Крупный план вскрытого сетевого модуля на чёрном антистатическом коврике: обгоревший чип с следами взлома, щуп логического анализатора на контакте.


Шесть новых RAT-вариантов за шесть недель, C2-трафик идёт через Microsoft Azure, начальное заражение замаскировано под процесс найма в глобальную авиакомпанию. Образцы загружаются на VirusTotal из организаций в США и Израиле - это данные Unit 42, а не абстрактные "эксперты считают".

Для SOC тут зарыта системная проблема: C2-трафик к Azure-доменам неотличим от легитимных обращений, persistence-механизм отключает защиту приложения через его собственный .config-файл - и ни одно из этих событий не генерирует стандартный алерт. Вообще ни одного.

Screening Serpens APT: кто стоит за UNC1549 Dream Job атакой​

1783887773973.webp

Screening Serpens - обозначение Palo Alto Networks для группы, которую Mandiant ведёт как UNC1549, Microsoft - как Smoke Sandstorm, а индустрия часто называет Iranian Dream Job. Группа активна минимум с 2022 года, работает на иранскую разведку и специализируется на кибершпионаже в аэрокосмическом, оборонном и технологическом секторах.

Цель - долгосрочный скрытный доступ к внутренним сетям для сбора разведданных. UNC1549 целенаправленно бьёт по организациям в R&D, спутниковых коммуникациях и логистике оборонных поставок. Жертвы зафиксированы в США, Великобритании, Франции, Германии, Израиле и ОАЭ. Что утекает: проектная документация, данные о спутниковых системах, внутренняя переписка ключевых инженеров.

По данным Unit 42, Screening Serpens расширила операции на Западную Европу. С обострением регионального конфликта оперативный темп подскочил резко: шесть новых RAT-вариантов в двух семействах скомпилированы и развёрнуты за считанные недели. Это не разовые атаки - это координированные волны: образцы одного семейства загружались на VirusTotal из организаций в разных странах с интервалом в дни.

Для threat intelligence: UNC1549 показывает прямую корреляцию между геополитическими событиями и интенсивностью кибератак. Для SOC организаций из целевых секторов обострение ситуации на Ближнем Востоке - сигнал к повышению уровня мониторинга. По данным Mandiant M-Trends 2025, exploits остаются наиболее распространённым вектором initial access (38%), но Screening Serpens доказывает, что целевой фишинг с социальной инженерией по-прежнему отлично работает против технических специалистов.

Kill chain UNC1549: от Job Lure фишинга до облачного C2​

1783887852289.webp

Цепочка заражения начинается с целевого фишинга через рекрутинговые приманки - адаптированный под конкретные должности вариант Dream Job кампании. Дальше - DLL sideloading, AppDomainManager hijacking для отключения защиты приложения, закрепление через Registry Run Keys и C2 через Azure.

Начальная доставка: Job Lure фишинг и кибершпионаж​

В кампании против организаций в США атакующие использовали архив, имитирующий портал найма глобальной авиакомпании. ZIP-файл содержал вложенный архив Hiring Portal.zip и шесть PDF-документов с описаниями вакансий: Senior Software Engineer Job ID JR205894.pdf и аналогичные. Документы включали детальные требования к позициям - конкретные Job ID, технические навыки, уровни грейда. Расчёт простой: инженер откроет описания, заинтересуется и распакует вложенный архив.

Unit 42 не нашла признаков компрометации инфраструктуры авиакомпании. Имитация ограничивалась брендингом и корпоративным стилем - но этого хватает, чтобы жертва не заподозрила подмену.

При запуске setup.exe из Hiring Portal.zip открывается поддельное окно ошибки с заголовком "Hiring Portal.zip". Пользователь видит ожидаемое поведение - "портал не загрузился" - и не замечает, что payload уже крутится в фоне. Красиво сделано, ничего не скажешь.

DLL sideloading и обход EDR через AppDomainManager hijacking​

После запуска setup.exe цепочка переходит к DLL sideloading: легитимный исполняемый файл загружает подменённую DLL-библиотеку (в случае MiniUpdate - UpdateChecker.dll).

А вот дальше - самое интересное в этой кампании. AppDomainManager hijacking. Это не эксплойт, не zero-day. Механизм работает так:
  1. Атакующие создают .config-файл для целевого .NET-приложения
  2. В конфигурации указывается кастомный AppDomainManager - класс, который CLR загружает и выполняет до старта основного кода приложения
  3. Код кастомного AppDomainManager проактивно отключает собственные защитные механизмы приложения
  4. После отключения защиты загружается основной RAT-payload
Почему EDR это пропускает: .config-файл - не исполняемый код. Загрузка сборки через AppDomainManager - штатная операция CLR, предусмотренная архитектурой .NET. Большинство EDR с user-mode хуками (SentinelOne, ранние версии CrowdStrike Falcon) заточены на детект process injection, API hooking и shellcode execution. Загрузка .NET-сборки через легитимный конфигурационный механизм в эти категории не вписывается. EDR с kernel ETW-TI (Elastic 8.x+) имеет больше точек наблюдения за .NET runtime, но кастомное правило для детекта аномального AppDomainManager из коробки не поставляется - его надо собирать вручную под конкретную среду.

По сути, атакующие используют приложение против самого себя. CLR послушно загружает то, что написано в конфиге. Документированное поведение. Всё по спецификации.

Persistence и C2-коммуникации​

Закрепление - через Registry Run Keys (T1547.001, Persistence). По аналогии с APT33, которая, по данным Picus Security, маскирует Run-ключ под именем SharePoint.exe, Screening Serpens использует имена, имитирующие легитимные процессы.

C2-коммуникации идут через HTTPS к Azure-hosted доменам (T1071.001, Command and Control). Архитектурное решение: каждому target'у и RAT-варианту выделяется набор из 3-5 уникальных C2-доменов, размещённых на Azure. Раскрытие C2 одной кампании не раскрывает другие. Хорошая операционная дисциплина.

Маппинг ключевых TTPs на MITRE ATT&CK:

Фаза kill chainТехникаMITRE ATT&CK
Initial AccessSpear phishing с Job LureSpearphishing Attachment
ExecutionUser Execution: Malicious FileT1204.002
Defense EvasionDLL Side-Loading + AppDomainManager hijackingT1574.002, T1574.014
PersistenceRegistry Run KeysT1547.001
Defense EvasionОтключение защиты через .configAppDomainManager hijacking
Command and ControlHTTPS к Azure-доменамT1071.001 (Web Protocols)
ExfiltrationПофрагментная эксфильтрация файловT1567 (Exfil Over Web Service)

MiniBike и MiniBus: RAT-семейства кампании Dream Job​

1783887915119.webp

Unit 42 классифицировала шесть обнаруженных RAT-вариантов в два семейства.

MiniBike - четыре варианта, развёрнутые двумя координированными волнами. Между вариантами зафиксированы: ротация opcode-маппингов (каждый билд перемешивает коды команд, обнуляя сигнатурный детект), добавление пофрагментной эксфильтрации файлов в апрельских вариантах и полная ротация C2-доменов при сохранении архитектуры RAT.

По метаданным VirusTotal, образцы загружались из организаций в США, Израиле, ОАЭ и других ближневосточных стран с интервалом в дни.

MiniBus - два варианта, эволюция ранее задокументированного семейства. Первый образец нацелен на организацию на Ближнем Востоке, второй - в США.

И вот что важно: Unit 42 подчёркивает, что между вариантами MiniBike не наблюдалось "значительной эволюции". Изменения поверхностные: перемаппинг opcode'ов и ротация C2 обнуляют сигнатуры, но архитектура RAT стабильна. Для detection это принципиально - поведенческий детект надёжнее сигнатурного, потому что паттерн "DLL load из пользовательского каталога -> HTTPS-beacon к Azure-домену -> Registry Run Key" воспроизводится во всех вариантах без исключения.

Облачная инфраструктура C2: иранские хакеры и living-off-the-cloud

1783887948448.webp

Маршрутизация C2 через Azure - не изобретение Screening Serpens. По данным Picus Security, APT33 (родственная иранская группировка) раньше провизировала мошеннические Azure-подписки для C2, используя скомпрометированные учётные записи Azure for Students. Screening Serpens применяет тот же подход, но с бо́льшей дисциплиной: 3-5 уникальных доменов на каждый target, ноль переиспользования между кампаниями.

Почему стандартный SOC не видит этот C2-трафик:
  • Домены *.azurewebsites.net и смежные Azure-зоны сидят в allow-листах firewall - трафик проходит без инспекции
  • Destination IP принадлежит Microsoft - SIEM молчит
  • Каждая кампания использует новые домены - IOC-фиды из предыдущих атак бесполезны
  • Azure выдаёт валидный TLS-сертификат автоматически - JA3-fingerprint не аномальный
По данным CrowdStrike Global Threat Report 2025, число cloud intrusion случаев выросло на 26% год к году, а средний lateral movement time после initial access - 62 минуты (рекорд - 51 секунда). Если начальный фишинг пропущен и C2 через Azure не задетектирован, у атакующих есть часовое окно для закрепления. Без единого алерта.

Этот подход - часть тренда living-off-the-cloud: легитимные облачные сервисы вместо собственной C2-инфраструктуры. Для SOC это сдвиг: сетевые индикаторы перестают работать, детект смещается к поведенческому анализу endpoint'ов.

MITRE ATT&CK UNC1549: техники и detection-правила для SIEM​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Каждый пункт привязан к конкретной фазе kill chain UNC1549. Пункты 1-2 - initial access и persistence, 3-4 - execution и defense evasion, 5-9 - C2 и мониторинг, 10 - проактивный threat hunting.

Большинство SOC-команд, с которыми я работал за последние два года, живут в парадигме "облачный трафик = доверенный трафик". Azure, AWS, GCP в allow-листах firewall, исключены из глубокой инспекции, не анализируются на предмет beaconing. Кампания Screening Serpens наглядно показывает, почему эта парадигма сломалась: C2 на Azure с ротацией доменов между target'ами делает IOC-фиды бесполезными, а сетевой мониторинг - слепым.

Проблема не в инструментах - она в архитектуре детекта. CrowdStrike Falcon и Elastic 8.x+ умеют профилировать cloud-трафик и логировать DNS-резолвы endpoint'ов. Но корреляция "новый Azure-домен + Registry Run Key + DLL load из нетипичного каталога" в стандартных пресетах отсутствует. Её нужно собирать вручную, под конкретную организацию, с baseline'ом её облачных сервисов. По моему опыту, такая корреляция встречается редко даже в зрелых SOC. Остальные девять из десяти узнают о компрометации от внешней стороны - по данным Mandiant M-Trends 2025, 57% организаций получают информацию об инциденте именно так.

AppDomainManager hijacking усугубляет картину. Это злоупотребление штатным механизмом .NET runtime, а не эксплойт - CLR загружает сборку по инструкции из .config-файла, и с точки зрения EDR всё легитимно. Пока вендоры и Sigma-сообщество не выделят модификацию AppDomainManager как отдельный detection use case, этот вектор будет работать стабильно. Мой прогноз: living-off-the-cloud станет нормой для APT-групп уровня nation-state в ближайший год, а не экзотикой. Если у вас другой стек детекции - на codeby.net обсуждаем конкретные подходы к адаптации Sigma-правил под облачный C2 иранских APT-групп.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab