SOC Prime Bias: Kritisch

25 Mar 2026 16:16 UTC

Iran-Konflikt treibt Anstieg der Spionageaktivitäten gegen Ziele im Nahen Osten

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Iran-Konflikt treibt Anstieg der Spionageaktivitäten gegen Ziele im Nahen Osten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Proofpoint berichtete über einen Anstieg von Spionage- und Phishing-Aktivitäten, die nach den Februar 2026-Angriffen im Iran mit staatlich ausgerichteten Bedrohungsakteuren aus Iran, China, Pakistan, Weißrussland und anderen verbunden sind. Gegner nutzten konfliktbezogene Köder, um Ministerien, diplomatische Organisationen und Denkfabriken im Nahen Osten und den Vereinigten Staaten anzugreifen. Diese Operationen stützten sich auf Credential-Phishing, bösartige LNK-Dateien, DLL-Sideloading und Cobalt Strike-Nutzlasten, die über kompromittierte E-Mail-Konten und Cloud-gehostete Infrastruktur geliefert wurden. Aufdeckungsbemühungen sollten bösartige Office-Verknüpfungen, gefälschte OneDrive-Login-Seiten und verdächtige Nutzung bekannter Malware-Loader priorisieren.

Untersuchung

Proofpoint verfolgte sechs separate Kampagnen – UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 und TA453 – die E-Mail-Kompromisse, bewaffnete Archive und bösartige Links nutzten, um Loader zu liefern, die schließlich Cobalt Strike starteten. Die Forscher katalogisierten Indikatoren wie E-Mail-Adressen, Domains, URLs, Dateinamen und Datei-Hashes. Wo möglich, kartierte der Bericht auch die beobachtete Infrastruktur zu zuvor dokumentierten öffentlichen Berichten.

Minderung

Organisationen sollten MFA für E-Mail- und Cloud-Plattformen verlangen, bekannte bösartige Domains und URLs blockieren und auf LNK-Ausführung und unerwartete DLL-Ladevorgänge überwachen. E-Mail-Sicherheitskontrollen sollten Anhänge auf LNK- und Archiv-basierte Lieferungen überprüfen, während Threat Hunting das Verhalten von Cobalt Strike-Beacons und ungewöhnliche PowerShell-Ausführungen betonen sollte.

Antwort

Wenn ein verdächtiges LNK, bösartiges Archiv oder Cobalt Strike-Beacon identifiziert wird, isolieren Sie den Host, sammeln Sie flüchtige Beweise und beginnen Sie umgehend die Incident-Response. Blockieren Sie zugehörige Command-and-Control-Domains und IP-Adressen, setzen Sie kompromittierte Konten zurück und führen Sie eine vollständige forensische Untersuchung durch, um etwaige Persistenzmechanismen zu identifizieren.

Angriffsfluss

Erkennungen

Verdächtige Binärdatei/Skripte im Autostart-Ordner (via file_event)

SOC Prime Team
25. März 2026

Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)

SOC Prime Team
25. März 2026

Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via dns)

SOC Prime Team
25. März 2026

Verdächtige extrahierte Dateien aus einem Archiv (via file_event)

SOC Prime Team
25. März 2026

Möglicher NvdaHelperRemote DLL-Sideloading-Versuch (via image_load)

SOC Prime Team
17. März 2026

Verdächtige CURL-Nutzung (via cmdline)

SOC Prime Team
25. März 2026

Mögliche Dateninfiltration/Exfiltration/C2 über Drittanbieter-Services/Tools (via Proxy)

SOC Prime Team
25. März 2026

Mögliche Google Docs-Domain wird von einem ungewöhnlichen Prozess aufgelöst (via dns_query)

SOC Prime Team
25. März 2026

Virtuelle Festplattendatei wurde erstellt (via file_event)

SOC Prime Team
25. März 2026

IOCs (HashSha256) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

IOCs (SourceIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

IOCs (DestinationIP) zur Erkennung: Iran-Konflikt treibt verstärkte Spionageaktivitäten gegen Ziele im Nahen Osten

SOC Prime AI-Regeln
17. März 2026

Erkennung von verdächtiger Ausführung von nvdaHelperRemoteLoader.exe und VLCMediaPlayer.exe [Windows-Prozesserstellung]

SOC Prime AI-Regeln
17. März 2026

Erkennung von C&C-Domains, die mit UNK_InnerAmbush und UNK_RobotDreams-Kampagnen verbunden sind [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
17. März 2026

Simulationsdurchführung

Voraussetzung: Die Telemetrie- und Baseline-Vorfahrtprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.

  • Angriffsbericht & Befehle:
    Ein Gegner hat eine kompromittierte Kopie von nvdaHelperRemoteLoader.exe mit einer bösartigen DLL (evil.dll) eingebettet. Sie platzieren die Binärdatei in C:Temp und erstellen eine Verknüpfung, die darauf zeigt, und lösen die Ausführung über eine geplante Aufgabe (T1546.009) aus. Gleichzeitig missbrauchen sie die signierte Binärdatei VLCMediaPlayer.exe (T1218), um eine PowerShell-Nutzlast zu starten, die Host-Fingerabdruck durchführt. Beide Binärdateien werden direkt gestartet, um sicherzustellen, dass das Prozesserstellungsereignis den genauen ausführbaren Namen enthält, den die Regel erfordert.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # Simulationsskript – löst beide Erkennungen aus
    # -------------------------------------------------
    # Setze Ausführungsordner
    $binPath = "C:Temp"
    
    # 1. Bösartige nvdaHelperRemoteLoader.exe bereitstellen (Platzhalterkopie)
    $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- durch echte Probe ersetzen
    Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force
    
    # 2. Bösartige VLCMediaPlayer.exe bereitstellen (Platzhalterkopie)
    $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- durch echte Probe ersetzen
    Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force
    
    # 3. Führe nvdaHelperRemoteLoader.exe aus (simuliere DLL-Sideloading)
    Write-Host "Starten von nvdaHelperRemoteLoader.exe ..."
    Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden
    
    # 4. Führe VLCMediaPlayer.exe aus, um eine Fingerabdruck-PowerShell-Einzeiler zu starten
    $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
    Write-Host "Starten von VLCMediaPlayer.exe mit PowerShell-Nutzlast ..."
    Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
        -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
        -WindowStyle Hidden
    
    Write-Host "Simulation abgeschlossen. Überprüfen Sie die Warnungen in Ihrem SIEM."
  • Bereinigungskommandos:

    # Beenden Sie alle verbleibenden Testprozesse
    Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Entfernen Sie die Testbinärdateien
    Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "Bereinigung abgeschlossen."