SOC Prime Bias: Критичний

25 Mar 2026 19:16
newspaper icon Proofpoint

Військовий конфлікт в Ірані призводить до збільшення шпигунської активності щодо цілей на Близькому Сході

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Військовий конфлікт в Ірані призводить до збільшення шпигунської активності щодо цілей на Близькому Сході
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Proofpoint повідомила про зростання шпигунської та фішингової активності, пов’язаної з іранськими, китайськими, пакистанськими, білоруськими та іншими державними загрозами після ударів у лютому 2026 року в Ірані. Опоненти використовували приманки на тему конфлікту, щоб атакувати урядові міністерства, дипломатичні організації та аналітичні центри на Близькому Сході та в Сполучених Штатах. Ці операції покладалися на фішинг облікових даних, зловмисні LNK файли, DLL sideloading та вантажі Cobalt Strike, доставлені через скомпрометовані облікові записи електронної пошти та інфраструктуру з хостингом у хмарі. Зусилля з виявлення повинні приділяти пріоритет підозрілим ярликам Office, фальшивим сторінкам входу в стилі OneDrive та підозрілому використанню відомих завантажувачів зловмисного програмного забезпечення.

Розслідування

Proofpoint відслідковувала шість окремих кампаній — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 та TA453 — які використовували компрометацію електронної пошти, збройні архіви та зловмисні посилання для доставки завантажувачів, які зрештою запускали Cobalt Strike. Дослідники каталогізували індикатори, включаючи електронні адреси, домени, URL, імена файлів та хеші файлів. Там, де можливо, звіт також пов’язував спостережувану інфраструктуру з раніше задокументованими публічними звітами.

Пом’якшення

Організації повинні вимагати MFA для платформ електронної пошти та хмарних платформ, блокувати відомі зловмисні домени та URL, а також стежити за виконанням LNK і несподіваною активністю завантаження DLL. Засоби безпеки електронної пошти повинні перевіряти вкладення на доставка через LNK та архіви, а виявлення загроз повинно наголошувати на поведінці маяка Cobalt Strike та незвичайного виконання PowerShell.

Реагування

Якщо виявлено підозрілий LNK, зловмисний архів або маяк Cobalt Strike, ізолюйте хост, зберіть залишкові докази та негайно розпочніть реагування на інцидент. Блокуйте пов’язані командно-контрольні домени та IP-адреси, скидайте скомпрометовані облікові записи та проведіть повне судово-медичне розслідування, щоб виявити будь-які механізми втримання.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High"] class action_phishing_spear action action_execution_ps["<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High"] class action_execution_ps action action_defense_proxy["<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High"] class action_defense_proxy action action_c2_web["<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High"] class action_c2_web action action_persistence_account["<b>Action</b> – <b>T1098 Account Manipulation</b> & <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High"] class action_persistence_account action action_phishing_additional["<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["<b>Artifact</b> – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["<b>Process</b> – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["<b>Service</b> – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["<b>Service</b> – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["<b>Service</b> – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["<b>Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[“<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High”] class action_phishing_spear action action_execution_ps[“<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High”] class action_execution_ps action action_defense_proxy[“<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High”] class action_defense_proxy action action_c2_web[“<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High”] class action_c2_web action action_persistence_account[“<b>Action</b> – <b>T1098 Account Manipulation</b> <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High”] class action_persistence_account action action_phishing_additional[“<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High”] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[“<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads”] class artifact_zip artifact artifact_lnk[“<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)”] class artifact_lnk artifact artifact_ps_script[“<b>Artifact</b> – PowerShell script used for download”] class artifact_ps_script artifact artifact_dll[“<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)”] class artifact_dll malware %% Nodes – Processes / Tools process_loader[“<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)”] class process_loader process process_powershell[“<b>Process</b> – PowerShell.exe executing download script”] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[“<b>Service</b> – support.almersalstore.com (C2 domain)”] class service_c2_almer service service_c2_azure[“<b>Service</b> – Azure Front Door host”] class service_c2_azure service service_c2_onedrive[“<b>Service</b> – OneDrive file link (C2)”] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[“<b>Credential</b> – Compromised government email account”] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|delivers| artifact_zip artifact_zip –>|contains| artifact_lnk artifact_lnk –>|executes| process_loader process_loader –>|uses| action_defense_proxy action_defense_proxy –>|loads| artifact_dll artifact_dll –>|enables| action_execution_ps action_execution_ps –>|runs| process_powershell process_powershell –>|downloads payload via| artifact_ps_script process_powershell –>|communicates with| service_c2_almer process_powershell –>|communicates with| service_c2_azure process_powershell –>|communicates with| service_c2_onedrive service_c2_almer –>|supports| action_persistence_account service_c2_azure –>|supports| action_persistence_account service_c2_onedrive –>|supports| action_persistence_account action_persistence_account –>|uses| credential_email credential_email –>|sends| action_phishing_additional action_phishing_additional –>|hosts| artifact_zip

