Er is waargenomen dat vermoedelijke door spionage aangedreven dreigingsactoren uit Iran achterdeurtjes als TWOSTROKE en DEEPROOT inzetten als onderdeel van aanhoudende aanvallen gericht op de lucht- en ruimtevaart-, luchtvaart- en defensie-industrie in het Midden-Oosten.
De activiteit is door Mandiant, eigendom van Google, toegeschreven aan een bedreigingscluster dat wordt gevolgd als UNC1549 (ook bekend als Nimbus Manticore of Subtle Snail), die begin vorig jaar voor het eerst werd gedocumenteerd door het dreigingsinformatiebureau.
“UNC1549 was eind 2023 tot en met 2025 actief en maakte gebruik van geavanceerde initiële toegangsvectoren, waaronder misbruik van relaties met derden om toegang te krijgen (van dienstverleners naar hun klanten), VDI-breakouts van derden en zeer gerichte, rolrelevante phishing”, aldus onderzoekers Mohamed El-Banna, Daniel Lee, Mike Stokkel en Josh Goddard.
De onthulling komt ongeveer twee maanden nadat het Zwitserse cyberbeveiligingsbedrijf PRODAFT de hackgroep had gekoppeld aan een campagne gericht op Europese telecommunicatiebedrijven, waarbij met succes elf organisaties werden gehackt als onderdeel van een social engineering-aanval met rekruteringsthema via LinkedIn.
Volgens Google omvatten de infectieketens een combinatie van phishing-campagnes die zijn ontworpen om inloggegevens te stelen of malware te verspreiden en gebruik te maken van vertrouwde relaties met externe leveranciers en partners. De tweede benadering duidt op een bijzonder slimme strategie bij het aanvallen van defensiecontractanten.
Hoewel deze organisaties over het algemeen over een robuuste verdediging beschikken, is dat bij externe partners wellicht niet het geval – een zwakke schakel in de toeleveringsketen die UNC1549 in zijn voordeel bewapent door eerst toegang te krijgen tot een verbonden entiteit om vervolgens de belangrijkste doelwitten ervan te infiltreren.
Vaak brengt dit misbruik met zich mee van inloggegevens die zijn gekoppeld aan services als Citrix, VMWare en Azure Virtual Desktop and Application (VDA) die van deze externe entiteiten zijn verzameld om een eerste voet aan de grond te krijgen en vervolgens de grenzen van de gevirtualiseerde sessies te doorbreken om toegang te krijgen tot het onderliggende hostsysteem en zijwaartse bewegingsactiviteiten binnen het doelnetwerk te initiëren.
Een ander aanvankelijk toegangspad betreft het gebruik van spearphishing-e-mails die beweren verband te houden met vacatures om ontvangers ertoe te verleiden op valse links te klikken en malware naar hun machines te downloaden. Er is ook waargenomen dat UNC1549 zich bij deze aanvallen richtte op IT-personeel en beheerders om inloggegevens met verhoogde rechten te verkrijgen die hen diepere toegang tot het netwerk zouden verlenen.
Zodra de aanvallers een weg naar binnen hebben gevonden, omvatten de activiteiten na de exploitatie verkenningen, het verzamelen van inloggegevens, zijwaartse beweging, het ontduiken van defensie en informatiediefstal, waarbij systematisch netwerk-/IT-documentatie, intellectueel eigendom en e-mails worden verzameld.
Enkele van de aangepaste tools die door de bedreigingsacteur worden gebruikt als onderdeel van deze inspanning, worden hieronder vermeld:
- MINIFIETS (ook bekend als SlugResin), een bekende C++-achterdeur die systeeminformatie verzamelt en extra payloads ophaalt om verkenningen uit te voeren, toetsaanslagen en klembordinhoud te loggen, Microsoft Outlook-inloggegevens te stelen, webbrowsergegevens van Google Chrome, Brave en Microsoft Edge te verzamelen en schermafbeeldingen te maken
- TWEE SLAGeen C++-achterdeur die het verzamelen van systeeminformatie, het laden van DLL’s, bestandsmanipulatie en persistentie mogelijk maakt
- DIEPworteleen op Golang gebaseerde Linux-achterdeur die de uitvoering van shell-opdrachten, de opsomming van systeeminformatie en bestandsbewerkingen ondersteunt
- LIGHTRAILeen aangepaste tunneler die waarschijnlijk gebaseerd is op Lastenzug, een open-source Socks4a-proxy die communiceert via de Azure-cloudinfrastructuur
- SPOOKLIJNeen op Golang gebaseerde Windows-tunneler die een hardgecodeerd domein gebruikt voor zijn communicatie
- POLLBLENDeen C++ Windows-tunneler die hardgecodeerde command-and-control (C2)-servers gebruikt om zichzelf te registreren en de tunnelerconfiguratie te downloaden
- DCSYNCER.SLICKeen Windows-hulpprogramma gebaseerd op DCSyncer om DCSync-aanvallen uit te voeren voor escalatie van bevoegdheden
- CRASHPADeen C++ Windows-hulpprogramma om inloggegevens te extraheren die zijn opgeslagen in webbrowsers
- ZICHTGRABeen C Windows-hulpprogramma, selectief ingezet om met regelmatige tussenpozen schermafbeeldingen te maken en deze op schijf op te slaan
- VERTROUWENTRAPeen malware die een Windows-prompt geeft om de gebruiker te misleiden zodat hij de inloggegevens van zijn Microsoft-account invoert
Ook gebruikt de tegenstander publiekelijk beschikbare programma’s zoals AD Explorer om Active Directory te doorzoeken; Atelier Web Remote Commander (AWRC) om verbindingen op afstand tot stand te brengen, verkenningen uit te voeren, diefstal van inloggegevens en de implementatie van malware; en SCCMVNC voor afstandsbediening. Bovendien zou de bedreigingsacteur stappen hebben ondernomen om het onderzoek te belemmeren door registersleutels voor de RDP-verbindingsgeschiedenis te verwijderen.
“De campagne van UNC1549 onderscheidt zich door zijn focus op het anticiperen op onderzoekers en het garanderen van persistentie op de lange termijn na detectie”, aldus Mandiant. “Ze plaatsen achterdeurtjes die maandenlang stil knipperen en activeren ze pas om weer toegang te krijgen nadat het slachtoffer heeft geprobeerd de ziekte uit te roeien.”
“Ze handhaven stealth en command-and-control (C2) met behulp van uitgebreide omgekeerde SSH-shells (die forensisch bewijs beperken) en domeinen die op strategische wijze de industrie van het slachtoffer nabootsen.”
