Il Conflitto Iraniano Spinge un Aumento dell’Attività di Spionaggio sui Bersagli del Medio Oriente
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Proofpoint ha segnalato un aumento dell’attività di spionaggio e phishing legata a attori minacciosi allineati allo stato iraniano, cinese, pakistano, bielorusso e altri dopo gli attacchi di febbraio 2026 in Iran. Gli avversari hanno utilizzato esche a tema conflitto per colpire ministeri governativi, organizzazioni diplomatiche e think tank in tutto il Medio Oriente e gli Stati Uniti. Queste operazioni si basavano su phishing per rubare credenziali, file LNK malevoli, caricamento laterale di DLL e carichi utili di Cobalt Strike consegnati tramite account email compromessi e infrastrutture ospitate su cloud. Gli sforzi di rilevazione dovrebbero dare priorità a scorciatoie di Office malevole, pagine di accesso false in stile OneDrive e uso sospetto di caricamenti di malware noti.
Indagine
Proofpoint ha monitorato sei campagne separate — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 e TA453 — che utilizzavano compromissione email, archivi armati e link malevoli per consegnare loader che alla fine lanciavano Cobalt Strike. I ricercatori hanno catalogato indicatori tra cui indirizzi email, domini, URL, nomi file e hash di file. Quando possibile, il rapporto ha anche mappato l’infrastruttura osservata rispetto ai rapporti pubblicamente documentati precedentemente.
Mitigazione
Le organizzazioni dovrebbero richiedere l’autenticazione multifattore per email e piattaforme cloud, bloccare domini e URL noti come malevoli e monitorare l’esecuzione di LNK e l’attività di caricamento DLL imprevista. I controlli di sicurezza email dovrebbero ispezionare gli allegati per la consegna basata su LNK e archivi, mentre la caccia alle minacce dovrebbe concentrarsi sul comportamento dei beacon di Cobalt Strike e sull’esecuzione insolita di PowerShell.
Risposta
Se viene identificato un LNK sospetto, un archivio malevolo o un beacon di Cobalt Strike, isolare l’host, raccogliere prove volatili e avviare immediatamente la risposta all’incidente. Bloccare i domini di comando e controllo correlati e gli indirizzi IP, reimpostare gli account compromessi e condurre un’investigazione forense completa per identificare eventuali meccanismi di persistenza.
Flusso di Attacco
Rilevamenti
Binari / Script Sospetti in Posizione Autostart (tramite file_event)
Visualizzare
File Sospetti nel Profilo Utente Pubblico (tramite file_event)
Visualizzare
Possibile Infiltrazione / Esfiltrazione di Dati / C2 tramite Servizi / Strumenti di Terzi (tramite dns)
Visualizzare
File Estratti Sospetti da un Archivio (tramite file_event)
Visualizzare
Possibile Tentativo di Caricamento Laterale di DLL NvdaHelperRemote (tramite image_load)
Visualizzare
Uso Sospetto di CURL (tramite cmdline)
Visualizzare
Possibile Infiltrazione / Esfiltrazione di Dati / C2 tramite Servizi / Strumenti di Terzi (tramite proxy)
Visualizzare
Possibile Dominio di Google Docs Risolto da Processo Insolito (tramite dns_query)
Visualizzare
File di Disco Rigido Virtuale è Stato Creato (tramite file_event)
Visualizzare
IOCs (HashSha256) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente
Visualizzare
IOCs (SourceIP) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente
Visualizzare
IOCs (DestinationIP) per rilevare: il conflitto in Iran alimenta l’attività di spionaggio contro gli obiettivi del Medio Oriente
Visualizzare
Rilevamento di Esecuzione Sospetta di nvdaHelperRemoteLoader.exe e VLCMediaPlayer.exe [Creazione Processi Windows]
Visualizzare
Rilevamento di Domini C&C Associati alle Campagne UNK_InnerAmbush e UNK_RobotDreams [Connessione di Rete Windows]
Visualizzare
Esecuzione di Simulazione
Prerequisito: il controllo Prevolo di Telemetria e Baseline deve essere passato.
Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi d’Attacco:
Un avversario ha ottenuto una copia compromessa dinvdaHelperRemoteLoader.exeinserita con una DLL malevola (evil.dll). Posizionano il binario inC:Tempe creano un collegamento che punta ad esso, avviando l’esecuzione tramite un’attività programmata (T1546.009). Contemporaneamente, abusano del binario firmatoVLCMediaPlayer.exe(T1218) per avviare un carico utile di PowerShell che esegue un’impronta digitale dell’host. Entrambi i binari vengono lanciati direttamente per garantire che l’evento di creazione del processo contenga il nome esatto del file eseguibile richiesto dalla regola. -
Script di Test di Regressione:
# ------------------------------------------------- # Script di simulazione – attiva entrambi i rilevamenti # ------------------------------------------------- # Imposta la cartella di esecuzione $binPath = "C:Temp" # 1. Distribuire nvdaHelperRemoteLoader.exe malevolo (copia segnaposto) $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <-- sostituire con campione reale Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. Distribuire VLCMediaPlayer.exe malevolo (copia segnaposto) $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <-- sostituire con campione reale Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. Eseguire nvdaHelperRemoteLoader.exe (simulando caricamento laterale DLL) Write-Host "Avviando nvdaHelperRemoteLoader.exe ..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. Eseguire VLCMediaPlayer.exe per eseguire un'impronta digitale PowerShell one-liner $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "Avviando VLCMediaPlayer.exe con carico utile PowerShell ..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" ` -WindowStyle Hidden Write-Host "Simulazione completata. Verifica gli avvisi nel tuo SIEM." -
Comandi di Pulizia:
# Fermare eventuali processi di test rimanenti Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuovere i binari di test Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."