Аналіз APT “Принц Персії”: шкідливе програмне забезпечення Infy, Foudre та Tonnerre
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий опис
Prince of Persia (також відомий як APT-C-07) – це активний з 2007 року кібер-розвідник, що підтримує зв’язки з Іраном. Група використовує різні родини власних шкідливих програм — Infy, Foudre, Tonnerre та MaxPinner — для стеження за медійними організаціями, політичними об’єктами та цільовими об’єктами громадянського суспільства. Операції часто поєднують фішинг з використанням межових векторів зараження і покладаються на унікальні методи командування і управління, включаючи канали на основі ботів Telegram, щоб підтримувати доступ та переміщувати дані з компрометованих систем.
Дослідження
Unit 42 та інші дослідницькі команди простежили еволюцію інструментарію актора від інфраструктури Infy, що спостерігалася у 2016 році, до повернення активності Foudre у 2017 році та ітерації 2025 року Tonnerre, що використовує Telegram для командування та управління. Технічні звіти підкреслюють доставку через макродропери Visual Basic, стійкість через встановлення служби Windows та використання логіки генерації доменів для підтримки стійкої інфраструктури. Аналітики також зафіксували функціональність на рівні нативних API Windows, використану для доступу до облікових даних і стеження, наприклад, кейлоггінг, разом зі схемами виконання, що вказують на постійне вдосконалення навичок роботи після компрометації.
Пом’якшення наслідків
Застосуйте суворий контроль макросів Office і забезпечте санітарну обробку вкладень електронної пошти, щоб зменшити можливості початкового виконання. Впроваджуйте мережеві контролі для обмеження або пильного контролю трафіку Telegram в середовищах, де він не потрібен для комерційної діяльності. На кінцевих точках, сповіщення про підозрілі створення служб, відстежуйте використання rundll32, характерне для ланцюгів виконання DLL, і блокуйте відомі зловмисні імена файлів та шаблони стійкості на основі реєстру. Підтримуйте оновлений вміст для виявлення динамічно змінюваних доменних шаблонів, пов’язаних з поведінкою, подібною до DGA, і регулярно перевіряйте контролі на відповідність поточним телеметричним даним.
Реакція
Якщо виявлено індикатори, ізолюйте постраждалу систему, захопіть летючі артефакти та шукайте конкретні назви служб та записи реєстру, використані для стійкості. Розширте тріаж на створення запланованих завдань, аномальну активність завантаження DLL і будь-які докази комунікацій C2 на базі Telegram. Видаліть зловмисні служби та інсценовані файли за допомогою перевірених планів ліквідації, потім оновіть потенційно скомпрометовані облікові дані та уважно стежте за спробами повторного проникнення або повторної інфекції на сусідніх хостах.
Потік атаки
Виявлення
Підозріле виконання Taskkill (через cmdline)
Перегляд
Підозріла командна лінія містить назву браузера як аргумент (через cmdline)
Перегляд
Можливо, здійснено операцію власноруч або скрипт у незвичних папках (через cmdline)
Перегляд
Можливе використання Lame для запису звуку (через cmdline)
Перегляд
Можливе зловживання Telegram як каналом командування та управління (через dns_query)
Перегляд
Виклик підозрілих функцій Windows API з Powershell (через powershell)
Перегляд
Можливо, було створено саморозпаковуючий архів (через file_event)
Перегляд
IOCs (Електронні листи) для виявлення: Аналіз APT Prince of Persia: Шкідливі програми Infy, Foudre та Tonnerre
Перегляд
Виконання і уникнення Foudre шкідливого ПЗ Prince of Persia [Створення процесу Windows]
Перегляд
Виявлення шкідливого ПЗ Tonnerre, що використовує бота Telegram і динамічну генерацію доменів [Мережева активність Windows]
Перегляд
Виявлення викликів API для шкідливого ПЗ Infy [Sysmon Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.
Пояснення: Цей розділ докладно описує точне виконання техніки суперника (TTP), розробленої для виклику правила виявлення. Команди та опис повинні безпосередньо відповідати виявленим TTP і мати на меті генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Симульований суперник імітує поведінку шкідливого ПЗ Infy, створюючи три хибні виконувані файли, чиї імена файлів відповідають викликам API, за якими слід спостерігати по правилу. ВикористовуючиCopy-Item, ми дублюємоnotepad.exe(безпечний, вже наявний бінарний файл) до тимчасового каталогу та перейменовуємо його, щоб відповідати кожному виклику API. Зловмисник потім виконує кожен хибний бінарний файл, виробляючи події створення процесів Sysmon зImageзначення завершуються наGetFileAttributesA.exe,GetMessageA.exe, таDispatchMessageA.exe. Оскільки умова правилаselection1 or selection2на поліImage, кожен запуск задовольняє правило і викликає попередження. -
Сценарій регресійного тесту:
# ------------------------------------------------- # Сценарій симуляції – Тест виявлення викликів API Infy # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Помічник: скопіюйте notepad.exe до нового імені function Copy-And-Run { param ( [string]$newName ) $src = "$env:SystemRootSystem32notepad.exe" $dst = Join-Path $tempDir $newName Copy-Item -Path $src -Destination $dst -Force Write-Host "Створено $dst" Start-Process -FilePath $dst -WindowStyle Hidden } # Створення та виконання хибних бінарних файлів, що відповідають іменам API Copy-And-Run -newName "GetFileAttributesA.exe" Copy-And-Run -newName "GetMessageA.exe" Copy-And-Run -newName "DispatchMessageA.exe" Write-Host "Симуляція завершена. Перевірте SIEM на наявність попереджень." -
Команди очищення:
# ------------------------------------------------- # Сценарій очищення – Видалення симульованих бінарних файлів # ------------------------------------------------- $tempDir = "$env:TEMPInfySim" # Зупинки всіх залишкових хибних процесів Get-Process -Name "GetFileAttributesA","GetMessageA","DispatchMessageA" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити тимчасовий каталог та його вміст Remove-Item -Path $tempDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."