Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense.

• Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes.

• Persistance et outillage: UNC1549 déploie plusieurs backdoors personnalisées pour maintenir l’accès, dont MINIBIKE, TWOSTROKE et DEEPROOT. Mandiant note que si les malwares d’initialisation ne sont pas uniques, chaque payload post‑exploitation possède un hash unique, y compris plusieurs échantillons d’une même variante dans un même réseau, pour évasion et entrave aux analyses forensiques.

• DLL Search Order Hijacking (SOH): Le groupe abuse du détournement de l’ordre de recherche des DLL pour exécuter des payloads tels que CRASHPAD, DCSYNCER.SLICK, GHOSTLINE, LIGHTRAIL, MINIBIKE, POLLBLEND, SIGHTGRAB, TWOSTROKE. Les binaires malveillants ciblent des exécutables Fortigate, VMware, Citrix, Microsoft et NVIDIA. Dans de nombreux cas, l’attaquant installe d’abord le logiciel légitime pour l’abuser via SOH; dans d’autres, il remplace/ajoute des DLL malveillantes dans le dossier d’installation existant, souvent avec des privilèges SYSTEM.

• TWOSTROKE (backdoor C++): Communique en SSL via TCP/443, avec collecte d’infos système, chargement de DLL, manipulation de fichiers et persistance. Il génère un bot ID en récupérant le nom DNS FQDN via GetComputerNameExW(ComputerNameDnsFullyQualified), en l’XORant avec une clé statique, puis en convertissant en hex minuscule; les 8 premiers caractères inversés servent d’ID. Commandes supportées:

  • 1: Upload vers le C2
  • 2: Exécuter un fichier ou une commande shell
  • 3: Exécuter une DLL en mémoire
  • 4: Télécharger depuis le C2
  • 5: Récupérer le nom d’utilisateur complet
  • 6: Récupérer le nom de machine complet
  • 7: Lister un répertoire
  • 8: Supprimer un fichier

• LIGHTRAIL (tunneler): Distribué dans un ZIP et exécuté via SOH en tant que VGAuth.dll chargé par VGAuthCLI.exe. Tunneler personnalisé, probablement basé sur le proxy Socks4a Lastenzug, communiquant via infrastructure Azure. Différences notables vs le code Lastenzug: valeur XOR différente pour la résolution d’API (0x41424344 ‘ABCD’), port hardcodé 443 et chemin “/news” (au lieu de paramètres fournis), User‑Agent hardcodé: “Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136”. Un autre échantillon LIGHTRAIL a été soumis à VirusTotal depuis l’Allemagne, avec domaine C2 altéré par l’uploader.

IOCs et TTPs extraits:

  • TTPs: Spear‑phishing ciblant l’IT/admins, reconnaissance sur boîtes mail compromises, DLL search order hijacking, personnalisation de payloads post‑exploitation (hashs uniques), usage d’infrastructure cloud (Azure).
  • Produits/exécutables légitimes abusés: Fortigate, VMware, Citrix, Microsoft, NVIDIA, VGAuthCLI.exe (chargement de VGAuth.dll).
  • Protocoles/artefacts réseau: SSL/TCP 443, chemin C2 “/news”, User‑Agent spécifique ci‑dessus.
  • Outils/malwares cités: TWOSTROKE, LIGHTRAIL, MINIBIKE, DEEPROOT, CRASHPAD, DCSYNCER.SLICK, GHOSTLINE, POLLBLEND, SIGHTGRAB.

Conclusion: Il s’agit d’une analyse de menace détaillant les TTPs, les implants personnalisés et les mécanismes d’évasion d’UNC1549 contre l’écosystème aérospatial et défense.

🧠 TTPs et IOCs détectés

TTP

Spear-phishing ciblant l’IT/admins, reconnaissance sur boîtes mail compromises, DLL search order hijacking, personnalisation de payloads post-exploitation (hashs uniques), usage d’infrastructure cloud (Azure)

IOC

SSL/TCP 443, chemin C2 ‘/news’, User-Agent ‘Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136’

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/analysis-of-unc1549-ttps-targeting-aerospace-defense