Iran-Konflikt treibt Anstieg der Spionageaktivitäten gegen Ziele im Nahen Osten
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Proofpoint berichtete über einen Anstieg von Spionage- und Phishing-Aktivitäten, die nach den Februar 2026-Angriffen im Iran mit staatlich ausgerichteten Bedrohungsakteuren aus Iran, China, Pakistan, Weißrussland und anderen verbunden sind. Gegner nutzten konfliktbezogene Köder, um Ministerien, diplomatische Organisationen und Denkfabriken im Nahen Osten und den Vereinigten Staaten anzugreifen. Diese Operationen stützten sich auf Credential-Phishing, bösartige LNK-Dateien, DLL-Sideloading und Cobalt Strike-Nutzlasten, die über kompromittierte E-Mail-Konten und Cloud-gehostete Infrastruktur geliefert wurden. Aufdeckungsbemühungen sollten bösartige Office-Verknüpfungen, gefälschte OneDrive-Login-Seiten und verdächtige Nutzung bekannter Malware-Loader priorisieren.
Untersuchung
Proofpoint verfolgte sechs separate Kampagnen – UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 und TA453 – die E-Mail-Kompromisse, bewaffnete Archive und bösartige Links nutzten, um Loader zu liefern, die schließlich Cobalt Strike starteten. Die Forscher katalogisierten Indikatoren wie E-Mail-Adressen, Domains, URLs, Dateinamen und Datei-Hashes. Wo möglich, kartierte der Bericht auch die beobachtete Infrastruktur zu zuvor dokumentierten öffentlichen Berichten.
Minderung
Organisationen sollten MFA für E-Mail- und Cloud-Plattformen verlangen, bekannte bösartige Domains und URLs blockieren und auf LNK-Ausführung und unerwartete DLL-Ladevorgänge überwachen. E-Mail-Sicherheitskontrollen sollten Anhänge auf LNK- und Archiv-basierte Lieferungen überprüfen, während Threat Hunting das Verhalten von Cobalt Strike-Beacons und ungewöhnliche PowerShell-Ausführungen betonen sollte.
Antwort
Wenn ein verdächtiges LNK, bösartiges Archiv oder Cobalt Strike-Beacon identifiziert wird, isolieren Sie den Host, sammeln Sie flüchtige Beweise und beginnen Sie umgehend die Incident-Response. Blockieren Sie zugehörige Command-and-Control-Domains und IP-Adressen, setzen Sie kompromittierte Konten zurück und führen Sie eine vollständige forensische Untersuchung durch, um etwaige Persistenzmechanismen zu identifizieren.
Angriffsfluss
Erkennungen
Verdächtige Binärdatei/Skripte im Autostart-Ordner (via file_event)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via dns)
Ansehen
Verdächtige extrahierte Dateien aus einem Archiv (via file_event)
Ansehen
Möglicher NvdaHelperRemote DLL-Sideloading-Versuch (via image_load)
Ansehen
Verdächtige CURL-Nutzung (via cmdline)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via Proxy)
Ansehen
Mögliche Google Docs-Domain wird von einem ungewöhnlichen Prozess aufgelöst (via dns_query)
Ansehen
Virtuelle Festplattendatei wurde erstellt (via file_event)
Ansehen
IOCs (HashSha256) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten
Ansehen
IOCs (SourceIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten
Ansehen
IOCs (DestinationIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten
Ansehen
Erkennung von verdächtiger Ausführung von nvdaHelperRemoteLoader.exe und VLCMediaPlayer.exe [Windows-Prozesserstellung]
Ansehen
Erkennung von C&C-Domains, die mit UNK_InnerAmbush und UNK_RobotDreams-Kampagnen verbunden sind [Windows-Netzwerkverbindung]
Ansehen
Simulationsdurchführung
Voraussetzung: Die Telemetrie- und Baseline-Vorfahrtprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.
-
Angriffsbericht & Befehle:
Ein Gegner hat eine kompromittierte Kopie vonnvdaHelperRemoteLoader.exemit einer bösartigen DLL (evil.dll) eingebettet. Sie platzieren die Binärdatei inC:Tempund erstellen eine Verknüpfung, die darauf zeigt, und lösen die Ausführung über eine geplante Aufgabe (T1546.009) aus. Gleichzeitig missbrauchen sie die signierte BinärdateiVLCMediaPlayer.exe(T1218), um eine PowerShell-Nutzlast zu starten, die Host-Fingerabdruck durchführt. Beide Binärdateien werden direkt gestartet, um sicherzustellen, dass das Prozesserstellungsereignis den genauen ausführbaren Namen enthält, den die Regel erfordert. -
Regressionstest-Skript:
# ------------------------------------------------- # Simulationsskript – löst beide Erkennungen aus # ------------------------------------------------- # Setze Ausführungsordner $binPath = "C:Temp" # 1. Bösartige nvdaHelperRemoteLoader.exe bereitstellen (Platzhalterkopie) $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <-- durch echte Probe ersetzen Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. Bösartige VLCMediaPlayer.exe bereitstellen (Platzhalterkopie) $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <-- durch echte Probe ersetzen Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. Führe nvdaHelperRemoteLoader.exe aus (simuliere DLL-Sideloading) Write-Host "Starten von nvdaHelperRemoteLoader.exe ..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. Führe VLCMediaPlayer.exe aus, um eine Fingerabdruck-PowerShell-Einzeiler zu starten $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "Starten von VLCMediaPlayer.exe mit PowerShell-Nutzlast ..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" ` -WindowStyle Hidden Write-Host "Simulation abgeschlossen. Überprüfen Sie die Warnungen in Ihrem SIEM." -
Bereinigungskommandos:
# Beenden Sie alle verbleibenden Testprozesse Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen Sie die Testbinärdateien Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."