SOC Prime Bias: Crítico

25 Mar 2026 19:16
newspaper icon Proofpoint

Conflito no Irã Impulsiona Aumento na Atividade de Espionagem em Alvos no Oriente Médio

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Conflito no Irã Impulsiona Aumento na Atividade de Espionagem em Alvos no Oriente Médio
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

A Proofpoint relatou um aumento na atividade de espionagem e phishing ligada a atores de ameaças alinhados a estados iranianos, chineses, paquistaneses, bielorrussos, e outros após os ataques de fevereiro de 2026 no Irã. Os adversários usaram iscas temáticas de conflito para atacar ministérios do governo, organizações diplomáticas e think tanks em todo o Oriente Médio e Estados Unidos. Essas operações dependiam de phishing de credenciais, arquivos LNK maliciosos, carregamento de DLL e cargas úteis do Cobalt Strike entregues através de contas de e-mail comprometidas e infraestrutura hospedada em nuvem. Esforços de detecção devem priorizar atalhos do Office maliciosos, páginas de login falsas no estilo OneDrive e o uso suspeito de carregadores de malware conhecidos.

Investigação

A Proofpoint rastreou seis campanhas separadas — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473, e TA453 — que usaram compromissos de e-mail, arquivos arquivados maliciosos e links maliciosos para entregar carregadores que eventualmente lançaram o Cobalt Strike. Os pesquisadores catalogaram indicadores incluindo endereços de email, domínios, URLs, nomes de arquivos e hashes de arquivos. Onde possível, o relatório também mapeou a infraestrutura observada para relatórios públicos previamente documentados.

Mitigação

As organizações devem exigir MFA para plataformas de e-mail e nuvem, bloquear domínios e URLs maliciosos conhecidos, e monitorar a execução de LNK e atividade inesperada de carregamento de DLL. Os controles de segurança de e-mail devem inspecionar anexos para entrega baseada em LNK e arquivos, enquanto a caça de ameaças deve enfatizar o comportamento de beacon do Cobalt Strike e a execução incomum de PowerShell.

Resposta

Se um LNK suspeito, arquivo arquivado malicioso ou beacon do Cobalt Strike for identificado, isole o host, colete evidências voláteis, e comece a resposta a incidentes imediatamente. Bloqueie domínios e endereços IP de comando e controle relacionados, redefina contas comprometidas, e realize uma investigação forense completa para identificar qualquer mecanismo de persistência.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High"] class action_phishing_spear action action_execution_ps["<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High"] class action_execution_ps action action_defense_proxy["<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High"] class action_defense_proxy action action_c2_web["<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High"] class action_c2_web action action_persistence_account["<b>Action</b> – <b>T1098 Account Manipulation</b> & <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High"] class action_persistence_account action action_phishing_additional["<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["<b>Artifact</b> – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["<b>Process</b> – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["<b>Service</b> – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["<b>Service</b> – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["<b>Service</b> – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["<b>Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[“<b>Ação</b> – <b>T1566.001 Phishing: Anexo de Spearphishing</b><br/><b>Descrição</b>: Enviar e-mails com anexos ZIP ou LNK maliciosos que executam código quando abertos.<br/><b>Confiança</b>: Alta”] class action_phishing_spear action action_execution_ps[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Usar PowerShell para baixar e executar cargas adicionais.<br/><b>Confiança</b>: Alta”] class action_execution_ps action action_defense_proxy[“<b>Ação</b> – <b>T1218 Execução de Proxy de Binário do Sistema</b><br/><b>Descrição</b>: Carregar DLL maliciosa através de binário assinado (nvdaHelperRemoteLoader.exe).<br/><b>Confiança</b>: Alta”] class action_defense_proxy action action_c2_web[“<b>Ação</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/><b>Descrição</b>: Comunicar-se com hosts C2 usando serviços web como Azure Front Door e OneDrive.<br/><b>Confiança</b>: Alta”] class action_c2_web action action_persistence_account[“<b>Ação</b> – <b>T1098 Manipulação de Conta</b> & <b>T1078 Contas Válidas</b><br/><b>Descrição</b>: Usar contas de e-mail comprometidas para manter o acesso e enviar mais phishing.<br/><b>Confiança</b>: Alta”] class action_persistence_account action action_phishing_additional[“<b>Ação</b> – <b>T1566 Phishing (Adicional)</b><br/><b>Descrição</b>: Hospedar páginas falsas de credenciais do OWA/OneDrive para colher credenciais.<br/><b>Confiança</b>: Alta”] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[“<b>Artefato</b> – Anexo ZIP Malicioso<br/><b>Conteúdo</b>: Arquivos LNK e PDF com cargas incorporadas”] class artifact_zip artifact artifact_lnk[“<b>Artefato</b> – Arquivo LNK (nvdaHelperRemoteLoader.exe)”] class artifact_lnk artifact artifact_ps_script[“<b>Artefato</b> – Script PowerShell usado para download”] class artifact_ps_script artifact artifact_dll[“<b>Artefato</b> – DLL Maliciosa (nvdaHelperRemote.dll)”] class artifact_dll malware %% Nodes – Processes / Tools process_loader[“<b>Processo</b> – nvdaHelperRemoteLoader.exe (binário assinado)”] class process_loader process process_powershell[“<b>Processo</b> – PowerShell.exe executando script de download”] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[“<b>Serviço</b> – support.almersalstore.com (domínio C2)”] class service_c2_almer service service_c2_azure[“<b>Serviço</b> – Host Azure Front Door”] class service_c2_azure service service_c2_onedrive[“<b>Serviço</b> – Link de arquivo OneDrive (C2)”] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[“<b>Credencial</b> – Conta de e-mail governamental comprometida”] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|entrega| artifact_zip artifact_zip –>|contém| artifact_lnk artifact_lnk –>|executa| process_loader process_loader –>|usa| action_defense_proxy action_defense_proxy –>|carrega| artifact_dll artifact_dll –>|habilita| action_execution_ps action_execution_ps –>|executa| process_powershell process_powershell –>|baixa carga via| artifact_ps_script process_powershell –>|comunica-se com| service_c2_almer process_powershell –>|comunica-se com| service_c2_azure process_powershell –>|comunica-se com| service_c2_onedrive service_c2_almer –>|suporta| action_persistence_account service_c2_azure –>|suporta| action_persistence_account service_c2_onedrive –>|suporta| action_persistence_account action_persistence_account –>|usa| credential_email credential_email –>|envia| action_phishing_additional action_phishing_additional –>|hospeda| artifact_zip

Fluxo de Ataque

Detecções

Binários/Scripts suspeitos em Local de Autoinicialização (via file_event)

Equipe SOC Prime
25 mar 2026

Ver

Arquivos suspeitos no Perfil de Usuário Público (via file_event)

Equipe SOC Prime
25 mar 2026

Ver

Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via dns)

Equipe SOC Prime
25 mar 2026

Ver

Arquivos extraídos suspeitos de um Arquivo (via file_event)

Equipe SOC Prime
25 mar 2026

Ver

Possível tentativa de sideloading NvdaHelperRemote DLL (via image_load)

Equipe SOC Prime
17 mar 2026

Ver

Uso suspeito de CURL (via cmdline)

Equipe SOC Prime
25 mar 2026

Ver

Possível infiltração/exfiltração de dados / C2 via serviços/ferramentas de terceiros (via proxy)

Equipe SOC Prime
25 mar 2026

Ver

Possível domínio do Google Docs sendo resolvido por um processo incomum (via dns_query)

Equipe SOC Prime
25 mar 2026

Ver

Arquivo de disco rígido virtual criado (via file_event)

Equipe SOC Prime
25 mar 2026

Ver

IOCs (HashSha256) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

Ver

IOCs (SourceIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

Ver

IOCs (DestinationIP) para detectar: conflito no Irã impulsiona maior atividade de espionagem contra alvos do Oriente Médio

Regras SOC Prime AI
17 mar 2026

Ver

Detecção de Execução Suspeita de nvdaHelperRemoteLoader.exe e VLCMediaPlayer.exe [Criação de Processo Windows]

Regras SOC Prime AI
17 mar 2026

Ver

Detecção de Domínios C&C Associados a Campanhas UNK_InnerAmbush e UNK_RobotDreams [Conexão de Rede Windows]

Regras SOC Prime AI
17 mar 2026

Ver

Execução de Simulação

Pré-requisito: a Verificação de Pré-Voo de Telemetria e Linha de Base deve ter sido concluída.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário obteve uma cópia comprometida de nvdaHelperRemoteLoader.exe embutido com uma DLL maliciosa (evil.dll). Eles colocam o binário em C:Temp e criam um atalho que aponta para ele, acionando a execução via uma tarefa agendada (T1546.009). Simultaneamente, eles abusam do binário assinado VLCMediaPlayer.exe (T1218) para lançar uma carga útil do PowerShell que realiza a identificação do host. Ambos os binários são lançados diretamente para garantir que o evento de criação do processo contenha o nome exato do executável exigido pela regra.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Script de simulação – aciona ambas as detecções
# -------------------------------------------------
# Definir a pasta de execução
$binPath = "C:Temp"

# 1. Implantar nvdaHelperRemoteLoader.exe malicioso (cópia de marcador de posição)
$nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <--- substitua por amostra real
Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force

# 2. Implantar VLCMediaPlayer.exe malicioso (cópia de marcador de posição)
$vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <--- substitua por amostra real
Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force

# 3. Executar nvdaHelperRemoteLoader.exe (simulando sideloading de DLL)
Write-Host "Lançando nvdaHelperRemoteLoader.exe..."
Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden

# 4. Executar VLCMediaPlayer.exe para rodar um one-liner de PowerShell para identificação do host
$psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
Write-Host "Lançando VLCMediaPlayer.exe com carga do PowerShell ..."
Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
    -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
    -WindowStyle Hidden

Write-Host "Simulação completa. Verifique alertas no seu SIEM."

  • Comandos de Limpeza:

    # Pare quaisquer processos de teste restantes
Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
    Stop-Process -Force

# Remover os binários de teste
Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue

Write-Host "Limpeza concluída."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente