ペルシャの王子APT分析:Infy、Foudre、およびTonnerreマルウェア
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Prince of Persia(APT-C-07とも追跡されている)は、2007年から活動していると評価される、イランと関連する長期的なサイバースパイ活動を行うアクターです。このグループは、メディア組織、政治機関、市民社会のターゲットを監視するために、複数の独自マルウェアファミリー(Infy、Foudre、Tonnerre、MaxPinner)をサイクルしています。作戦は通常、スピアフィッシングと機会的なドライブバイ感染経路を組み合わせて行われ、カスタムのコマンドアンドコントロール方法(特にTelegramボットベースのチャネルを含む)に依存してアクセスを維持し、侵害されたシステムからデータを移動します。
調査
Unit 42や他の研究チームは、2016年に観察されたInfyインフラストラクチャから2017年のFoudre活動の復活、およびコマンドアンドコントロールにTelegramを使用する2025年のTonnerreの反復に至るまでアクターのツールの進化を追跡しました。技術報告では、Visual Basicマクロドロッパーを介した配信、Windowsサービスインストールによる永続性、強靭なインフラストラクチャをサポートするためのドメイン生成ロジックの使用が強調されています。アナリストはまた、クレデンシャルアクセスやキーロギングなどの監視行動を行うために使用されるネイティブWindows APIレベルの機能、そして侵害後のトレードクラフトの継続的な洗練を示す実行パターンを文書化しました。
緩和策
初回実行機会を減らすために、Officeマクロに対する厳しい制御を適用し、メール添付のサニタイズを施行します。業務運営に必要ない環境でのTelegramトラフィックを制限するか、厳重に監視します。エンドポイント上では、疑わしいサービス作成についてアラートを発し、DLL実行チェーンに一致するrundll32の使用を追跡し、既知の悪意のあるファイル名とレジストリベースの永続化パターンをブロックします。DGAのような行動に関連する動的に変化するドメインパターンの検出内容を最新状態に保ち、現在のテレメトリに対して定期的に制御を検証します。
レスポンス
指標が検出された場合、影響を受けたシステムを隔離し、揮発性アーティファクトをキャプチャし、永続化に使用された特定のサービス名とレジストリエントリを探します。スケジュールされたタスクの作成、異常なDLLロードアクティビティ、およびTelegramベースのC2通信の証拠を含む情報の収集を拡大します。確実な修復プレイブックを使用して悪意のあるサービスやステージングファイルを削除し、潜在的に漏洩した認証情報を更新し、隣接するホストへの再侵入や再感染の試みを注意深く監視します。
攻撃フロー
検出
疑わしいTaskkill実行(cmdline経由)
表示
コマンドラインにブラウザ名を引数として含む疑わしいコマンドライン
表示
通常でないフォルダでのハンズオンまたはスクリプト操作(cmdline経由)
表示
音声録音のための予想されるLame使用(cmdline経由)
表示
コマンドアンドコントロールチャネルとしてのTelegramの悪用の可能性(dns_query経由)
表示
Powershellからの疑わしいWindows API関数の呼び出し(powershell経由)
表示
自己解凍アーカイブが作成された可能性(file_event経由)
表示
Prince of Persia APTの分析を検出するためのIOC(メール):Infy、Foudre、Tonnerreマルウェア
表示
Prince of Persia Foudreマルウェアの実行と回避[Windowsプロセス作成]
表示
Telegramボットと動的ドメイン生成を使用したTonnerreマルウェアの検出[Windowsネットワーク接続]
表示
InfyマルウェアAPIコールの検出[Windows Sysmon]
表示
シミュレーション実行
前提条件: テレメトリとベースラインの事前フライトチェックはパスしている必要があります。
理由: このセクションは、検出ルールをトリガーするように設計された敵の技術(TTP)の正確な実行を詳述しています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。
-
攻撃の概要とコマンド:
シミュレートされた攻撃者は、ルールが監視するAPIコールに対応するファイル名を持つ3つのダミー実行ファイルを作成することにより、Infyマルウェアの動作を模倣します。次を使用してCopy-Item, 、notepad.exe(無害で既に存在するバイナリ)を一時ディレクトリにコピーし、各APIコールに一致するようファイル名を変更します。その後、攻撃者は各ダミーバイナリを実行し、Sysmonプロセス作成イベントを生成します。これにより、イメージは次のように終了します。GetFileAttributesA.exe,GetMessageA.exe、そしてDispatchMessageA.exe。ルールの条件は条件1または条件2であるため、イメージフィールドで -
、各起動がルールを満たし、アラートを生成します。
リグレッションテストスクリプト: -
クリーンアップコマンド:
# ------------------------------------------------- # クリーンアップスクリプト – シミュレートされたバイナリを削除 # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # 残っているダミープロセスを停止 Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # 一時ディレクトリとその内容を削除 Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップ完了。"