новости
May 29

UNC1549

Иранский ‎ UNC1549 нацелен‏ ‎на ‎израильский ‎и ‎ближневосточный ‎аэрокосмический‏ ‎и ‎оборонный‏ ‎секторы:

📌Идентификация‏ ‎участника ‎угрозы: рассматривается ‎деятельность‏ ‎UNC1549, ‎предполагаемого‏ ‎иранского ‎агента ‎угрозы. ‎Эта‏ ‎группировка‏ ‎также ‎известна‏ ‎под ‎другими‏ ‎названиями, ‎такими ‎как ‎”Черепаховый ‎панцирь”‏ ‎и‏ ‎”Дымчатая ‎песчаная‏ ‎буря”, ‎и‏ ‎связана ‎с ‎Корпусом ‎стражей ‎исламской‏ ‎революции‏ ‎Ирана‏ ‎(КСИР).

📌Целевые ‎секторы‏ ‎и ‎регионы: UNC1549‏ ‎нацелен ‎на‏ ‎аэрокосмическую,‏ ‎авиационную ‎и‏ ‎оборонную ‎промышленность ‎Ближнем ‎Востоке, ‎затрагивая‏ ‎такие ‎страны,‏ ‎как‏ ‎Израиль, ‎ОАЭ ‎и,‏ ‎возможно, ‎Турцию,‏ ‎Индию ‎и ‎Албанию.

📌Продолжительность ‎кампании‏ ‎и‏ ‎методы ‎ее‏ ‎проведения: Кампания ‎проводится‏ ‎как ‎минимум ‎с ‎июня ‎2022‏ ‎года.‏ ‎Группа ‎использует‏ ‎сложные ‎методы‏ ‎кибершпионажа, ‎включая ‎скрытый ‎фишинг, ‎социальную‏ ‎инженерию‏ ‎и‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎Microsoft‏ ‎Azure ‎для‏ ‎C2.‏ ‎Они ‎используют‏ ‎различные ‎”приманки” ‎на ‎тему ‎предложения‏ ‎работ ‎и‏ ‎поддельные‏ ‎веб-сайты ‎для ‎внедрения‏ ‎вредоносного ‎ПО.

📌Вредоносные‏ ‎программы ‎и ‎инструменты: Два ‎основных‏ ‎бэкдора,‏ ‎MINIBIKE ‎и‏ ‎MINIBUSUS, ‎используются‏ ‎для ‎проникновения ‎в ‎целевые ‎сети‏ ‎и‏ ‎закрепления. ‎Эти‏ ‎инструменты ‎позволяют‏ ‎собирать ‎информацию ‎и ‎осуществлять ‎дальнейшее‏ ‎проникновение‏ ‎в‏ ‎сеть.

📌Стратегические ‎последствия:‏ ‎ Разведданные, ‎собранные‏ ‎в ‎результате‏ ‎этой‏ ‎шпионской ‎деятельности,‏ ‎считаются ‎имеющими ‎стратегическое ‎значение ‎для‏ ‎иранских ‎интересов‏ ‎и‏ ‎потенциально ‎влияющими ‎как‏ ‎на ‎шпионаж,‏ ‎и ‎другие ‎операции.

📌Методы ‎предотвращения‏ ‎обнаружения: UNC1549‏ ‎использует ‎различные‏ ‎методы, ‎чтобы‏ ‎избежать ‎обнаружения ‎и ‎анализа. ‎К‏ ‎ним‏ ‎относятся ‎широкое‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎для ‎маскировки ‎своей ‎деятельности‏ ‎и‏ ‎создание‏ ‎поддельных ‎веб-сайтов‏ ‎о ‎вакансиях‏ ‎и ‎профилей‏ ‎в‏ ‎социальных ‎сетях‏ ‎для ‎распространения ‎вредоносного ‎ПО.

📌Текущее ‎состояние: Согласно‏ ‎последним ‎отчетам‏ ‎за‏ ‎февраль ‎2024 ‎года,‏ ‎кампания ‎остается‏ ‎активной, ‎и ‎компании, ‎занимающиеся‏ ‎кибербезопасностью,‏ ‎такие ‎как‏ ‎Mandiant ‎и‏ ‎Crowdstrike, ‎продолжают ‎предпринимать ‎усилия ‎по‏ ‎мониторингу‏ ‎и ‎противодействию‏ ‎этой ‎деятельности

Подпишись: Boosty, TG