UNC1549
Иранский UNC1549 нацелен на израильский и ближневосточный аэрокосмический и оборонный секторы:
📌Идентификация участника угрозы: рассматривается деятельность UNC1549, предполагаемого иранского агента угрозы. Эта группировка также известна под другими названиями, такими как ”Черепаховый панцирь” и ”Дымчатая песчаная буря”, и связана с Корпусом стражей исламской революции Ирана (КСИР).
📌Целевые секторы и регионы: UNC1549 нацелен на аэрокосмическую, авиационную и оборонную промышленность Ближнем Востоке, затрагивая такие страны, как Израиль, ОАЭ и, возможно, Турцию, Индию и Албанию.
📌Продолжительность кампании и методы ее проведения: Кампания проводится как минимум с июня 2022 года. Группа использует сложные методы кибершпионажа, включая скрытый фишинг, социальную инженерию и использование облачной инфраструктуры Microsoft Azure для C2. Они используют различные ”приманки” на тему предложения работ и поддельные веб-сайты для внедрения вредоносного ПО.
📌Вредоносные программы и инструменты: Два основных бэкдора, MINIBIKE и MINIBUSUS, используются для проникновения в целевые сети и закрепления. Эти инструменты позволяют собирать информацию и осуществлять дальнейшее проникновение в сеть.
📌Стратегические последствия: Разведданные, собранные в результате этой шпионской деятельности, считаются имеющими стратегическое значение для иранских интересов и потенциально влияющими как на шпионаж, и другие операции.
📌Методы предотвращения обнаружения: UNC1549 использует различные методы, чтобы избежать обнаружения и анализа. К ним относятся широкое использование облачной инфраструктуры для маскировки своей деятельности и создание поддельных веб-сайтов о вакансиях и профилей в социальных сетях для распространения вредоносного ПО.
📌Текущее состояние: Согласно последним отчетам за февраль 2024 года, кампания остается активной, и компании, занимающиеся кибербезопасностью, такие как Mandiant и Crowdstrike, продолжают предпринимать усилия по мониторингу и противодействию этой деятельности