Військовий конфлікт в Ірані призводить до збільшення шпигунської активності щодо цілей на Близькому Сході
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Proofpoint повідомила про зростання шпигунської та фішингової активності, пов’язаної з іранськими, китайськими, пакистанськими, білоруськими та іншими державними загрозами після ударів у лютому 2026 року в Ірані. Опоненти використовували приманки на тему конфлікту, щоб атакувати урядові міністерства, дипломатичні організації та аналітичні центри на Близькому Сході та в Сполучених Штатах. Ці операції покладалися на фішинг облікових даних, зловмисні LNK файли, DLL sideloading та вантажі Cobalt Strike, доставлені через скомпрометовані облікові записи електронної пошти та інфраструктуру з хостингом у хмарі. Зусилля з виявлення повинні приділяти пріоритет підозрілим ярликам Office, фальшивим сторінкам входу в стилі OneDrive та підозрілому використанню відомих завантажувачів зловмисного програмного забезпечення.
Розслідування
Proofpoint відслідковувала шість окремих кампаній — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 та TA453 — які використовували компрометацію електронної пошти, збройні архіви та зловмисні посилання для доставки завантажувачів, які зрештою запускали Cobalt Strike. Дослідники каталогізували індикатори, включаючи електронні адреси, домени, URL, імена файлів та хеші файлів. Там, де можливо, звіт також пов’язував спостережувану інфраструктуру з раніше задокументованими публічними звітами.
Пом’якшення
Організації повинні вимагати MFA для платформ електронної пошти та хмарних платформ, блокувати відомі зловмисні домени та URL, а також стежити за виконанням LNK і несподіваною активністю завантаження DLL. Засоби безпеки електронної пошти повинні перевіряти вкладення на доставка через LNK та архіви, а виявлення загроз повинно наголошувати на поведінці маяка Cobalt Strike та незвичайного виконання PowerShell.
Реагування
Якщо виявлено підозрілий LNK, зловмисний архів або маяк Cobalt Strike, ізолюйте хост, зберіть залишкові докази та негайно розпочніть реагування на інцидент. Блокуйте пов’язані командно-контрольні домени та IP-адреси, скидайте скомпрометовані облікові записи та проведіть повне судово-медичне розслідування, щоб виявити будь-які механізми втримання.
Потік атаки
Виявлення
Підозрілий двійковий код / сценарії в автозапуску (через file_event)
Переглянути
Підозрілі файли в публічному профілі користувача (через file_event)
Переглянути
Можливе проникнення / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через dns)
Переглянути
Підозрілі витягнуті файли з архіву (через file_event)
Переглянути
Можлива спроба побічного завантаження DLL NvdaHelperRemote (через image_load)
Переглянути
Підозріле використання CURL (через cmdline)
Переглянути
Можливе проникнення / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через proxy)
Переглянути
Можливе вирішення домену Google Docs незвичайним процесом (через dns_query)
Переглянути
Файл віртуального жорсткого диска був створений (через file_event)
Переглянути
IOC (HashSha256) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході
Переглянути
IOC (SourceIP) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході
Переглянути
IOC (DestinationIP) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході
Переглянути
Виявлення підозрілого виконання nvdaHelperRemoteLoader.exe і VLCMediaPlayer.exe [створення процесу Windows]
Переглянути
Виявлення доменів C&C, пов’язаних з кампаніями UNK_InnerAmbush та UNK_RobotDreams [з’єднання з мережею Windows]
Переглянути
Виконання симуляції
Умова: Перевірка телеметрії та базового рівня повинна бути пройдена.
Підстава: Цей розділ детально описує точне виконання техніки атакуючого (TTP), призначеної для активації правила виявлення. Команди та наратив повинні безпосередньо відбивати ідентифіковані TTP та націлені на створення точної телеметрії, яку очікує логіка виявлення.
-
Нарратив атаки і команди:
Зловмисник отримав скомпрометовану копіюnvdaHelperRemoteLoader.exeвбудований із зловмисним DLL (evil.dll). Вони розміщують двійковий файл уC:Tempі створюють ярлик, який вказує на нього, запускаючи виконання через заплановане завдання (T1546.009). Одночасно вони використовують підписаний двійковий файлVLCMediaPlayer.exe(T1218) для запуску коректного PowerShell, який виконує фіксування хоста. Обидва двійкові файли запускаються безпосередньо, щоб процес‑створення події містила точне ім’я виконуваного файлу, яке вимагається правилом. -
Сценарій регресійного тестування:
# ------------------------------------------------- # Сценарій симуляції – спрацьовує обидва виявлення # ------------------------------------------------- # Встановити теку виконання $binPath = "C:Temp" # 1. Розгорніть зловмисний nvdaHelperRemoteLoader.exe (фіктивна копія) $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <-- замінити на реальний зразок Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. Розгорніть зловмисний VLCMediaPlayer.exe (фіктивна копія) $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <-- замінити на реальний зразок Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. Виконати nvdaHelperRemoteLoader.exe (симулювання sideloading DLL) Write-Host "Запуск nvdaHelperRemoteLoader.exe ..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. Виконати VLCMediaPlayer.exe для запуску фіксуючого PowerShell в одній лінії $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "Запуск VLCMediaPlayer.exe з коректним PowerShell ..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" ` -WindowStyle Hidden Write-Host "Симуляція завершена. Перевірте сповіщення у вашій SIEM." -
Команди очищення:
# Зупиніть будь-які залишкові тестові процеси Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # Видаліть тестові двійкові файли Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "Очистка завершена."