SOC Prime Bias: 重大

25 Mar 2026 16:16 UTC

イラン紛争による中東地域標的へのスパイ活動の急増

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
イラン紛争による中東地域標的へのスパイ活動の急増
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Proofpointは、2026年2月のイランでの攻撃後に、イラン、中国、パキスタン、ベラルーシ、その他の国家と連携する脅威アクターに関連したスパイ活動とフィッシング活動の増加を報告しました。敵対者は政府省庁、外交組織、シンクタンクを中東と米国全体で攻撃するために、紛争をテーマにした誘因を使用しました。これらの作戦は、資格情報フィッシング、悪意のあるLNKファイル、DLLサイドローディング、Cobalt Strikeペイロードを使用して、侵害されたメールアカウントとクラウドホスティングインフラストラクチャを通じて配信されました。検出の取り組みは、悪意のあるOfficeショートカット、偽のOneDriveスタイルのログインページ、既知のマルウェアローダーの疑わしい使用を優先すべきです。

調査

Proofpointは6つの別々のキャンペーン(UNK_InnerAmbush、TA402、UNK_RobotDreams、UNK_NightOwl、TA473、TA453)を追跡しました。これらのキャンペーンは、メールの侵害、武器化されたアーカイブ、および悪意のあるリンクを使用して、最終的にCobalt Strikeを起動するローダーを配信しました。研究者は、メールアドレス、ドメイン、URL、ファイル名、ファイルハッシュを含む指標をカタログ化しました。可能な限り、報告書は観測されたインフラストラクチャを以前に文書化された公開報告とマッピングしました。

緩和策

組織は、メールおよびクラウドプラットフォームにMFAを要求し、既知の悪意のあるドメインおよびURLをブロックし、LNK実行および予期しないDLL読み込み活動を監視するべきです。メールセキュリティの管理機能は、LNKおよびアーカイブベースの配信の添付ファイルを検査すべきであり、脅威のハンティングは特にCobalt Strikeビーコンの行動と異常なPowerShell実行を強調するべきです。

対応策

もし疑わしいLNK、悪意のあるアーカイブ、またはCobalt Strikeビーコンが識別された場合、ホストを隔離し、揮発性証拠を収集し、即座にインシデント対応を開始します。関連するコマンド・アンド・コントロールドメインおよびIPアドレスをブロックし、侵害されたアカウントをリセットし、持続するメカニズムを特定するための完全なフォレンジック調査を実施します。

攻撃フロー

検出

自動起動位置での疑わしいバイナリ/スクリプト(file_event経由)

SOC Prime チーム
2026年3月25日

公開ユーザープロファイルでの疑わしいファイル(file_event経由)

SOC Prime チーム
2026年3月25日

サードパーティサービス/ツールを介した可能なデータ侵入/流出/C2(dns経由)

SOC Prime チーム
2026年3月25日

アーカイブから抽出された疑わしいファイル(file_event経由)

SOC Prime チーム
2026年3月25日

可能性のあるNvdaHelperRemote DLLサイドローディング試行(image_load経由)

SOC Prime チーム
2026年3月17日

疑わしいCURL使用法(cmdline経由)

SOC Prime チーム
2026年3月25日

サードパーティサービス/ツールを介した可能なデータ侵入/流出/C2(proxy経由)

SOC Prime チーム
2026年3月25日

非一般的なプロセスによるGoogle Docsドメインの解決の可能性(dns_query経由)

SOC Prime チーム
2026年3月25日

仮想ハードディスクファイルが作成されました(file_event経由)

SOC Prime チーム
2026年3月25日

検出するためのIOC(HashSha256):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす

SOC Prime AI ルール
2026年3月17日

検出するためのIOC(SourceIP):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす

SOC Prime AI ルール
2026年3月17日

検出するためのIOC(DestinationIP):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす

SOC Prime AI ルール
2026年3月17日

nvdaHelperRemoteLoader.exeとVLCMediaPlayer.exeの疑わしい実行の検出 [Windows プロセスの作成]

SOC Prime AI ルール
2026年3月17日

UNK_InnerAmbushおよびUNK_RobotDreamsキャンペーンに関連するC&Cドメインの検出 [Windows ネットワーク接続]

SOC Prime AI ルール
2026年3月17日

シミュレーション実行

前提条件:テレメトリー&ベースラインの事前準備チェックが合格している必要があります。

理由:このセクションでは、検出規則をトリガーするために設計された敵対者のテクニック(TTP)の正確な実行について詳細を述べています。コマンドとナラティブは、確実に特定されたTTPと直接一致し、検出ロジックによって期待される正確なテレメトリーを生成することを目指さなければなりません。

  • 攻撃のナラティブ&コマンド:
    敵対者は、侵害されたコピーを入手しました nvdaHelperRemoteLoader.exe 悪意のあるDLL(evil.dll)が埋め込まれています。彼らはバイナリを C:Temp に配置し、スケジュールされたタスク(T1546.009)を介して実行をトリガーするショートカットを作成します。同時に、署名されたバイナリを濫用します VLCMediaPlayer.exe (T1218)を使用して、ホストのフィンガープリンティングを実行するPowerShellペイロードを起動します。両方のバイナリは、プロセス作成イベントに正確な実行可能名を含めるため、直接起動されます。

  • 回帰テストスクリプト:

    # -------------------------------------------------
    # シミュレーションスクリプト – 両方の検出をトリガーする
    # -------------------------------------------------
    # 実行フォルダを設定
    $binPath = "C:Temp"
    
    # 1. 悪意のあるnvdaHelperRemoteLoader.exe(プレースホルダコピー)をデプロイ
    $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- 実際のサンプルに置き換える
    Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force
    
    # 2. 悪意のあるVLCMediaPlayer.exe(プレースホルダコピー)をデプロイ
    $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- 実際のサンプルに置き換える
    Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force
    
    # 3. nvdaHelperRemoteLoader.exeを実行(DLLサイドローディングをシミュレーション)
    Write-Host "nvdaHelperRemoteLoader.exeを起動しています..."
    Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden
    
    # 4. VLCMediaPlayer.exeを実行し、フィンガープリンティングのPowerShellワンライナーを実行
    $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
    Write-Host "PowerShellペイロードでVLCMediaPlayer.exeを起動します..."
    Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
        -ArgumentList "-I dummy --dummy-arg "powershell -Command `$psCmd" " " `
        -WindowStyle Hidden
    
    Write-Host "シミュレーションが完了しました。SIEMでアラートを確認してください。"
  • クリーンアップコマンド:

    # 残存するテストプロセスを停止
    Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # テストバイナリを削除
    Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "クリーンアップが完了しました。"