Prinz von Persien APT-Analyse: Infy, Foudre und Tonnerre-Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Prince of Persia (auch als APT-C-07 bekannt) ist ein seit 2007 aktiver, mit dem Iran in Verbindung stehender Cyber-Spionage-Akteur. Die Gruppe hat verschiedene proprietäre Malware-Familien – Infy, Foudre, Tonnerre und MaxPinner – durchlaufen, um Medienorganisationen, politische Einrichtungen und zivilgesellschaftliche Ziele auszuspionieren. Operationen kombinieren häufig Spear-Phishing mit opportunistischen Drive-by-Infektionspfaden und basieren auf maßgeschneiderten Kommando- und Kontrollmethoden, einschließlich Telegramm-Bot-basierter Kanäle, um den Zugang aufrechtzuerhalten und Daten von kompromittierten Systemen abzuleiten.
Untersuchung
Unit 42 und andere Forschungsteams haben den Werkzeugfortschritt des Akteurs von der Infy-Infrastruktur, die 2016 beobachtet wurde, bis zur Rückkehr der Foudre-Aktivität im Jahr 2017 und einer 2025er Iteration von Tonnerre, die Telegram für Kommando und Kontrolle nutzt, nachverfolgt. Technische Berichte heben die Lieferung über Visual-Basic-Makro-Dropper, die Persistenz durch Installation von Windows-Diensten und die Verwendung von Domänengenerierungslogik zur Unterstützung einer widerstandsfähigen Infrastruktur hervor. Analysten dokumentierten auch die native Funktionen auf Windows-API-Ebene, die für den Zugang zu Anmeldedaten und Überwachungsverhalten wie Keylogging genutzt werden, sowie Ausführungsmuster, die auf eine fortlaufende Verfeinerung der nach dem Kompromiss angewendeten Handwerkskunst hindeuten.
Minderung
Wenden Sie strenge Kontrollen für Office-Makros an und erzwingen Sie die Bereinigung von E-Mail-Anhängen, um erste Ausführungsmöglichkeiten zu reduzieren. Implementieren Sie Netzwerkkontrollen, um den Telegram-Verkehr in Umgebungen einzuschränken oder genau zu überwachen, in denen er für Geschäftszwecke nicht erforderlich ist. Auf Endpunkten sollte bei der Erstellung verdächtiger Dienste gewarnt werden, die Nutzung von rundll32 sollte im Einklang mit DLL-Ausführungsketten verfolgt werden, und bekannte bösartige Dateinamen und registerbasierte Persistenzmuster sollten blockiert werden. Halten Sie aktualisierte Erkennungsinhalte für dynamisch wechselnde Domänenmuster, die ein DGA-ähnliches Verhalten aufweisen, aufrecht und validieren Sie die Kontrollen regelmäßig anhand aktueller Telemetrie.
Antwort
Wenn Indikatoren entdeckt werden, isolieren Sie das betroffene System, erfassen Sie flüchtige Artefakte und suchen Sie nach den spezifischen Dienstnamen und Registrierungseinträgen, die für die Persistenz genutzt werden. Erweitern Sie die Triage auf die Erstellung geplanter Aufgaben, anomale DLL-Ladevorgänge und jegliche Hinweise auf Telegram-basierte C2-Kommunikation. Entfernen Sie bösartige Dienste und eingeführte Dateien mit überprüften Reparatur-Playbooks, dann rotieren Sie möglicherweise gefährdete Anmeldeinformationen und überwachen Sie genau auf erneute Einbruchsversuche oder Reinfektionen auf benachbarten Hosts.
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Anzeigen
Verdächtige Befehlszeile enthält den Namen des Browsers als Argument (via cmdline)
Anzeigen
Mögliche manuelle oder Skriptoperation wurde in ungewöhnlichen Ordnern durchgeführt (via cmdline)
Anzeigen
Mögliche Nutzung von Lame zur Tonaufnahme (über cmdline)
Anzeigen
Möglicher Missbrauch von Telegram als Kommando- und Kontrollkanal (via dns_query)
Anzeigen
Rufe verdächtige Windows-API-Funktionen von Powershell auf (via powershell)
Anzeigen
Möglicherweise wurde ein selbstextrahierendes Archiv erstellt (via file_event)
Anzeigen
IOCs (E-Mails) zu erkennen: Prince of Persia APT-Analyse: Infy-, Foudre- und Tonnerre-Malware
Anzeigen
Prince of Persia Foudre Malware-Ausführung und Umgehung [Windows-Prozesserstellung]
Anzeigen
Erkennung von Tonnerre-Malware mit Telegram-Bot und dynamischer Domänengenerierung [Windows-Netzwerkverbindung]
Anzeigen
Infy-Malware-API-Aufruf-Erkennung [Windows Sysmon]
Anzeigen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Basisprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Gegner eingesetzten Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs abbilden und darauf abzielen, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffsablauf & Befehle:
Der simulierte Angreifer imitiert das Verhalten von Infy-Malware, indem er drei Dummy-Ausführungsdateien erstellt, deren Dateinamen den von der Regel überwachten API-Aufrufen entsprechen. MitCopy-Item, duplizieren wirnotepad.exe(eine harmlose, bereits vorhandene Binärdatei) in das temporäre Verzeichnis und benennen es um, um mit jedem API-Aufruf übereinzustimmen. Der Angreifer führt dann jede Dummy-Binärdatei aus und erzeugt Sysmon-Prozess-Erstellungsereignisse mitBildWerten, die inGetFileAttributesA.exe,GetMessageA.exeundDispatchMessageA.exeenden. Da die Bedingung der RegelAuswahl1 oder Auswahl2auf demBildFeld ist, erfüllt jeder Start die Regel und erzeugt einen Alarm. -
Regressionstest-Skript:
# ------------------------------------------------- # Simulation-Skript – Infy-API-Aufrufdetektionstest # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Helfer: notepad.exe in einen neuen Namen kopieren function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Erstellt $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # Erstellen und ausführen von Dummy-Binärdateien, die den API-Namen entsprechen Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "Simulation abgeschlossen. SIEM auf Alarme prüfen." -
Bereinigungsbefehle:
# ------------------------------------------------- # Bereinigungsskript – Entfernen von simulierten Binärdateien # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # Stoppen aller verbleibenden Dummy-Prozesse Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen des temporären Verzeichnisses und seiner Inhalte Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."