Inhalt
Iranische Cyber-Spionagegruppen haben ihre Angriffe auf die Luft- und Raumfahrt, die Luftfahrt und den Verteidigungssektor im Nahen Osten mit ausgefeilter Malware wie TWOSTROKE und DEEPROOT verstärkt. Diese Operationen werden der Bedrohungsgruppe UNC1549 zugeschrieben, auch bekannt als Nimbus Manticore oder Subtle Snail, identifiziert von der Google-eigenen Cybersicherheitsfirma Mandiant. Die Aktivitäten von UNC1549 reichen von Ende 2023 bis voraussichtlich 2025 und nutzen komplexe Methoden, um in Zielnetzwerke einzudringen. Sie nutzen Drittanbieterbeziehungen aus, beginnen oft mit Dienstleistern, um Zugang zu ihren eigentlichen Zielen zu erhalten, und verwenden Virtual Desktop Infrastructure (VDI)-Ausbrüche, um sich lateral innerhalb der Netzwerke zu bewegen. Spear-Phishing mit Jobangeboten ist eine weitere Schlüsselstrategie, um initialen Zugang zu erlangen.\n\nDie Angriffsstrategie der Gruppe ist besonders clever, da sie Schwachstellen bei Drittanbietern und Partnern ausnutzt, anstatt stark geschützte Hauptziele direkt anzugreifen. Durch das Kapern von Zugangsdaten, die mit Diensten wie Citrix, VMWare und Azure Virtual Desktop verbunden sind, schaffen sie erste Zugänge, bevor sie aus virtuellen Sitzungen ausbrechen, um vollen Systemzugang zu erlangen. Die gezielte Ansprache von IT-Mitarbeitern und Administratoren ist eine weitere Taktik, um Zugangsdaten mit erhöhten Rechten zu erlangen und tiefere Netzwerkpenetration zu ermöglichen. Einmal drinnen, führt UNC1549 umfangreiche Nachnutzungstätigkeiten durch, wie Aufklärung, Diebstahl von Zugangsdaten, laterale Bewegungen und Abwehrumgehung, während wertvolle Netzwerkdokumentationen, geistiges Eigentum und E-Mails extrahiert werden.\n\nUNC1549 verwendet eine Reihe maßgeschneiderter Werkzeuge für ihre Angriffe. MINIBIKE (auch SlugResin genannt) ist ein C++-Backdoor, der Systeminformationen sammelt, Outlook-Zugangsdaten stiehlt, Tastenanschläge protokolliert und Screenshots anfertigt. TWOSTROKE ist ebenfalls ein C++-Backdoor mit Fähigkeiten zum Laden von DLLs und zur Dateimanipulation. DEEPROOT, ein auf Golang basierender Linux-Backdoor, unterstützt die Ausführung von Shell-Befehlen und Dateioperationen. Sie nutzen auch mehrere Tunneling-Utilities wie LIGHTRAIL, GHOSTLINE und POLLBLEND, um heimliche Kommunikation mit ihren Command-and-Control-Servern aufrechtzuerhalten. Weitere Werkzeuge umfassen Utilities zur Extraktion von Zugangsdaten, Privilegienerweiterung und Screenshot-Erfassung.\n\nNeben ihrem Malware-Arsenal nutzt UNC1549 auch öffentlich verfügbare Software wie AD Explorer zur Abfrage von Active Directory und Fernverwaltungswerkzeuge wie Atelier Web Remote Commander (AWRC) und SCCMVNC für Aufklärung und Kontrolle. Sie ergreifen gezielte Maßnahmen, um forensische Untersuchungen zu erschweren, indem sie die Remote Desktop Protocol (RDP)-Verbindungsverläufe aus den Registrierungsschlüsseln löschen. Mandiant hebt die Betonung der Gruppe auf Tarnung und Persistenz hervor, mit Backdoors, die monatelang inaktiv bleiben und nur aktiviert werden, um nach Versuchen der Opfer, sie zu entfernen, erneut Zugang zu erlangen. Ihre Command-and-Control-Infrastruktur imitiert legitime Branchendomains, um die Erkennung weiter zu vermeiden.\n\nDiese Kampagne ist nicht nur wegen ihrer technischen Raffinesse bemerkenswert, sondern auch wegen der Ausnutzung von Schwachstellen in der Lieferkette, einer zunehmend von staatlich unterstützten Bedrohungsakteuren angegriffenen Verwundbarkeit. Der Ansatz spiegelt einen wachsenden Trend in der Cyber-Spionage wider, bei dem Angreifer periphere Einheiten ins Visier nehmen, um hochrangige Ziele zu erreichen. Jüngste Berichte der Schweizer Cybersicherheitsfirma PRODAFT verbinden UNC1549 auch mit Angriffen auf europäische Telekommunikationsunternehmen, was die breite geografische Reichweite und vielfältige Zielauswahl der Gruppe zeigt. Während diese Operationen andauern, müssen Verteidigungs- und Luftfahrtindustrien ihre Sicherheit nicht nur innerhalb ihrer eigenen Netzwerke, sondern über ihre gesamten Lieferketten hinweg verstärken, um sich gegen solche hartnäckigen und anpassungsfähigen Bedrohungen zu schützen.
