伊朗駭客UNC1549鎖定航太與國防領域而來，透過第三方供應商及VDI環境從事供應鏈攻擊

近年來因國際局勢加劇，國防、航太，以及航空產業成為許多國家級駭客下手的目標，其中伊朗駭客組織對中東地區從事網路間諜活動的情況，引起資安業者的注意。

資安業者Mandiant本週揭露伊朗駭客組織對中東地區的網路間諜活動，警告UNC1549的活動於去年中旬開始出現變化。這群駭客長年鎖定中東地區的國防、航太，以及航空產業，為了能夠取得受害企業組織的初始存取權限，現在他們採取雙重策略來達到目的，其中一種是利用精心設計的網釣活動，竊取憑證與散布惡意軟體；另一種是利用第三方供應商與合作夥伴的信任連線，做為發動攻擊的管道。

Mandiant提及，對於國防承包商等資安成熟度較高的組織，他們通常投入大量資源進行防禦，不過，面對第三方供應商及合作夥伴之間的保護措施可能較為寬鬆，若是攻擊者事先入侵外部夥伴，往往能降低突破的資安防護的難度。

UNC1549的活動最早可追溯到2023年底，通常會使用複雜的初始存取管道來接觸目標組織，除了從第三方關係組織取得存取管道，以及透過高針對性的網路釣魚，他們也會透過Citrix、VMware，以及Azure的虛擬桌面基礎架構（VDI），來達到目的。

一旦成功進入網路環境，駭客就會運用特殊的橫向移動手法，其中一種手法是竊取受害組織的原始碼，運用相似的網域名稱從事釣魚活動，繞過代理伺服器，此外也有濫用內部服務的工單系統，取得憑證的情況。過程裡他們使用自製的工具，其中一種是名為DCSyncer.Slick的工具，UNC1549透過搜尋順序挾持手法進行部署，並用來從事DCSync攻擊。

針對這波攻擊活動的特點，Mandiant強調駭客會預測資安人員的調查，並確保東窗事發仍能繼續活動，其中一種做法是放置後門及Beacon，但長達數個月處於沒有活動的狀態，只有受害組織嘗試清理的時候才會啟動，並重新得到存取權限。再者，他們採用隱密的C2系統，並運用大量反向的SSH Shell，並模仿受害組織產業有關的活動。

為了持續在受害組織活動，他們運用一系列的自製工具，其中包含以C++與Go語言打造的後門程式TwoStroke和DeepRoot、隧道工具LightRail、GhostLine，以及PollBlend；再者，他們運用CrashPad解密瀏覽器存放的帳密資料，並使用SightGrab截圖，以及透過TrustTrap誘騙使用者輸入帳密資料。

而在偵察及橫向移動，UNC1549多半運用合法工具來達到目的，其中包含AD Explorer，以及遠端管理、稽核、支援工具Atelier Web Remote Commander（AWRC）。再者，他們也透過名為SCCMVNC的工具，濫用微軟系統中心組態管理工具（SCCM）的遠端控制功能，而在無須第三方模組，以及不需使用者同意的情況下，建立VNC連線。

在成功入侵搜括機敏資料後，他們還會將受害組織當作據點，用來對其他企業組織下手，進行供應鏈攻擊，推進情報收集的目標。

針對UNC1549的活動，Mandiant於去年2月首度揭露，當時這些駭客假借與以色列及哈馬斯相關的內容，或是職缺和登入網頁的名義，散布後門程式Minibike與Minibus，藉此進行情報收集，並將受害電腦當作入侵企業組織的據點。