Conflito no Irã Impulsiona Aumento na Atividade de Espionagem em Alvos no Oriente Médio
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Proofpoint relatou um aumento na atividade de espionagem e phishing ligada a atores de ameaças alinhados a estados iranianos, chineses, paquistaneses, bielorrussos, e outros após os ataques de fevereiro de 2026 no Irã. Os adversários usaram iscas temáticas de conflito para atacar ministérios do governo, organizações diplomáticas e think tanks em todo o Oriente Médio e Estados Unidos. Essas operações dependiam de phishing de credenciais, arquivos LNK maliciosos, carregamento de DLL e cargas úteis do Cobalt Strike entregues através de contas de e-mail comprometidas e infraestrutura hospedada em nuvem. Esforços de detecção devem priorizar atalhos do Office maliciosos, páginas de login falsas no estilo OneDrive e o uso suspeito de carregadores de malware conhecidos.
Investigação
A Proofpoint rastreou seis campanhas separadas — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473, e TA453 — que usaram compromissos de e-mail, arquivos arquivados maliciosos e links maliciosos para entregar carregadores que eventualmente lançaram o Cobalt Strike. Os pesquisadores catalogaram indicadores incluindo endereços de email, domínios, URLs, nomes de arquivos e hashes de arquivos. Onde possível, o relatório também mapeou a infraestrutura observada para relatórios públicos previamente documentados.
Mitigação
As organizações devem exigir MFA para plataformas de e-mail e nuvem, bloquear domínios e URLs maliciosos conhecidos, e monitorar a execução de LNK e atividade inesperada de carregamento de DLL. Os controles de segurança de e-mail devem inspecionar anexos para entrega baseada em LNK e arquivos, enquanto a caça de ameaças deve enfatizar o comportamento de beacon do Cobalt Strike e a execução incomum de PowerShell.
Resposta
Se um LNK suspeito, arquivo arquivado malicioso ou beacon do Cobalt Strike for identificado, isole o host, colete evidências voláteis, e comece a resposta a incidentes imediatamente. Bloqueie domínios e endereços IP de comando e controle relacionados, redefina contas comprometidas, e realize uma investigação forense completa para identificar qualquer mecanismo de persistência.
Fluxo de Ataque
Detecções
Binários/Scripts suspeitos em Local de Autoinicialização (via file_event)
Ver
Arquivos suspeitos no Perfil de Usuário Público (via file_event)
Ver
Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via dns)
Ver
Arquivos extraídos suspeitos de um Arquivo (via file_event)
Ver
Possível tentativa de sideloading NvdaHelperRemote DLL (via image_load)
Ver
Uso suspeito de CURL (via cmdline)
Ver
Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via proxy)
Ver
Possível domínio do Google Docs sendo resolvido por um processo incomum (via dns_query)
Ver
Arquivo de disco rígido virtual criado (via file_event)
Ver
IOCs (HashSha256) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio
Ver
IOCs (SourceIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio
Ver
IOCs (DestinationIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio
Ver
Detecção de Execução Suspeita de nvdaHelperRemoteLoader.exe e VLCMediaPlayer.exe [Criação de Processo Windows]
Ver
Detecção de Domínios C&C Associados a Campanhas UNK_InnerAmbush e UNK_RobotDreams [Conexão de Rede Windows]
Ver
Execução de Simulação
Pré-requisito: a Verificação de Pré-Voo de Telemetria e Linha de Base deve ter sido concluída.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário obteve uma cópia comprometida denvdaHelperRemoteLoader.exeembutido com uma DLL maliciosa (evil.dll). Eles colocam o binário emC:Tempe criam um atalho que aponta para ele, acionando a execução via uma tarefa agendada (T1546.009). Simultaneamente, eles abusam do binário assinadoVLCMediaPlayer.exe(T1218) para lançar uma carga útil do PowerShell que realiza a identificação do host. Ambos os binários são lançados diretamente para garantir que o evento de criação do processo contenha o nome exato do executável exigido pela regra. -
Script de Teste de Regressão:
# ------------------------------------------------- # Script de simulação – aciona ambas as detecções # ------------------------------------------------- # Definir a pasta de execução $binPath = "C:Temp" # 1. Implantar nvdaHelperRemoteLoader.exe malicioso (cópia de marcador de posição) $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <--- substitua por amostra real Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. Implantar VLCMediaPlayer.exe malicioso (cópia de marcador de posição) $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <--- substitua por amostra real Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. Executar nvdaHelperRemoteLoader.exe (simulando sideloading de DLL) Write-Host "Lançando nvdaHelperRemoteLoader.exe..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. Executar VLCMediaPlayer.exe para rodar um one-liner de PowerShell para identificação do host $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "Lançando VLCMediaPlayer.exe com carga do PowerShell ..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" ` -WindowStyle Hidden Write-Host "Simulação completa. Verifique alertas no seu SIEM." -
Comandos de Limpeza:
# Pare quaisquer processos de teste restantes Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # Remover os binários de teste Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "Limpeza concluída."