Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU
JETZT VERÖFFENTLICHT

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Angriffs-Techniken

Sind iranische APTs bereits in Ihrem hybriden Netzwerk?

Juli 10, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Sind iranische APTs bereits in Ihrem hybriden Netzwerk?

Die jüngste iranisch-israelische Eskalation hat zu einem Anstieg der Cyberoperationen staatlicher Akteure geführt , die es auf Identitäts-, cloud und Unternehmensnetzwerke abgesehen haben. Diese gut ausgerüsteten Gruppen kombinieren tiefgreifende Netzwerkeingriffe mit Identitätsmissbrauch, um herkömmliche Verteidigungsmaßnahmen zu überwinden.

Sie nutzen öffentlich zugängliche Anwendungen für den ersten Zugriff, sammeln Anmeldeinformationen über phishing oder Passwort-Spraying und bewegen sich dann seitlich mit RDP, PsExec oder Remote-Zugriffsdiensten. Die Persistenz wird durch geplante Aufgaben, DLL-Sideloading, versteckte Fenster und Protokoll-Tunneling erreicht. Daten werden unauffällig bereitgestellt, archiviert und über undurchsichtige Kanäle exfiltriert, ohne dass dies zu Warnmeldungen führt.

Gleichzeitig starten sie identitätsorientierte Kampagnen innerhalb von Microsoft 365, Azure und Google Workspace: Sie missbrauchen OAuth, umgehen MFA und nutzen Outlook, OneDrive und Teams als Waffe, um Zugang zu erhalten und Daten abzuschöpfen. Diese Taktiken zielen auf kritische Infrastrukturen, Regierungen, Wirtschaftsunternehmen und Nichtregierungsorganisationen im Nahen Osten und im Westen ab, wobei Spionage und destruktive Angriffe (Wiper, erzwungene Verschlüsselung) miteinander kombiniert werden.

Wenn Sie sich nur auf Endpunkte oder Perimeterkontrollen verlassen, sind Sie blind für die gesamte Angriffskette. Wenn Sie cloud , hybride Infrastruktur oder Fernzugriff nutzen, sind Sie bereits im Visier der Angreifer.

Wer steckt hinter den Angriffen: Iran-verbundene APT-Profile

Trotz unterschiedlicher Ziele (die von langfristiger Spionage bis hin zu offener Sabotage reichen) nutzt jede Gruppe sowohl Netzwerk- als auch Identitätskanäle, um in das System einzudringen, dort zu bleiben und die Daten zu extrahieren. Nachfolgend finden Sie eine Übersicht über den Erstzugang, die Netzwerk-TTPs und die cloud .

Gruppe Erster Zugang Netzwerk-Taktiken Cloud
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) phishing mit Stellenangeboten, Social-Engineering-Kampagnen und Ausnutzung bekannter Schwachstellen.
  • Ausführen von bösartigem Code über PowerShell und geplante Aufgaben.
  • Seitliches Verschieben mit RDP, WMI und gestohlenen Anmeldedaten.
  • Dumping-Anmeldeinformationen für Eskalation und Persistenz.
  • Archivierung und Exfiltration sensibler Daten über verschlüsselte oder undurchsichtige Kanäle.
  • Aufrechterhaltung der Tarnung durch Verschleierung, Registrierungsschlüssel und verschlüsselten Datenverkehr.
  • phishing mit Hilfe von Stellenausschreibungen und Social Engineering zur Erlangung von Zugangsdaten.
  • Passwort-Spraying für den Zugriff auf Office 365- und Azure-Konten.
  • Sobald die Zugangsdaten vorliegen, kann man über kommerzielle VPNs auf Konten zugreifen.
  • Verwendung von Azure-spezifischen Tools zum Aufzählen von Entra ID (Azure AD) und Sammeln von Benutzer- und Gruppendaten.
  • Bereitstellung bösartiger ZIP-Dateien über Microsoft Teams-Nachrichten, um Active Directory-Informationen zu extrahieren.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) phishing und gefälschte Stellenausschreibungen, die auf Personen in bestimmten Funktionen abzielen.
  • Verwendung von Remote-Desktop-Protokollen und VPN-Tunneling für die Bewegung.
  • Dumping von Anmeldeinformationen und Ausweitung von Privilegien über bekannte Exploits.
  • Exfiltration von Daten durch DNS-Tunneling, FTP und kompromittierte E-Mails.
  • Umgehen der Erkennung durch Masquerading, signierte Binärdateien und Manipulation der Firewall.
  • phishing und gefälschte Stellenausschreibungen, um Zugang zu Exchange und anderen cloud zu erhalten.
  • Nutzung von cloud wie Exchange zum heimlichen Exfiltrieren von Daten.
  • Ausnutzung von Größenbeschränkungen bei der Datenübertragung, um nicht entdeckt zu werden.
  • Sammeln von Anmeldeinformationen und deren Wiederverwendung für laterale Bewegungen in SaaS-Umgebungen.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) phishing , gefälschte Anmeldeportale, die cloud imitieren, und kompromittierte Konten.
  • Seitliche Verschiebung über RDP und geplante Aufgaben.
  • Dumping von Anmeldedaten aus Browsern und Speicher für tieferen Zugriff.
  • Übertragung von Daten über verschlüsselte Kanäle und cloud .
  • Umgehung der Sicherheit durch Deaktivierung der Protokollierung und Vermischung von C2-Verkehr mit Web-Aktivitäten.
  • Abfangen von Anmeldedaten über gefälschte Anmeldeportale, die cloud imitieren.
  • Umgehung des MFA-Schutzes durch Social Engineering und gefälschte Anmeldeseiten.
  • Ausnutzung von Schwachstellen in cloud Exchange oder anderen SaaS-Anwendungen für privilegierten Zugriff.
  • Nutzung von cloud , um unbemerkt Dateien und E-Mails von Interesse zu sammeln.
APT42 (alias Crooked Charms) Langwieriges Social Engineering und Ausgeben von vertrauenswürdigen Kontakten, um an Zugangsdaten zu gelangen.
  • Verwendung verschlüsselter HTTPS-Kanäle für die heimliche Datenübertragung.
  • Tunneling-Zugang durch gefälschte VPN- und maskierte Remote-Sitzungen.
  • Ausführen von Skripten zur Erkennung, zum Keylogging und zur Datensammlung.
  • Vermischung mit dem legalen Verkehr, um Alarme zu vermeiden.
  • Umfassendes Social Engineering, um dauerhaften Zugang zu Microsoft 365 und ähnlichen Plattformen zu erhalten.
  • Ausnutzung legitimer Client-Anwendungen, um als normale Benutzeraktivität zu erscheinen.
  • Herunterladen von OneDrive-Dateien und Outlook-E-Mails über das kompromittierte Konto, ohne Verdacht zu erregen.
  • Einsatz einfacher Skripte zur Extraktion sensibler Daten.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) phishing mit bösartigen Anhängen oder Links, die über kompromittierte Konten gesendet werden.
  • Ausführen von Skripten und malware über PowerShell, VBScript und geplante Aufgaben.
  • Seitliches Verschieben mit Hilfe von Fernzugriffstools und WMI.
  • Dumping von Anmeldeinformationen aus dem Speicher, aus Browsern und aus Cache-Quellen.
  • Einrichtung der Persistenz mithilfe von Registrierungsschlüsseln und DLL-Sideloading.
  • Exfiltrierung komprimierter Daten über HTTP-basierte C2-Kanäle.
  • phishing mit bösartigen Anhängen und Links, um Anmeldedaten für cloud zu stehlen.
  • Nutzung kompromittierter Konten, um intern weitere phishing zu versenden, wodurch ein Kaskadeneffekt entsteht.
  • Sie zielen auf Prozesse zum Zurücksetzen von Anmeldeinformationen und MFA-Systeme ab, um die Kontrolle über cloud zu übernehmen.
Zügelloses Kätzchen Bösartige Android-Apps und phishing , um Anmeldedaten zu stehlen und die Kontrolle über das Gerät zu erlangen.
  • Bereitstellung von Nutzdaten über Word-Dokumente mit Remote-Vorlagen, die auf gefälschten SharePoint-Domänen gehostet werden.
  • Aufrechterhaltung von C2 über SOAP über HTTPS mit Fallback-Endpunkten im Stil von OneDrive.
  • Exfiltration von Telegram-Tokens, KeePass-Tresoren und sensiblen Dateien durch base64-kodierte Uploads.
  • Persistieren durch Ersetzen des Telegram-Updaters und Einschleusen von Nutzdaten in explorer.exe.
  • Ausweitung der Sammlung durch Android-Backdoors und phishing .
  • Phishing für Google-Anmeldedaten durch Nachahmung legitimer Anmeldeseiten auf Android-Geräten.
  • Verwendung der erfassten Anmeldedaten für die Anmeldung bei Google Mail und anderen cloud .
  • Extrahieren von Daten über Browser-Sitzungen und integrierte cloud unter Vermeidung offensichtlicher malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Bereitstellung von Webshells nach phishing oder Ausnutzung anfälliger Server.
  • Erlangung von Zugang durch Ausnutzung von öffentlich zugänglichen Anwendungen und Fehlkonfigurationen.
  • Durchführung interner Aufklärungen und seitlicher Bewegungen über Remote-Desktop-Tunneling.
  • Dumping von Anmeldeinformationen für Privilegienerweiterung und Persistenz.
  • Staging und Exfiltration von Daten mit Hilfe gängiger Übertragungsmethoden.
  • Beeinträchtigung von Sicherheitstools und Verschleierung von Aktivitäten, um einer Entdeckung zu entgehen.
  • Bereitstellung von Skripten zum Extrahieren von Anmeldeinformationen aus internen Konten nach phishing oder Social-Engineering-Zugriff.
  • Seitliches Pivoting mit gültigen Anmeldedaten und autorisierten Sitzungen in cloud .

Fünf Identitäts- und Cloud , die SOC-Teams überwachen müssen

Bedrohungsakteure, die mit dem Iran in Verbindung stehen, gehen über traditionelle malware und Exploits hinaus. Ihre Kampagnen basieren nun auf dem Missbrauch von Identitätssystemen und der Nutzung von vertrauenswürdigen Tools, die Ihr Unternehmen bereits verwendet. Diese fünf Techniken sind entscheidend dafür, wie sie sich der Erkennung entziehen und in cloud bestehen bleiben. Jede stellt eine kritische Sichtbarkeitslücke wenn sich Ihr Team nur auf traditionelle EDR- oder SIEM-Tools verlässt.

  1. Diebstahl von Zugangsdaten über Spear Phishing
    Gefälschte Anmeldeportale, die Office 365 oder Gmail imitieren, Passwort-Spraying und MFA-Umgehungstechniken.
  2. Cloud Account Hijacks
    Mit gestohlenen Anmeldeinformationen wird auf E-Mail, OneDrive, SharePoint oder Azure-Anwendungen zugegriffen.
  3. Recon und Lateral Movement
    Enumerating Entra ID (Azure AD), Erstellung von Rogue OAuth Apps oder Abonnements für Persistenz.
  4. Datenexfiltration über legitime Tools
    Verschieben von Daten über OneDrive, Outlook oder webbasierte APIs, um sie im normalen Datenverkehr zu verstecken.
  5. Leben abseits von SaaS und Cloud
    Integrierte SaaS-Clients wie Outlook oder Fernzugriffstools wie AnyDesk/TeamViewer zur Steuerung von cloud verwenden.
TA0001ErstmaligerZugang TA0002Ausführung TA0003Persistenz TA0004Privilegien-Eskalation TA0005Verteidigungsumgehung TA0006Zugangzu Berechtigungsnachweisen TA0007Entdeckung TA0008LateraleBewegung TA0009Kollektion TA0011Command & Control TA0010Exfiltration TA0040Auswirkungen
T1566.001Spearphishing-Anhang T1047Windows-Verwaltungsinstrumentierung T1098.005Geräteregistrierung T1068Ausnutzungfür Privilegieneskalation T1564.004VerstecktesFenster T1110.001PasswortSprühen T1012QueryRegistry T1021.001RDP T1560ArchivGesammelte Daten T1071.001Web-Protokolle T1048AltProtokoll Exfiltration T1485Datenvernichtung
T1566.002SpearphishingLink T1053.005GeplanteAufgabe/Job T1547Boot-oder Anmelde-Autostart T1055ProzessInjektion T1036.005Masquerading T1555Zugangsdatenaus Kennwortspeichern T1082Ermittlungvon Systeminformationen T1021.002SMBAdmin-Anteile T1102.001Totschlagresolver T1486Datenfür Impact verschlüsselt
T1133ExterneFerndienste T1059.001PowerShell T1562.001Deaktivierenoder Ändern vonWerkzeugen T1555.003Zertifikatevon Webbrowsern T1069.002Domänengruppen-Ermittlung
T1190ExploitÖffentlich zugängliche Anwendung T1572Protokoll-Tunneling T1003OSBerechtigungsnachweis-Dumping T1069.003Ermittlung von Cloud
T1556.006MFA-Antragserstellung T1482DomainTrust Discovery
T1558.003Kerberoasting

MITRE-Techniken, die von iranischen APTs verwendet werden

Warum iranische APTs auf Cloud und Identität abzielen

Für iranische Bedrohungsgruppen bieten cloud und Identitätssysteme Skalierbarkeit, Heimlichkeit und strategischen Wert. Diese Angreifer sind nicht nur opportunistisch, sondern passen sich an die heutige Arbeitsweise von Unternehmen an. Fernzugriff, föderierte Identitäten und cloud haben eine große Angriffsfläche geschaffen, die für viele Sicherheitsteams nur begrenzt sichtbar ist.

