER.SLICK, zählt zu ihrem Arsenal.
UNC1549 konzentriert sich darauf, nach einer Entdeckung eine langfristige Persistenz sicherzustellen. Sie platzieren hierfür Backdoors, die erst aktiv werden, um wieder Zugriff zu erhalten, nachdem das Opfer versucht hat, sie zu beseitigen. Durch Einsatz von Reverse-SSH-Shells und Domains, die die Branche des Opfers imitieren, tarnt sich die Gruppierung und ihre C2-Strukturen ab.
Attribution
Aufgrund der verwendeten Techniken, Taktiken und Prozeduren geht Mandiant davon aus, dass UNC1549 Verbindungen zum Iran unterhält.
Empfehlungen
Mandiant stellt einen aktuellen ausführlichen Bericht inklusive IOCs zur Verfügung. Wir empfehlen daher allen Stellen aus den Bereichen Luft- und Raumfahrt- sowie Verteidigungsindustrie ihre Systeme anhand der IOCs zu überprüfen.