Análise APT Prince of Persia: Malware Infy, Foudre e Tonnerre
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Prince of Persia (também rastreado como APT-C-07) é um ator de ciberespionagem alinhado ao Irã, avaliado como ativo desde 2007. O grupo passou por várias famílias de malware proprietário—Infy, Foudre, Tonnerre, e MaxPinner—para monitorar organizações de mídia, entidades políticas e alvos da sociedade civil. As operações geralmente misturam spear-phishing com caminhos de infecção oportunistas e dependem de métodos personalizados de comando e controle, incluindo canais baseados em bots do Telegram, para manter o acesso e mover dados de sistemas comprometidos.
Investigação
A Unidade 42 e outras equipes de pesquisa rastrearam a progressão das ferramentas do ator desde a infraestrutura Infy observada em 2016 até o retorno da atividade Foudre em 2017 e uma iteração de 2025 do Tonnerre que utiliza o Telegram para comando e controle. Relatórios técnicos destacam a entrega através de macros do Visual Basic, persistência via instalação de serviços do Windows e o uso de lógica de geração de domínios para suportar uma infraestrutura resiliente. Analistas também documentaram a funcionalidade nativa em nível de API do Windows usada para acesso a credenciais e comportamentos de vigilância como keylogging, juntamente com padrões de execução que indicam refinamento contínuo das técnicas pós-comprometimento.
Mitigação
Aplique controles rigorosos para macros do Office e imponha a sanitização de anexos de e-mail para reduzir as oportunidades de execução inicial. Implemente controles de rede para restringir ou monitorar de perto o tráfego do Telegram em ambientes onde não é necessário para operações comerciais. Nos endpoints, alerte para a criação suspeita de serviços, rastreie o uso de rundll32 consistente com cadeias de execução DLL, e bloqueie nomes de arquivos maliciosos conhecidos e padrões de persistência baseados em registro. Mantenha o conteúdo de detecção atualizado para padrões de domínio dinâmicos associados a comportamentos semelhantes ao DGA e valide rotineiramente os controles contra a telemetria atual.
Resposta
Se indicadores forem detectados, isole o sistema afetado, capture artefatos voláteis e procure por nomes específicos de serviços e entradas no registro usados para persistência. Expanda a triagem para a criação de tarefas agendadas, atividade anômala de carga de DLL e qualquer evidência de comunicações de C2 baseadas no Telegram. Remova serviços maliciosos e arquivos em estágio usando playbooks de remediação aprovados, então troque credenciais potencialmente expostas e monitore de perto para tentativas de reentrada ou reinfecção em hosts adjacentes.
Fluxo de ataque
Detecções
Execução Suspeita de Taskkill (via linha de comando)
Ver
Linha de Comando Suspeita Contém Nome do Navegador como Argumento (via linha de comando)
Ver
Possível Operação Manual ou de Script Realizada em Pastas Incomuns (via linha de comando)
Ver
Possível Uso do Lame para Gravação de Som (via linha de comando)
Ver
Possível Abuso do Telegram como Canal de Comando e Controle (via consulta DNS)
Ver
Chamar Funções de API do Windows Suspeitas a partir do Powershell (via powershell)
Ver
Possível Arquivo Autoextraível foi Criado (via evento de arquivo)
Ver
IOCs (E-mails) para detectar: Análise APT Prince of Persia: Infy, Foudre e Tonnerre Malware
Ver
Execução e Evasão do Malware Prince of Persia Foudre [Criação de Processo do Windows]
Ver
Detecção do Malware Tonnerre usando Bot Telegram e Geração Dinâmica de Domínio [Conexão de Rede do Windows]
Ver
Detecção de Chamada de API do Malware Infy [Sysmon do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré‑voo de Telemetria & Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
O adversário simulado imita o comportamento do malware Infy criando três executáveis de teste cujos nomes de arquivos correspondem às chamadas de API observadas pela regra. UsandoCopy-Item, duplicamosnotepad.exe(um binário benigno, já presente) para o diretório temporário e o renomeamos para corresponder a cada chamada de API. O atacante então executa cada binário de teste, produzindo eventos de criação de processo do Sysmon comImagevalores terminando emGetFileAttributesA.exe,GetMessageA.exe, eDispatchMessageA.exe. Porque a condição da regra éseleção1 ou seleção2no campoImage, cada execução satisfaz a regra e gera um alerta. -
Script de Teste de Regressão:
# ------------------------------------------------- # Script de Simulação – Teste de Detecção de Chamada de API Infy # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Auxiliar: copiar notepad.exe para um novo nome function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Created $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # Crie e execute binários de teste correspondendo aos nomes de API Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "Simulação completa. Verifique alertas no SIEM." -
Comandos de Limpeza:
# ------------------------------------------------- # Script de Limpeza – Remover binários simulados # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # Pare qualquer processo de teste restante Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # Remova o diretório temporário e seus conteúdos Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Limpeza completa."