Analisi APT Prince of Persia: Malware Infy, Foudre e Tonnerre
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Prince of Persia (anche tracciato come APT-C-07) è un attore di cyber-spionaggio allineato con l’Iran, attivo dal 2007. Il gruppo ha riciclato diverse famiglie di malware proprietari—Infy, Foudre, Tonnerre e MaxPinner—per sorvegliare organizzazioni mediatiche, enti politici e obiettivi della società civile. Le operazioni spesso combinano spear-phishing con percorsi di infezione opportunistica e si affidano a metodi di comando e controllo su misura, inclusi canali basati su bot Telegram, per mantenere l’accesso e trasferire dati da sistemi compromessi.
Indagine
Unit 42 e altri team di ricerca hanno tracciato la progressione degli strumenti dell’attore dall’infrastruttura di Infy osservata nel 2016 al ritorno dell’attività di Foudre nel 2017 e a un’iterazione del 2025 di Tonnerre che utilizza Telegram per il comando e controllo. I report tecnici evidenziano la consegna tramite macro di Visual Basic, la persistenza attraverso l’installazione di servizi Windows e l’uso di logica di generazione di domini per supportare un’infrastruttura resiliente. Gli analisti hanno anche documentato funzionalità native a livello di API di Windows usate per l’accesso alle credenziali e comportamenti di sorveglianza come il keylogging, oltre a modelli di esecuzione che indicano un raffinamento continuo delle tecniche di compromissione post-attacco.
Mitigazione
Applicare controlli rigorosi per le macro di Office e imporre la sanificazione degli allegati e-mail per ridurre le opportunità di esecuzione iniziale. Implementare controlli di rete per limitare o monitorare da vicino il traffico Telegram in ambienti in cui non è richiesto per operazioni aziendali. Sui punti terminali, allertare sulla creazione sospetta di servizi, tracciare l’uso di rundll32 coerente con le catene di esecuzione DLL, e bloccare nomi di file dannosi noti e modelli di persistenza basati su registro. Mantenere aggiornati i contenuti di rilevazione per i modelli di dominio che cambiano dinamicamente associati a comportamenti simili a DGA e validare regolarmente i controlli contro la telemetria attuale.
Risposta
Se vengono rilevati indicatori, isolare il sistema coinvolto, catturare artefatti volatili e ricercare i nomi specifici dei servizi e le voci di registro utilizzate per la persistenza. Espandere il triage alla creazione di task pianificati, all’attività anomala di caricamento DLL, e a qualsiasi evidenza di comunicazioni C2 basate su Telegram. Rimuovere i servizi dannosi e i file messi in scena utilizzando le playbook di rimedio convalidati, quindi ruotare le credenziali potenzialmente esposte e monitorare attentamente per tentativi di reingresso o reinfezione attraverso host adiacenti.
Flusso di attacco
Rilevamenti
Esecuzione Sospetta Taskkill (via cmdline)
Visualizza
La Riga di Comando Sospetta Contiene il Nome del Browser come Argomento (via cmdline)
Visualizza
Possibile Operazione Manuale o di Scripting Effettuata in Cartelle Insolite (via cmdline)
Visualizza
Possibile Utilizzo di Lame per la Registrazione del Suono (via cmdline)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)
Visualizza
Chiamata a Funzioni Sospette API di Windows da Powershell (via powershell)
Visualizza
Possibile Archivio Autoestraente è Stato Creato (via file_event)
Visualizza
IOC (Email) per rilevare: Analisi APT Prince of Persia: Malware Infy, Foudre e Tonnerre
Visualizza
Esecuzione e Evasione Malware Foudre Prince of Persia [Creazione Processo Windows]
Visualizza
Rilevamento del Malware Tonnerre Usando Bot Telegram e Generazione Dinamica di Domini [Connessione di Rete Windows]
Visualizza
Rilevamento Chiamate API Malware Infy [Sysmon Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo di Telemetria e Baseline Pre-volo deve essere passato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
L’avversario simulato mima il comportamento del malware Infy creando tre eseguibili fittizi i cui nomi corrispondono alle chiamate API che la regola osserva. UtilizzandoCopy-Item, duplichiamonotepad.exe(un binario benigno già presente) nella directory temporanea e lo rinomiamo per corrispondere a ciascuna chiamata API. L’attaccante quindi esegue ciascun binario fittizio, producendo eventi di creazione processi di Sysmon conValori Immagineche terminano inGetFileAttributesA.exe,GetMessageA.exe, eDispatchMessageA.exe. Poiché la condizione della regola èselezione1 o selezione2sulValori Immaginecampo -
, ogni lancio soddisfa la regola e genera un avviso.
# ------------------------------------------------- # Script di Simulazione – Test di Rilevamento Chiamate API Infy # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Helper: copia notepad.exe con un nuovo nome function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Creato $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # Creare ed eseguire binari fittizi che corrispondono ai nomi delle API Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "Simulazione completata. Verifica gli avvisi nel SIEM." -
Comandi di Pulizia:
# ------------------------------------------------- # Script di Pulizia – Rimuovere binari simulati # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # Arrestare eventuali processi fittizi rimanenti Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuovere la directory temporanea e il suo contenuto Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."