Потік атаки

Виявлення

Підозрілий двійковий код / сценарії в автозапуску (через file_event)

Команда SOC Prime
25 березня 2026

Переглянути

Підозрілі файли в публічному профілі користувача (через file_event)

Команда SOC Prime
25 березня 2026

Переглянути

Можливе проникнення / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через dns)

Команда SOC Prime
25 березня 2026

Переглянути

Підозрілі витягнуті файли з архіву (через file_event)

Команда SOC Prime
25 березня 2026

Переглянути

Можлива спроба побічного завантаження DLL NvdaHelperRemote (через image_load)

Команда SOC Prime
17 березня 2026

Переглянути

Підозріле використання CURL (через cmdline)

Команда SOC Prime
25 березня 2026

Переглянути

Можливе проникнення / ексфільтрація даних / C2 через сторонні сервіси / інструменти (через proxy)

Команда SOC Prime
25 березня 2026

Переглянути

Можливе вирішення домену Google Docs незвичайним процесом (через dns_query)

Команда SOC Prime
25 березня 2026

Переглянути

Файл віртуального жорсткого диска був створений (через file_event)

Команда SOC Prime
25 березня 2026

Переглянути

IOC (HashSha256) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході

AI правила SOC Prime
17 березня 2026

Переглянути

IOC (SourceIP) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході

AI правила SOC Prime
17 березня 2026

Переглянути

IOC (DestinationIP) для виявлення: Конфлікт в Ірані викликає підвищену шпигунську активність проти цілей на Близькому Сході

AI правила SOC Prime
17 березня 2026

Переглянути

Виявлення підозрілого виконання nvdaHelperRemoteLoader.exe і VLCMediaPlayer.exe [створення процесу Windows]

AI правила SOC Prime
17 березня 2026

Переглянути

Виявлення доменів C&C, пов’язаних з кампаніями UNK_InnerAmbush та UNK_RobotDreams [з’єднання з мережею Windows]

AI правила SOC Prime
17 березня 2026

Переглянути

Виконання симуляції

Умова: Перевірка телеметрії та базового рівня повинна бути пройдена.

Підстава: Цей розділ детально описує точне виконання техніки атакуючого (TTP), призначеної для активації правила виявлення. Команди та наратив повинні безпосередньо відбивати ідентифіковані TTP та націлені на створення точної телеметрії, яку очікує логіка виявлення.

  • Нарратив атаки і команди:
    Зловмисник отримав скомпрометовану копію nvdaHelperRemoteLoader.exe вбудований із зловмисним DLL (evil.dll). Вони розміщують двійковий файл у C:Temp і створюють ярлик, який вказує на нього, запускаючи виконання через заплановане завдання (T1546.009). Одночасно вони використовують підписаний двійковий файл VLCMediaPlayer.exe (T1218) для запуску коректного PowerShell, який виконує фіксування хоста. Обидва двійкові файли запускаються безпосередньо, щоб процес‑створення події містила точне ім’я виконуваного файлу, яке вимагається правилом.

  • Сценарій регресійного тестування:

    # -------------------------------------------------
# Сценарій симуляції – спрацьовує обидва виявлення
# -------------------------------------------------
# Встановити теку виконання
$binPath = "C:Temp"

# 1. Розгорніть зловмисний nvdaHelperRemoteLoader.exe (фіктивна копія)
$nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- замінити на реальний зразок
Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force

# 2. Розгорніть зловмисний VLCMediaPlayer.exe (фіктивна копія)
$vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- замінити на реальний зразок
Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force

# 3. Виконати nvdaHelperRemoteLoader.exe (симулювання sideloading DLL)
Write-Host "Запуск nvdaHelperRemoteLoader.exe ..."
Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden

# 4. Виконати VLCMediaPlayer.exe для запуску фіксуючого PowerShell в одній лінії
$psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
Write-Host "Запуск VLCMediaPlayer.exe з коректним PowerShell ..."
Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
    -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
    -WindowStyle Hidden

Write-Host "Симуляція завершена. Перевірте сповіщення у вашій SIEM."

  • Команди очищення:

    # Зупиніть будь-які залишкові тестові процеси
Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
    Stop-Process -Force

# Видаліть тестові двійкові файли
Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue

Write-Host "Очистка завершена."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно