Prinz von Persien APT-Analyse: Infy, Foudre und Tonnerre-Malware

Zusammenfassung

Prince of Persia (auch als APT-C-07 bekannt) ist ein seit 2007 aktiver, mit dem Iran in Verbindung stehender Cyber-Spionage-Akteur. Die Gruppe hat verschiedene proprietäre Malware-Familien – Infy, Foudre, Tonnerre und MaxPinner – durchlaufen, um Medienorganisationen, politische Einrichtungen und zivilgesellschaftliche Ziele auszuspionieren. Operationen kombinieren häufig Spear-Phishing mit opportunistischen Drive-by-Infektionspfaden und basieren auf maßgeschneiderten Kommando- und Kontrollmethoden, einschließlich Telegramm-Bot-basierter Kanäle, um den Zugang aufrechtzuerhalten und Daten von kompromittierten Systemen abzuleiten.

Untersuchung

Unit 42 und andere Forschungsteams haben den Werkzeugfortschritt des Akteurs von der Infy-Infrastruktur, die 2016 beobachtet wurde, bis zur Rückkehr der Foudre-Aktivität im Jahr 2017 und einer 2025er Iteration von Tonnerre, die Telegram für Kommando und Kontrolle nutzt, nachverfolgt. Technische Berichte heben die Lieferung über Visual-Basic-Makro-Dropper, die Persistenz durch Installation von Windows-Diensten und die Verwendung von Domänengenerierungslogik zur Unterstützung einer widerstandsfähigen Infrastruktur hervor. Analysten dokumentierten auch die native Funktionen auf Windows-API-Ebene, die für den Zugang zu Anmeldedaten und Überwachungsverhalten wie Keylogging genutzt werden, sowie Ausführungsmuster, die auf eine fortlaufende Verfeinerung der nach dem Kompromiss angewendeten Handwerkskunst hindeuten.

Minderung

Wenden Sie strenge Kontrollen für Office-Makros an und erzwingen Sie die Bereinigung von E-Mail-Anhängen, um erste Ausführungsmöglichkeiten zu reduzieren. Implementieren Sie Netzwerkkontrollen, um den Telegram-Verkehr in Umgebungen einzuschränken oder genau zu überwachen, in denen er für Geschäftszwecke nicht erforderlich ist. Auf Endpunkten sollte bei der Erstellung verdächtiger Dienste gewarnt werden, die Nutzung von rundll32 sollte im Einklang mit DLL-Ausführungsketten verfolgt werden, und bekannte bösartige Dateinamen und registerbasierte Persistenzmuster sollten blockiert werden. Halten Sie aktualisierte Erkennungsinhalte für dynamisch wechselnde Domänenmuster, die ein DGA-ähnliches Verhalten aufweisen, aufrecht und validieren Sie die Kontrollen regelmäßig anhand aktueller Telemetrie.

Antwort

Wenn Indikatoren entdeckt werden, isolieren Sie das betroffene System, erfassen Sie flüchtige Artefakte und suchen Sie nach den spezifischen Dienstnamen und Registrierungseinträgen, die für die Persistenz genutzt werden. Erweitern Sie die Triage auf die Erstellung geplanter Aufgaben, anomale DLL-Ladevorgänge und jegliche Hinweise auf Telegram-basierte C2-Kommunikation. Entfernen Sie bösartige Dienste und eingeführte Dateien mit überprüften Reparatur-Playbooks, dann rotieren Sie möglicherweise gefährdete Anmeldeinformationen und überwachen Sie genau auf erneute Einbruchsversuche oder Reinfektionen auf benachbarten Hosts.

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Basisprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Gegner eingesetzten Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs abbilden und darauf abzielen, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

• Angriffsablauf & Befehle:
  Der simulierte Angreifer imitiert das Verhalten von Infy-Malware, indem er drei Dummy-Ausführungsdateien erstellt, deren Dateinamen den von der Regel überwachten API-Aufrufen entsprechen. Mit Copy-Item, duplizieren wir notepad.exe (eine harmlose, bereits vorhandene Binärdatei) in das temporäre Verzeichnis und benennen es um, um mit jedem API-Aufruf übereinzustimmen. Der Angreifer führt dann jede Dummy-Binärdatei aus und erzeugt Sysmon-Prozess-Erstellungsereignisse mit Bild Werten, die in GetFileAttributesA.exe, GetMessageA.exeund DispatchMessageA.exeenden. Da die Bedingung der Regel Auswahl1 oder Auswahl2 auf dem Bild Feld ist, erfüllt jeder Start die Regel und erzeugt einen Alarm.

• Regressionstest-Skript:

  # -------------------------------------------------
  # Simulation-Skript – Infy-API-Aufrufdetektionstest
  # -------------------------------------------------
  $tempDir = "$env:TEMPInfySim"
  New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
  
  # Helfer: notepad.exe in einen neuen Namen kopieren
  function Copy-And-Run {
      param (
          [string]$newName
      )
      $src = "$env:SystemRootSystem32notepad.exe"
      $dst = Join-Path $tempDir $newName
      Copy-Item -Path $src -Destination $dst -Force
      Write-Host "Erstellt $dst"
      Start-Process -FilePath $dst -WindowStyle Hidden
  }
  
  # Erstellen und ausführen von Dummy-Binärdateien, die den API-Namen entsprechen
  Copy-And-Run -newName "GetFileAttributesA.exe"
  Copy-And-Run -newName "GetMessageA.exe"
  Copy-And-Run -newName "DispatchMessageA.exe"
  
  Write-Host "Simulation abgeschlossen. SIEM auf Alarme prüfen."

• Bereinigungsbefehle:

  # -------------------------------------------------
  # Bereinigungsskript – Entfernen von simulierten Binärdateien
  # -------------------------------------------------
  $tempDir = "$env:TEMPInfySim"
  
  # Stoppen aller verbleibenden Dummy-Prozesse
  Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
      Stop-Process -Force
  
  # Entfernen des temporären Verzeichnisses und seiner Inhalte
  Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
  
  Write-Host "Bereinigung abgeschlossen."