Шесть новых RAT-вариантов за шесть недель, C2-трафик идёт через Microsoft Azure, начальное заражение замаскировано под процесс найма в глобальную авиакомпанию. Образцы загружаются на VirusTotal из организаций в США и Израиле - это данные Unit 42, а не абстрактные "эксперты считают".
Для SOC тут зарыта системная проблема: C2-трафик к Azure-доменам неотличим от легитимных обращений, persistence-механизм отключает защиту приложения через его собственный .config-файл - и ни одно из этих событий не генерирует стандартный алерт. Вообще ни одного.
Screening Serpens APT: кто стоит за UNC1549 Dream Job атакой
Screening Serpens - обозначение Palo Alto Networks для группы, которую Mandiant ведёт как UNC1549, Microsoft - как Smoke Sandstorm, а индустрия часто называет Iranian Dream Job. Группа активна минимум с 2022 года, работает на иранскую разведку и специализируется на кибершпионаже в аэрокосмическом, оборонном и технологическом секторах.
Цель - долгосрочный скрытный доступ к внутренним сетям для сбора разведданных. UNC1549 целенаправленно бьёт по организациям в R&D, спутниковых коммуникациях и логистике оборонных поставок. Жертвы зафиксированы в США, Великобритании, Франции, Германии, Израиле и ОАЭ. Что утекает: проектная документация, данные о спутниковых системах, внутренняя переписка ключевых инженеров.
По данным Unit 42, Screening Serpens расширила операции на Западную Европу. С обострением регионального конфликта оперативный темп подскочил резко: шесть новых RAT-вариантов в двух семействах скомпилированы и развёрнуты за считанные недели. Это не разовые атаки - это координированные волны: образцы одного семейства загружались на VirusTotal из организаций в разных странах с интервалом в дни.
Для threat intelligence: UNC1549 показывает прямую корреляцию между геополитическими событиями и интенсивностью кибератак. Для SOC организаций из целевых секторов обострение ситуации на Ближнем Востоке - сигнал к повышению уровня мониторинга. По данным Mandiant M-Trends 2025, exploits остаются наиболее распространённым вектором initial access (38%), но Screening Serpens доказывает, что целевой фишинг с социальной инженерией по-прежнему отлично работает против технических специалистов.
Kill chain UNC1549: от Job Lure фишинга до облачного C2
Цепочка заражения начинается с целевого фишинга через рекрутинговые приманки - адаптированный под конкретные должности вариант Dream Job кампании. Дальше - DLL sideloading, AppDomainManager hijacking для отключения защиты приложения, закрепление через Registry Run Keys и C2 через Azure.
Начальная доставка: Job Lure фишинг и кибершпионаж
В кампании против организаций в США атакующие использовали архив, имитирующий портал найма глобальной авиакомпании. ZIP-файл содержал вложенный архивHiring Portal.zip и шесть PDF-документов с описаниями вакансий: Senior Software Engineer Job ID JR205894.pdf и аналогичные. Документы включали детальные требования к позициям - конкретные Job ID, технические навыки, уровни грейда. Расчёт простой: инженер откроет описания, заинтересуется и распакует вложенный архив.Unit 42 не нашла признаков компрометации инфраструктуры авиакомпании. Имитация ограничивалась брендингом и корпоративным стилем - но этого хватает, чтобы жертва не заподозрила подмену.
При запуске
setup.exe из Hiring Portal.zip открывается поддельное окно ошибки с заголовком "Hiring Portal.zip". Пользователь видит ожидаемое поведение - "портал не загрузился" - и не замечает, что payload уже крутится в фоне. Красиво сделано, ничего не скажешь.DLL sideloading и обход EDR через AppDomainManager hijacking
После запускаsetup.exe цепочка переходит к DLL sideloading: легитимный исполняемый файл загружает подменённую DLL-библиотеку (в случае MiniUpdate - UpdateChecker.dll).А вот дальше - самое интересное в этой кампании. AppDomainManager hijacking. Это не эксплойт, не zero-day. Механизм работает так:
- Атакующие создают .config-файл для целевого .NET-приложения
- В конфигурации указывается кастомный AppDomainManager - класс, который CLR загружает и выполняет до старта основного кода приложения
- Код кастомного AppDomainManager проактивно отключает собственные защитные механизмы приложения
- После отключения защиты загружается основной RAT-payload
По сути, атакующие используют приложение против самого себя. CLR послушно загружает то, что написано в конфиге. Документированное поведение. Всё по спецификации.
Persistence и C2-коммуникации
Закрепление - через Registry Run Keys (T1547.001, Persistence). По аналогии с APT33, которая, по данным Picus Security, маскирует Run-ключ под именемSharePoint.exe, Screening Serpens использует имена, имитирующие легитимные процессы.C2-коммуникации идут через HTTPS к Azure-hosted доменам (T1071.001, Command and Control). Архитектурное решение: каждому target'у и RAT-варианту выделяется набор из 3-5 уникальных C2-доменов, размещённых на Azure. Раскрытие C2 одной кампании не раскрывает другие. Хорошая операционная дисциплина.
Маппинг ключевых TTPs на MITRE ATT&CK:
| Фаза kill chain | Техника | MITRE ATT&CK |
|---|---|---|
| Initial Access | Spear phishing с Job Lure | Spearphishing Attachment |
| Execution | User Execution: Malicious File | T1204.002 |
| Defense Evasion | DLL Side-Loading + AppDomainManager hijacking | T1574.002, T1574.014 |
| Persistence | Registry Run Keys | T1547.001 |
| Defense Evasion | Отключение защиты через .config | AppDomainManager hijacking |
| Command and Control | HTTPS к Azure-доменам | T1071.001 (Web Protocols) |
| Exfiltration | Пофрагментная эксфильтрация файлов | T1567 (Exfil Over Web Service) |
MiniBike и MiniBus: RAT-семейства кампании Dream Job
Unit 42 классифицировала шесть обнаруженных RAT-вариантов в два семейства.
MiniBike - четыре варианта, развёрнутые двумя координированными волнами. Между вариантами зафиксированы: ротация opcode-маппингов (каждый билд перемешивает коды команд, обнуляя сигнатурный детект), добавление пофрагментной эксфильтрации файлов в апрельских вариантах и полная ротация C2-доменов при сохранении архитектуры RAT.
По метаданным VirusTotal, образцы загружались из организаций в США, Израиле, ОАЭ и других ближневосточных стран с интервалом в дни.
MiniBus - два варианта, эволюция ранее задокументированного семейства. Первый образец нацелен на организацию на Ближнем Востоке, второй - в США.
И вот что важно: Unit 42 подчёркивает, что между вариантами MiniBike не наблюдалось "значительной эволюции". Изменения поверхностные: перемаппинг opcode'ов и ротация C2 обнуляют сигнатуры, но архитектура RAT стабильна. Для detection это принципиально - поведенческий детект надёжнее сигнатурного, потому что паттерн "DLL load из пользовательского каталога -> HTTPS-beacon к Azure-домену -> Registry Run Key" воспроизводится во всех вариантах без исключения.
Облачная инфраструктура C2: иранские хакеры и living-off-the-cloud
Маршрутизация C2 через Azure - не изобретение Screening Serpens. По данным Picus Security, APT33 (родственная иранская группировка) раньше провизировала мошеннические Azure-подписки для C2, используя скомпрометированные учётные записи Azure for Students. Screening Serpens применяет тот же подход, но с бо́льшей дисциплиной: 3-5 уникальных доменов на каждый target, ноль переиспользования между кампаниями.
Почему стандартный SOC не видит этот C2-трафик:
- Домены *.azurewebsites.net и смежные Azure-зоны сидят в allow-листах firewall - трафик проходит без инспекции
- Destination IP принадлежит Microsoft - SIEM молчит
- Каждая кампания использует новые домены - IOC-фиды из предыдущих атак бесполезны
- Azure выдаёт валидный TLS-сертификат автоматически - JA3-fingerprint не аномальный
Этот подход - часть тренда living-off-the-cloud: легитимные облачные сервисы вместо собственной C2-инфраструктуры. Для SOC это сдвиг: сетевые индикаторы перестают работать, детект смещается к поведенческому анализу endpoint'ов.
MITRE ATT&CK UNC1549: техники и detection-правила для SIEM
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Каждый пункт привязан к конкретной фазе kill chain UNC1549. Пункты 1-2 - initial access и persistence, 3-4 - execution и defense evasion, 5-9 - C2 и мониторинг, 10 - проактивный threat hunting.
Большинство SOC-команд, с которыми я работал за последние два года, живут в парадигме "облачный трафик = доверенный трафик". Azure, AWS, GCP в allow-листах firewall, исключены из глубокой инспекции, не анализируются на предмет beaconing. Кампания Screening Serpens наглядно показывает, почему эта парадигма сломалась: C2 на Azure с ротацией доменов между target'ами делает IOC-фиды бесполезными, а сетевой мониторинг - слепым.
Проблема не в инструментах - она в архитектуре детекта. CrowdStrike Falcon и Elastic 8.x+ умеют профилировать cloud-трафик и логировать DNS-резолвы endpoint'ов. Но корреляция "новый Azure-домен + Registry Run Key + DLL load из нетипичного каталога" в стандартных пресетах отсутствует. Её нужно собирать вручную, под конкретную организацию, с baseline'ом её облачных сервисов. По моему опыту, такая корреляция встречается редко даже в зрелых SOC. Остальные девять из десяти узнают о компрометации от внешней стороны - по данным Mandiant M-Trends 2025, 57% организаций получают информацию об инциденте именно так.
AppDomainManager hijacking усугубляет картину. Это злоупотребление штатным механизмом .NET runtime, а не эксплойт - CLR загружает сборку по инструкции из .config-файла, и с точки зрения EDR всё легитимно. Пока вендоры и Sigma-сообщество не выделят модификацию AppDomainManager как отдельный detection use case, этот вектор будет работать стабильно. Мой прогноз: living-off-the-cloud станет нормой для APT-групп уровня nation-state в ближайший год, а не экзотикой. Если у вас другой стек детекции - на codeby.net обсуждаем конкретные подходы к адаптации Sigma-правил под облачный C2 иранских APT-групп.
Последнее редактирование модератором: