SOC Prime Bias: Критичний

16 Jan 2026 13:13 UTC

Аналіз APT “Принц Персії”: шкідливе програмне забезпечення Infy, Foudre та Tonnerre

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Аналіз APT “Принц Персії”: шкідливе програмне забезпечення Infy, Foudre та Tonnerre
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Короткий опис

Prince of Persia (також відомий як APT-C-07) – це активний з 2007 року кібер-розвідник, що підтримує зв’язки з Іраном. Група використовує різні родини власних шкідливих програм — Infy, Foudre, Tonnerre та MaxPinner — для стеження за медійними організаціями, політичними об’єктами та цільовими об’єктами громадянського суспільства. Операції часто поєднують фішинг з використанням межових векторів зараження і покладаються на унікальні методи командування і управління, включаючи канали на основі ботів Telegram, щоб підтримувати доступ та переміщувати дані з компрометованих систем.

Дослідження

Unit 42 та інші дослідницькі команди простежили еволюцію інструментарію актора від інфраструктури Infy, що спостерігалася у 2016 році, до повернення активності Foudre у 2017 році та ітерації 2025 року Tonnerre, що використовує Telegram для командування та управління. Технічні звіти підкреслюють доставку через макродропери Visual Basic, стійкість через встановлення служби Windows та використання логіки генерації доменів для підтримки стійкої інфраструктури. Аналітики також зафіксували функціональність на рівні нативних API Windows, використану для доступу до облікових даних і стеження, наприклад, кейлоггінг, разом зі схемами виконання, що вказують на постійне вдосконалення навичок роботи після компрометації.

Пом’якшення наслідків

Застосуйте суворий контроль макросів Office і забезпечте санітарну обробку вкладень електронної пошти, щоб зменшити можливості початкового виконання. Впроваджуйте мережеві контролі для обмеження або пильного контролю трафіку Telegram в середовищах, де він не потрібен для комерційної діяльності. На кінцевих точках, сповіщення про підозрілі створення служб, відстежуйте використання rundll32, характерне для ланцюгів виконання DLL, і блокуйте відомі зловмисні імена файлів та шаблони стійкості на основі реєстру. Підтримуйте оновлений вміст для виявлення динамічно змінюваних доменних шаблонів, пов’язаних з поведінкою, подібною до DGA, і регулярно перевіряйте контролі на відповідність поточним телеметричним даним.

Реакція

Якщо виявлено індикатори, ізолюйте постраждалу систему, захопіть летючі артефакти та шукайте конкретні назви служб та записи реєстру, використані для стійкості. Розширте тріаж на створення запланованих завдань, аномальну активність завантаження DLL і будь-які докази комунікацій C2 на базі Telegram. Видаліть зловмисні служби та інсценовані файли за допомогою перевірених планів ліквідації, потім оновіть потенційно скомпрометовані облікові дані та уважно стежте за спробами повторного проникнення або повторної інфекції на сусідніх хостах.

Потік атаки

Виявлення

Підозріле виконання Taskkill (через cmdline)

Команда SOC Prime
15 січня 2026

Підозріла командна лінія містить назву браузера як аргумент (через cmdline)

Команда SOC Prime
15 січня 2026

Можливо, здійснено операцію власноруч або скрипт у незвичних папках (через cmdline)

Команда SOC Prime
15 січня 2026

Можливе використання Lame для запису звуку (через cmdline)

Команда SOC Prime
15 січня 2026

Можливе зловживання Telegram як каналом командування та управління (через dns_query)

Команда SOC Prime
15 січня 2026

Виклик підозрілих функцій Windows API з Powershell (через powershell)

Команда SOC Prime
15 січня 2026

Можливо, було створено саморозпаковуючий архів (через file_event)

Команда SOC Prime
15 січня 2026

IOCs (Електронні листи) для виявлення: Аналіз APT Prince of Persia: Шкідливі програми Infy, Foudre та Tonnerre

AI правила SOC Prime
15 січня 2026

Виконання і уникнення Foudre шкідливого ПЗ Prince of Persia [Створення процесу Windows]

AI правила SOC Prime
15 січня 2026

Виявлення шкідливого ПЗ Tonnerre, що використовує бота Telegram і динамічну генерацію доменів [Мережева активність Windows]

AI правила SOC Prime
15 січня 2026

Виявлення викликів API для шкідливого ПЗ Infy [Sysmon Windows]

AI правила SOC Prime
15 січня 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.

Пояснення: Цей розділ докладно описує точне виконання техніки суперника (TTP), розробленої для виклику правила виявлення. Команди та опис повинні безпосередньо відповідати виявленим TTP і мати на меті генерувати точну телеметрію, очікувану логікою виявлення.

  • Опис атаки та команди:
    Симульований суперник імітує поведінку шкідливого ПЗ Infy, створюючи три хибні виконувані файли, чиї імена файлів відповідають викликам API, за якими слід спостерігати по правилу. Використовуючи Copy-Item, ми дублюємо notepad.exe (безпечний, вже наявний бінарний файл) до тимчасового каталогу та перейменовуємо його, щоб відповідати кожному виклику API. Зловмисник потім виконує кожен хибний бінарний файл, виробляючи події створення процесів Sysmon з Image значення завершуються на GetFileAttributesA.exe, GetMessageA.exe, та DispatchMessageA.exe. Оскільки умова правила selection1 or selection2 на полі Image , кожен запуск задовольняє правило і викликає попередження.

  • Сценарій регресійного тесту:

    # -------------------------------------------------
    # Сценарій симуляції – Тест виявлення викликів API Infy
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Помічник: скопіюйте notepad.exe до нового імені
    function Copy-And-Run {
        param (
            [string]$newName
        )
        $src = "$env:SystemRootSystem32notepad.exe"
        $dst = Join-Path $tempDir $newName
        Copy-Item -Path $src -Destination $dst -Force
        Write-Host "Створено $dst"
        Start-Process -FilePath $dst -WindowStyle Hidden
    }
    
    # Створення та виконання хибних бінарних файлів, що відповідають іменам API
    Copy-And-Run -newName "GetFileAttributesA.exe"
    Copy-And-Run -newName "GetMessageA.exe"
    Copy-And-Run -newName "DispatchMessageA.exe"
    
    Write-Host "Симуляція завершена. Перевірте SIEM на наявність попереджень."
  • Команди очищення:

    # -------------------------------------------------
    # Сценарій очищення – Видалення симульованих бінарних файлів
    # -------------------------------------------------
    $tempDir = "$env:TEMPInfySim"
    
    # Зупинки всіх залишкових хибних процесів
    Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Видалити тимчасовий каталог та його вміст
    Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Очищення завершено."