  • Identität ist der neue Schutzwall. Sobald sich Angreifer gültige Anmeldedaten verschaffen, insbesondere solche, die an SaaS-Plattformen oder cloud gebunden sind, umgehen sie oft die Erkennung vollständig. Sicherheitstools, die sich auf Endpunkte oder Firewalls konzentrieren, erkennen nur selten authentifizierte API-Aufrufe oder abnormales Anmeldeverhalten, wenn die Sitzung legitim erscheint.
  • Cloud bieten Deckung. Iranische APTs operieren häufig innerhalb genehmigter Anwendungen wie Microsoft 365, Azure und Google Workspace. Sie nutzen schwache OAuth-Richtlinien, falsch konfigurierte Zugangskontrollen und übermäßige Admin-Rechte aus. Dadurch können sie in Umgebungen überleben, in denen herkömmliche Kontrollen nicht dafür ausgelegt sind, Verhaltensanomalien bei Benutzern, Rollen und Anwendungen zu untersuchen.
  • Hybride Netzwerke bieten Dreh- und Angelpunkte. In vielen Fällen kompromittieren Angreifer On-Premise-Systeme und nutzen diese Ausgangsposition, um auf verbundene cloud zuzugreifen. Microsoft hat Angriffe dokumentiert, bei denen iranische Akteure Entra Connect und Azure Arc missbraucht haben, um eine Brücke zwischen kompromittierten On-Premise-Umgebungen und cloud zu schlagen, einschließlich des Aufbaus einer neuen Infrastruktur in kompromittierten Tenants.
  • Cloud Tools haben einen doppelten Nutzen. PowerShell, Microsoft Graph API, Teams Messaging und Mailbox-Delegation sollen die Zusammenarbeit erleichtern. Iranische Akteure nutzen dieselben Funktionen, um Umgebungen aufzuzählen, malware auszutauschen und Daten zu verschieben. Da sie nur selten neue Binärdateien oder externe Infrastrukturen einführen, vermeiden sie es, klassische Anzeichen einer Kompromittierung auszulösen.

Kurz gesagt, cloud und Identitätsangriffe ermöglichen es iranischen APTs, sich unauffällig und effektiv zu bewegen. Sie fügen sich in das Nutzerverhalten ein, umgehen herkömmliche Abwehrmaßnahmen und nutzen Lücken, die die meisten Unternehmen erst erkennen, wenn es zu spät ist.

Sicherheitskontrollen zur Unterbrechung iranischer APT-Methoden

Um Ihre Anfälligkeit für die oben beschriebenen Techniken zu verringern und Ihre Umgebung zu einem schwierigeren Ziel zu machen, empfehlen wir die folgenden Sofortmaßnahmen:

  1. Erzwingen Sie Multi-Faktor-Authentifizierung, um phishing und MFA-Umgehung zu verhindern.
  2. Aktivieren Sie Conditional Access und Geräterichtlinien für cloud.
  3. Überwachen Sie die Anmeldeaktivitäten auf verdächtige IPs, ungewöhnliche geografische Standorte und Anmeldungen über VPN.
  4. Sperren Sie OAuth-Apps und -Berechtigungen: Überprüfen Sie alle Einwilligungen und Dienstkonten in Microsoft 365/Azure.
  5. Überprüfen Sie privilegierte Konten regelmäßig, insbesondere solche mit Administratorrollen in Exchange/Azure.
  6. Implementierung von Benutzerschulungen: Erkennen Sie gefälschte Anmeldeportale und Social-Engineering-Taktiken.
  7. Überwachung der Datenexfiltration: Einrichtung von DLP-Regeln und CASB-Richtlinien (Cloud Access Security Broker).
  8. Überprüfen Sie das MFA-Push-Verhalten: Schränken Sie Benachrichtigungen nach wiederholten Fehlversuchen ein oder verwenden Sie phishing MFA-Optionen wie FIDO2.

Diese Kontrollen härten Ihre Umgebung ab, aber die Erkennung von Missbrauch von Anmeldeinformationen und Netzwerken erfordert eine aktive, verhaltensgesteuerte Transparenz.

Wie die Vectra AI erkennt, was andere übersehen

Die meisten Sicherheitstools können iranische APT-Aktivitäten nicht erkennen, weil sie nicht darauf ausgelegt sind, zu überwachen, wie Angreifer in cloud und Identitätsumgebungen agieren. Die Vectra AI wurde speziell dafür entwickelt, diese Lücke zu schließen.

Anstatt sich auf statische Indikatoren oder manipulierbare Protokolle zu verlassen, nutzt Vectra AI eine KI-gesteuerte Verhaltenserkennung, um abnormale Aktivitäten in Netzwerken, Active Directory, Microsoft 365, Entra ID, Copilot für M365, AWS und Azure Cloud zu identifizieren. Es überwacht kontinuierlich, wie Benutzer mit Anwendungen, Anmeldeinformationen, Token und Daten interagieren, und zeigt Signale auf, die auf eine Gefährdung hinweisen, ohne dass Bedrohungsakteure offensichtliche Alarme auslösen müssen.

Aber Erkennung allein ist nicht genug. Die Vectra AI schafft auch Klarheit darüber, welche Alarme wirklich wichtig sind. So werden Störgeräusche eliminiert und SOC-Teams können sich auf die Signale konzentrieren, die auf echte Bedrohungen hinweisen. Mit den integrierten Reaktionsmaßnahmen können Analysten sofort Maßnahmen ergreifen, um einen Angriff einzudämmen - sei es durch den Entzug von Sitzungen oder die Sperrung von Konten - bevor sich der Schaden ausbreitet. Diese Kombination aus Erkennung, Klarheit und Kontrolle gibt Sicherheitsteams das Vertrauen, auf ausgefeilte moderne Angriffe entschlossen zu reagieren. Laut IDC erkennen Unternehmen, die Vectra AI einsetzen, 52 % mehr Bedrohungen in mindestens 50 % weniger Zeit.

Im Folgenden erfahren Sie, wie Vectra AI AI jede der fünf von iranischen APTs verwendeten Kerntechniken erkennt:

Technik Vectra AI
Diebstahl von Berechtigungsnachweisen Erkennung von Passwort-Spraying und verdächtigem Anmeldeverhalten, einschließlich anomaler Geografie, Benutzer-Agenten und von VPN stammenden Anmeldungen
Cloud Kennzeichnet unbefugten Zugriff auf Postfächer, OneDrive und andere Dienste, insbesondere wenn das Verhalten von der normalen Grundeinstellung des Benutzers abweicht
Aufklärungsarbeit und seitliche Bewegung Identifiziert die Aufzählung von Entra ID-Objekten, betrügerische OAuth-Zustimmungsflüsse und verdächtige Azure-Abonnementaktivitäten
Datenexfiltration über legitime Tools Erkennt abnormale Datenbewegungen durch genehmigte SaaS-Anwendungen, wie z. B. große Downloads oder Massendateitransfers über API
Leben auf dem Lande Aufdeckung des Missbrauchs von nativen Tools wie Outlook, PowerShell und Fernzugriffssoftware, die sich in Routineabläufe einfügen

Die Vectra AI benötigt keine Agenten. Sie lässt sich nativ in Microsoft integrieren und wendet eine Echtzeit-Erkennungslogik an, die auf identitätsgesteuerte Angriffe zugeschnitten ist. Dieser Ansatz liefert präzise, detailgetreue Warnungen und automatisierte Reaktionsmöglichkeiten, die SOC-Teams in die Lage versetzen, entschlossen zu handeln, ohne in Fehlalarmen zu ertrinken.

Sie sind bereits Kunde von Vectra AI NDR?

Um sich gegen diese neue Welle von identitäts- und cloud Angriffen zu schützen, empfehlen wir dringend, Ihre bestehende Bereitstellung um eine Identitäts- und Cloud zu erweitern. Dies gewährleistet eine einheitliche Sichtbarkeit und Schutz in hybriden Umgebungen, in denen diese Bedrohungsakteure gedeihen.

Jetzt ist es an der Zeit zu sehen, was andere nicht sehen können.

Häufig gestellte Fragen