SOC Prime Bias: Critico

25 Mar 2026 16:16 UTC

Il Conflitto Iraniano Spinge un Aumento dell’Attività di Spionaggio sui Bersagli del Medio Oriente

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Il Conflitto Iraniano Spinge un Aumento dell’Attività di Spionaggio sui Bersagli del Medio Oriente
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Proofpoint ha segnalato un aumento dell’attività di spionaggio e phishing legata a attori minacciosi allineati allo stato iraniano, cinese, pakistano, bielorusso e altri dopo gli attacchi di febbraio 2026 in Iran. Gli avversari hanno utilizzato esche a tema conflitto per colpire ministeri governativi, organizzazioni diplomatiche e think tank in tutto il Medio Oriente e gli Stati Uniti. Queste operazioni si basavano su phishing per rubare credenziali, file LNK malevoli, caricamento laterale di DLL e carichi utili di Cobalt Strike consegnati tramite account email compromessi e infrastrutture ospitate su cloud. Gli sforzi di rilevazione dovrebbero dare priorità a scorciatoie di Office malevole, pagine di accesso false in stile OneDrive e uso sospetto di caricamenti di malware noti.

Indagine

Proofpoint ha monitorato sei campagne separate — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 e TA453 — che utilizzavano compromissione email, archivi armati e link malevoli per consegnare loader che alla fine lanciavano Cobalt Strike. I ricercatori hanno catalogato indicatori tra cui indirizzi email, domini, URL, nomi file e hash di file. Quando possibile, il rapporto ha anche mappato l’infrastruttura osservata rispetto ai rapporti pubblicamente documentati precedentemente.

Mitigazione

Le organizzazioni dovrebbero richiedere l’autenticazione multifattore per email e piattaforme cloud, bloccare domini e URL noti come malevoli e monitorare l’esecuzione di LNK e l’attività di caricamento DLL imprevista. I controlli di sicurezza email dovrebbero ispezionare gli allegati per la consegna basata su LNK e archivi, mentre la caccia alle minacce dovrebbe concentrarsi sul comportamento dei beacon di Cobalt Strike e sull’esecuzione insolita di PowerShell.

Risposta

Se viene identificato un LNK sospetto, un archivio malevolo o un beacon di Cobalt Strike, isolare l’host, raccogliere prove volatili e avviare immediatamente la risposta all’incidente. Bloccare i domini di comando e controllo correlati e gli indirizzi IP, reimpostare gli account compromessi e condurre un’investigazione forense completa per identificare eventuali meccanismi di persistenza.

Flusso di Attacco

Rilevamenti

Binari / Script Sospetti in Posizione Autostart (tramite file_event)

Team SOC Prime
25 Mar 2026

File Sospetti nel Profilo Utente Pubblico (tramite file_event)

Team SOC Prime
25 Mar 2026

Possibile Infiltrazione / Esfiltrazione di Dati / C2 tramite Servizi / Strumenti di Terzi (tramite dns)

Team SOC Prime
25 Mar 2026

File Estratti Sospetti da un Archivio (tramite file_event)

Team SOC Prime
25 Mar 2026

Possibile Tentativo di Caricamento Laterale di DLL NvdaHelperRemote (tramite image_load)

Team SOC Prime
17 Mar 2026

Uso Sospetto di CURL (tramite cmdline)

Team SOC Prime
25 Mar 2026

Possibile Infiltrazione / Esfiltrazione di Dati / C2 tramite Servizi / Strumenti di Terzi (tramite proxy)

Team SOC Prime
25 Mar 2026

Possibile Dominio di Google Docs Risolto da Processo Insolito (tramite dns_query)

Team SOC Prime
25 Mar 2026

File di Disco Rigido Virtuale è Stato Creato (tramite file_event)

Team SOC Prime
25 Mar 2026

IOCs (HashSha256) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente

Regole AI SOC Prime
17 Mar 2026

IOCs (SourceIP) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente

Regole AI SOC Prime
17 Mar 2026

IOCs (DestinationIP) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente

Regole AI SOC Prime
17 Mar 2026

Rilevamento di Esecuzione Sospetta di nvdaHelperRemoteLoader.exe e VLCMediaPlayer.exe [Creazione Processi Windows]

Regole AI SOC Prime
17 Mar 2026

Rilevamento di Domini C&C Associati alle Campagne UNK_InnerAmbush e UNK_RobotDreams [Connessione di Rete Windows]

Regole AI SOC Prime
17 Mar 2026

Esecuzione di Simulazione

Prerequisito: il controllo Prevolo di Telemetria e Baseline deve essere passato.

Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrazione e Comandi d’Attacco:
    Un avversario ha ottenuto una copia compromessa di nvdaHelperRemoteLoader.exe inserita con una DLL malevola (evil.dll). Posizionano il binario in C:Temp e creano un collegamento che punta ad esso, avviando l’esecuzione tramite un’attività programmata (T1546.009). Contemporaneamente, abusano del binario firmato VLCMediaPlayer.exe (T1218) per avviare un carico utile di PowerShell che esegue un’impronta digitale dell’host. Entrambi i binari vengono lanciati direttamente per garantire che l’evento di creazione del processo contenga il nome esatto del file eseguibile richiesto dalla regola.

  • Script di Test di Regressione:

    # -------------------------------------------------
    # Script di simulazione – attiva entrambi i rilevamenti
    # -------------------------------------------------
    # Imposta la cartella di esecuzione
    $binPath = "C:Temp"
    
    # 1. Distribuire nvdaHelperRemoteLoader.exe malevolo (copia segnaposto)
    $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- sostituire con campione reale
    Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force
    
    # 2. Distribuire VLCMediaPlayer.exe malevolo (copia segnaposto)
    $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- sostituire con campione reale
    Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force
    
    # 3. Eseguire nvdaHelperRemoteLoader.exe (simulando caricamento laterale DLL)
    Write-Host "Avviando nvdaHelperRemoteLoader.exe ..."
    Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden
    
    # 4. Eseguire VLCMediaPlayer.exe per eseguire un'impronta digitale PowerShell one-liner
    $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
    Write-Host "Avviando VLCMediaPlayer.exe con carico utile PowerShell ..."
    Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
        -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
        -WindowStyle Hidden
    
    Write-Host "Simulazione completata. Verifica gli avvisi nel tuo SIEM."
  • Comandi di Pulizia:

    # Fermare eventuali processi di test rimanenti
    Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Rimuovere i binari di test
    Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "Pulizia completata."