페르시아의 왕자 APT 분석: 인피, 푸드르, 그리고 토네르 멀웨어
Detection stack
- AIDR
- Alert
- ETL
- Query
개요
페르시아의 왕자(일명 APT-C-07)는 2007년부터 활동 중인 것으로 평가받는 이란 동조 사이버 스파이 단체입니다. 이 그룹은 인피, 푸드르, 토네르, 맥스피너 등 여러 독자적인 악성코드 패밀리를 통해 미디어 조직, 정치 단체 및 시민 사회 대상들을 감시해 왔습니다. 작전은 일반적으로 스피어 피싱과 기회주의적인 드라이브 바이 감염 경로를 조합하고, 맞춤형 커맨드앤컨트롤 방법, 특히 텔레그램 봇 기반 채널을 사용하여 무단 시스템 접근을 유지하고 데이터를 전송합니다.
조사
유닛 42 및 다른 연구팀은 2016년 인피 인프라스트럭처로부터 2017년 푸드르 활동의 복귀와 텔레그램을 커맨드앤컨트롤에 사용하는 2025년 토네르 버전까지 배우들의 도구 발전을 추적했습니다. 기술 보고서는 비주얼 베이직 매크로 드로퍼를 통한 전달, Windows 서비스 설치를 통한 지속성, 안정적인 인프라스트럭처 지원을 위한 도메인 생성 로직 사용 등을 강조합니다. 분석가들은 또한 자격 증명 접근 및 키로깅 같은 감시 행위를 위해 Windows 네이티브 API 수준의 기능을 문서화했으며, 피해 이후 지속적으로 무역 기술을 세습함을 나타내는 실행 패턴을 나타냈습니다.
완화
오피스 매크로에 대한 엄격한 통제와 이메일 첨부파일 살균을 시행하여 초기 실행 기회를 줄이세요. 비즈니스 운영에 필요하지 않은 환경에서는 텔레그램 트래픽을 제한하거나 주의 깊게 모니터링하는 네트워크 제어를 구현하세요. 엔드포인트에서는 서비스 생성 경고를 알리고, DLL 실행 체인과 일치하는 rundll32 사용을 추적하며, 알려진 악성 파일 이름 및 레지스트리 기반 지속성 패턴을 차단하세요. DGA 유사 행동과 관련된 동적으로 변하는 도메인 패턴에 대한 최신 탐지 콘텐츠를 유지하고, 현재 텔레메트리에 대해 정기적으로 통제를 검증하세요.
반응
지표가 탐지되면 영향을 받은 시스템을 격리하고, 휘발성 아티팩트를 캡처하며, 지속성에 사용된 특정 서비스 이름 및 레지스트리 항목을 찾아보세요. 예약된 작업 생성, 이상한 DLL 로드 활동, 텔레그램 기반 C2 통신의 모든 증거로 삼각 측량을 확장하세요. 검증된 복구 플레이북을 사용하여 악성 서비스를 제거하고 스테이지된 파일을 제거한 후, 잠재적으로 노출된 자격 증명을 회전시키고 재입장 시도 또는 인접 호스트로의 재감염을 주의 깊게 모니터링하세요.
공격 흐름
탐지
의심스러운 Taskkill 실행 (cmdline 사용)
보기
명령줄 인수에 브라우저 이름 포함된 의심스러운 명령 줄 (cmdline 사용)
보기
비정상적인 폴더에서 수행된 가능한 직접 조작 또는 스크립팅 작업 (cmdline 사용)
보기
가능한 Lame 사용하여 사운드 녹음 (cmdline 사용)
보기
명령과 제어 채널로 텔레그램이 오용될 가능성 (dns_query 사용)
보기
Powershell에서 의심스러운 Windows API 기능 호출 (powershell 사용)
보기
자체 추출 아카이브가 생성되었을 가능성 (file_event 사용)
보기
Prince of Persia APT 분석 탐지를 위한 IOCs(이메일): Infy, Foudre, 및 Tonnerre 악성코드
보기
페르시아의 왕자 푸드르 악성코드 실행 및 회피 [Windows 프로세스 생성]
보기
텔레그램 봇과 동적 도메인 생성을 사용하는 토네르 악성코드 탐지 [Windows 네트워크 연결]
보기
Infy 악성코드 API 호출 탐지 [Windows Sysmon]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적수 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서사는 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 논리에서 예상하는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 서사 및 명령:
시뮬레이션된 적수는 규칙이 감시하는 API 호출에 해당하는 파일명을 가진 세 개의 더미 실행 파일을 생성하여 Infy 악성코드의 행동을 모방합니다. 사용 중인 프로그램Copy-Item, 우리는notepad.exe(일반, 이미 존재하는 바이너리)을 임시 디렉터리에 복사하고 각 API 호출에 맞춰 이름을 변경합니다. 공격자는 그런 다음 각 더미 바이너리를 실행하여Image값이GetFileAttributesA.exe,끝나는 Sysmon 프로세스 생성 이벤트를 만듭니다., 그리고DispatchMessageA.exe. 규칙의 조건이 ‘field’에서selection1 or selection2이므로, 각 실행은 규칙을 충족하고 경고를 생성합니다.Image선택1 또는 선택2 -
회귀 테스트 스크립트:
# ------------------------------------------------- # 시뮬레이션 스크립트 – Infy API 호출 탐지 테스트 # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # 도우미: notepad.exe를 새로운 이름으로 복사 function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Created $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # API 이름과 일치하는 더미 바이너리 생성 및 실행 Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "시뮬레이션 완료. SIEM에서 경고를 확인하세요." -
정리 명령:
# ------------------------------------------------- # 정리 스크립트 – 시뮬레이션된 바이너리 제거 # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # 남아 있는 더미 프로세스 중지 Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # 임시 디렉터리 및 그 내용 제거 Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "정리 완료."