SOC Prime Bias: Kritisch

25 März 2026 19:16
newspaper icon Proofpoint

Iran-Konflikt treibt Anstieg der Spionageaktivitäten gegen Ziele im Nahen Osten

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Iran-Konflikt treibt Anstieg der Spionageaktivitäten gegen Ziele im Nahen Osten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Proofpoint berichtete über einen Anstieg von Spionage- und Phishing-Aktivitäten, die nach den Februar 2026-Angriffen im Iran mit staatlich ausgerichteten Bedrohungsakteuren aus Iran, China, Pakistan, Weißrussland und anderen verbunden sind. Gegner nutzten konfliktbezogene Köder, um Ministerien, diplomatische Organisationen und Denkfabriken im Nahen Osten und den Vereinigten Staaten anzugreifen. Diese Operationen stützten sich auf Credential-Phishing, bösartige LNK-Dateien, DLL-Sideloading und Cobalt Strike-Nutzlasten, die über kompromittierte E-Mail-Konten und Cloud-gehostete Infrastruktur geliefert wurden. Aufdeckungsbemühungen sollten bösartige Office-Verknüpfungen, gefälschte OneDrive-Login-Seiten und verdächtige Nutzung bekannter Malware-Loader priorisieren.

Untersuchung

Proofpoint verfolgte sechs separate Kampagnen – UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 und TA453 – die E-Mail-Kompromisse, bewaffnete Archive und bösartige Links nutzten, um Loader zu liefern, die schließlich Cobalt Strike starteten. Die Forscher katalogisierten Indikatoren wie E-Mail-Adressen, Domains, URLs, Dateinamen und Datei-Hashes. Wo möglich, kartierte der Bericht auch die beobachtete Infrastruktur zu zuvor dokumentierten öffentlichen Berichten.

Minderung

Organisationen sollten MFA für E-Mail- und Cloud-Plattformen verlangen, bekannte bösartige Domains und URLs blockieren und auf LNK-Ausführung und unerwartete DLL-Ladevorgänge überwachen. E-Mail-Sicherheitskontrollen sollten Anhänge auf LNK- und Archiv-basierte Lieferungen überprüfen, während Threat Hunting das Verhalten von Cobalt Strike-Beacons und ungewöhnliche PowerShell-Ausführungen betonen sollte.

Antwort

Wenn ein verdächtiges LNK, bösartiges Archiv oder Cobalt Strike-Beacon identifiziert wird, isolieren Sie den Host, sammeln Sie flüchtige Beweise und beginnen Sie umgehend die Incident-Response. Blockieren Sie zugehörige Command-and-Control-Domains und IP-Adressen, setzen Sie kompromittierte Konten zurück und führen Sie eine vollständige forensische Untersuchung durch, um etwaige Persistenzmechanismen zu identifizieren.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High"] class action_phishing_spear action action_execution_ps["<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High"] class action_execution_ps action action_defense_proxy["<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High"] class action_defense_proxy action action_c2_web["<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High"] class action_c2_web action action_persistence_account["<b>Action</b> – <b>T1098 Account Manipulation</b> & <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High"] class action_persistence_account action action_phishing_additional["<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["<b>Artifact</b> – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["<b>Process</b> – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["<b>Service</b> – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["<b>Service</b> – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["<b>Service</b> – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["<b>Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[„<b>Aktion</b> – <b>T1566.001 Phishing: Spearphishing-Anhang</b><br/><b>Beschreibung</b>: Senden Sie E-Mails mit bösartigen ZIP- oder LNK-Anhängen, die beim Öffnen Code ausführen.<br/><b>Vertrauen</b>: Hoch“] class action_phishing_spear action action_execution_ps[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: Verwenden Sie PowerShell, um zusätzliche Nutzlasten herunterzuladen und auszuführen.<br/><b>Vertrauen</b>: Hoch“] class action_execution_ps action action_defense_proxy[„<b>Aktion</b> – <b>T1218 System-Binär-Proxyausführung</b><br/><b>Beschreibung</b>: Laden Sie bösartiges DLL über signierte Binärdatei (nvdaHelperRemoteLoader.exe).<br/><b>Vertrauen</b>: Hoch“] class action_defense_proxy action action_c2_web[„<b>Aktion</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Kommunizieren Sie mit C2-Hosts über Webdienste wie Azure Front Door und OneDrive.<br/><b>Vertrauen</b>: Hoch“] class action_c2_web action action_persistence_account[„<b>Aktion</b> – <b>T1098 Konto-Manipulation</b> & <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Verwenden Sie kompromittierte E-Mail-Konten, um einen Fuß in der Tür zu behalten und weitere Phishing-E-Mails zu senden.<br/><b>Vertrauen</b>: Hoch“] class action_persistence_account action action_phishing_additional[„<b>Aktion</b> – <b>T1566 Phishing (Zusätzlich)</b><br/><b>Beschreibung</b>: Hosten Sie gefälschte OWA/OneDrive-Anmeldeseiten, um Anmeldeinformationen zu sammeln.<br/><b>Vertrauen</b>: Hoch“] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[„<b>Artefakt</b> – Bösartiger ZIP-Anhang<br/><b>Inhalt</b>: LNK- und PDF-Dateien mit eingebetteten Nutzlasten“] class artifact_zip artifact artifact_lnk[„<b>Artefakt</b> – LNK-Datei (nvdaHelperRemoteLoader.exe)“] class artifact_lnk artifact artifact_ps_script[„<b>Artefakt</b> – PowerShell-Skript für den Download“] class artifact_ps_script artifact artifact_dll[„<b>Artefakt</b> – Bösartige DLL (nvdaHelperRemote.dll)“] class artifact_dll malware %% Nodes – Processes / Tools process_loader[„<b>Prozess</b> – nvdaHelperRemoteLoader.exe (signierte Binärdatei)“] class process_loader process process_powershell[„<b>Prozess</b> – PowerShell.exe, das Download-Skript ausführt“] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[„<b>Dienst</b> – support.almersalstore.com (C2-Domain)“] class service_c2_almer service service_c2_azure[„<b>Dienst</b> – Azure Front Door Host“] class service_c2_azure service service_c2_onedrive[„<b>Dienst</b> – OneDrive-Dateilink (C2)“] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[„<b>Anmeldedaten</b> – Kompromittiertes Regierung-E-Mail-Konto“] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|liefert| artifact_zip artifact_zip –>|enthält| artifact_lnk artifact_lnk –>|führt aus| process_loader process_loader –>|verwendet| action_defense_proxy action_defense_proxy –>|lädt| artifact_dll artifact_dll –>|ermöglicht| action_execution_ps action_execution_ps –>|führt aus| process_powershell process_powershell –>|lädt Nutzlast herunter über| artifact_ps_script process_powershell –>|kommuniziert mit| service_c2_almer process_powershell –>|kommuniziert mit| service_c2_azure process_powershell –>|kommuniziert mit| service_c2_onedrive service_c2_almer –>|unterstützt| action_persistence_account service_c2_azure –>|unterstützt| action_persistence_account service_c2_onedrive –>|unterstützt| action_persistence_account action_persistence_account –>|verwendet| credential_email credential_email –>|sendet| action_phishing_additional action_phishing_additional –>|hostet| artifact_zip

Angriffsfluss

Erkennungen

Verdächtige Binärdatei/Skripte im Autostart-Ordner (via file_event)

SOC Prime Team
25. März 2026

Ansehen

Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)

SOC Prime Team
25. März 2026

Ansehen

Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via dns)

SOC Prime Team
25. März 2026

Ansehen

Verdächtige extrahierte Dateien aus einem Archiv (via file_event)

SOC Prime Team
25. März 2026

Ansehen

Möglicher NvdaHelperRemote DLL-Sideloading-Versuch (via image_load)

SOC Prime Team
17. März 2026

Ansehen

Verdächtige CURL-Nutzung (via cmdline)

SOC Prime Team
25. März 2026

Ansehen

Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via Proxy)

SOC Prime Team
25. März 2026

Ansehen

Mögliche Google Docs-Domain wird von einem ungewöhnlichen Prozess aufgelöst (via dns_query)

SOC Prime Team
25. März 2026

Ansehen

Virtuelle Festplattendatei wurde erstellt (via file_event)

SOC Prime Team
25. März 2026

Ansehen

IOCs (HashSha256) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

Ansehen

IOCs (SourceIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

Ansehen

IOCs (DestinationIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

Ansehen

Erkennung von verdächtiger Ausführung von nvdaHelperRemoteLoader.exe und VLCMediaPlayer.exe [Windows-Prozesserstellung]

SOC Prime AI-Regeln
17. März 2026

Ansehen

Erkennung von C&C-Domains, die mit UNK_InnerAmbush und UNK_RobotDreams-Kampagnen verbunden sind [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
17. März 2026

Ansehen

Simulationsdurchführung

Voraussetzung: Die Telemetrie- und Baseline-Vorfahrtprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.

  • Angriffsbericht & Befehle:
    Ein Gegner hat eine kompromittierte Kopie von nvdaHelperRemoteLoader.exe mit einer bösartigen DLL (evil.dll) eingebettet. Sie platzieren die Binärdatei in C:Temp und erstellen eine Verknüpfung, die darauf zeigt, und lösen die Ausführung über eine geplante Aufgabe (T1546.009) aus. Gleichzeitig missbrauchen sie die signierte Binärdatei VLCMediaPlayer.exe (T1218), um eine PowerShell-Nutzlast zu starten, die Host-Fingerabdruck durchführt. Beide Binärdateien werden direkt gestartet, um sicherzustellen, dass das Prozesserstellungsereignis den genauen ausführbaren Namen enthält, den die Regel erfordert.

  • Regressionstest-Skript:

    # -------------------------------------------------
# Simulationsskript – löst beide Erkennungen aus
# -------------------------------------------------
# Setze Ausführungsordner
$binPath = "C:Temp"

# 1. Bösartige nvdaHelperRemoteLoader.exe bereitstellen (Platzhalterkopie)
$nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- durch echte Probe ersetzen
Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force

# 2. Bösartige VLCMediaPlayer.exe bereitstellen (Platzhalterkopie)
$vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- durch echte Probe ersetzen
Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force

# 3. Führe nvdaHelperRemoteLoader.exe aus (simuliere DLL-Sideloading)
Write-Host "Starten von nvdaHelperRemoteLoader.exe ..."
Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden

# 4. Führe VLCMediaPlayer.exe aus, um eine Fingerabdruck-PowerShell-Einzeiler zu starten
$psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
Write-Host "Starten von VLCMediaPlayer.exe mit PowerShell-Nutzlast ..."
Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
    -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
    -WindowStyle Hidden

Write-Host "Simulation abgeschlossen. Überprüfen Sie die Warnungen in Ihrem SIEM."

  • Bereinigungskommandos:

    # Beenden Sie alle verbleibenden Testprozesse
Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
    Stop-Process -Force

# Entfernen Sie die Testbinärdateien
Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue

Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten