SOC Prime Bias: Crítico

25 Mar 2026 16:16 UTC

Conflito no Irã Impulsiona Aumento na Atividade de Espionagem em Alvos no Oriente Médio

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Conflito no Irã Impulsiona Aumento na Atividade de Espionagem em Alvos no Oriente Médio
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A Proofpoint relatou um aumento na atividade de espionagem e phishing ligada a atores de ameaças alinhados a estados iranianos, chineses, paquistaneses, bielorrussos, e outros após os ataques de fevereiro de 2026 no Irã. Os adversários usaram iscas temáticas de conflito para atacar ministérios do governo, organizações diplomáticas e think tanks em todo o Oriente Médio e Estados Unidos. Essas operações dependiam de phishing de credenciais, arquivos LNK maliciosos, carregamento de DLL e cargas úteis do Cobalt Strike entregues através de contas de e-mail comprometidas e infraestrutura hospedada em nuvem. Esforços de detecção devem priorizar atalhos do Office maliciosos, páginas de login falsas no estilo OneDrive e o uso suspeito de carregadores de malware conhecidos.

Investigação

A Proofpoint rastreou seis campanhas separadas — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473, e TA453 — que usaram compromissos de e-mail, arquivos arquivados maliciosos e links maliciosos para entregar carregadores que eventualmente lançaram o Cobalt Strike. Os pesquisadores catalogaram indicadores incluindo endereços de email, domínios, URLs, nomes de arquivos e hashes de arquivos. Onde possível, o relatório também mapeou a infraestrutura observada para relatórios públicos previamente documentados.

Mitigação

As organizações devem exigir MFA para plataformas de e-mail e nuvem, bloquear domínios e URLs maliciosos conhecidos, e monitorar a execução de LNK e atividade inesperada de carregamento de DLL. Os controles de segurança de e-mail devem inspecionar anexos para entrega baseada em LNK e arquivos, enquanto a caça de ameaças deve enfatizar o comportamento de beacon do Cobalt Strike e a execução incomum de PowerShell.

Resposta

Se um LNK suspeito, arquivo arquivado malicioso ou beacon do Cobalt Strike for identificado, isole o host, colete evidências voláteis, e comece a resposta a incidentes imediatamente. Bloqueie domínios e endereços IP de comando e controle relacionados, redefina contas comprometidas, e realize uma investigação forense completa para identificar qualquer mecanismo de persistência.

Fluxo de Ataque

Detecções

Binários/Scripts suspeitos em Local de Autoinicialização (via file_event)

Equipe SOC Prime
25 mar 2026

Arquivos suspeitos no Perfil de Usuário Público (via file_event)

Equipe SOC Prime
25 mar 2026

Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via dns)

Equipe SOC Prime
25 mar 2026

Arquivos extraídos suspeitos de um Arquivo (via file_event)

Equipe SOC Prime
25 mar 2026

Possível tentativa de sideloading NvdaHelperRemote DLL (via image_load)

Equipe SOC Prime
17 mar 2026

Uso suspeito de CURL (via cmdline)

Equipe SOC Prime
25 mar 2026

Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via proxy)

Equipe SOC Prime
25 mar 2026

Possível domínio do Google Docs sendo resolvido por um processo incomum (via dns_query)

Equipe SOC Prime
25 mar 2026

Arquivo de disco rígido virtual criado (via file_event)

Equipe SOC Prime
25 mar 2026

IOCs (HashSha256) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

IOCs (SourceIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

IOCs (DestinationIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

Detecção de Execução Suspeita de nvdaHelperRemoteLoader.exe e VLCMediaPlayer.exe [Criação de Processo Windows]

Regras SOC Prime AI
17 mar 2026

Detecção de Domínios C&C Associados a Campanhas UNK_InnerAmbush e UNK_RobotDreams [Conexão de Rede Windows]

Regras SOC Prime AI
17 mar 2026

Execução de Simulação

Pré-requisito: a Verificação de Pré-Voo de Telemetria e Linha de Base deve ter sido concluída.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário obteve uma cópia comprometida de nvdaHelperRemoteLoader.exe embutido com uma DLL maliciosa (evil.dll). Eles colocam o binário em C:Temp e criam um atalho que aponta para ele, acionando a execução via uma tarefa agendada (T1546.009). Simultaneamente, eles abusam do binário assinado VLCMediaPlayer.exe (T1218) para lançar uma carga útil do PowerShell que realiza a identificação do host. Ambos os binários são lançados diretamente para garantir que o evento de criação do processo contenha o nome exato do executável exigido pela regra.

  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Script de simulação – aciona ambas as detecções
    # -------------------------------------------------
    # Definir a pasta de execução
    $binPath = "C:Temp"
    
    # 1. Implantar nvdaHelperRemoteLoader.exe malicioso (cópia de marcador de posição)
    $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <--- substitua por amostra real
    Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force
    
    # 2. Implantar VLCMediaPlayer.exe malicioso (cópia de marcador de posição)
    $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <--- substitua por amostra real
    Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force
    
    # 3. Executar nvdaHelperRemoteLoader.exe (simulando sideloading de DLL)
    Write-Host "Lançando nvdaHelperRemoteLoader.exe..."
    Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden
    
    # 4. Executar VLCMediaPlayer.exe para rodar um one-liner de PowerShell para identificação do host
    $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
    Write-Host "Lançando VLCMediaPlayer.exe com carga do PowerShell ..."
    Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
        -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
        -WindowStyle Hidden
    
    Write-Host "Simulação completa. Verifique alertas no seu SIEM."
  • Comandos de Limpeza:

    # Pare quaisquer processos de teste restantes
    Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Remover os binários de teste
    Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "Limpeza concluída."