Von Clawdbot zu OpenClaw: Automatisierung als digitale Hintertür.
Den Blog lesen

Von Clawdbot zu OpenClaw: Automatisierung als digitale Hintertür. Blog lesen →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. Cyberangriff

Sind iranische APTs bereits in Ihrem hybriden Netzwerk?

Juli 10, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Sind iranische APTs bereits in Ihrem hybriden Netzwerk?

Die jüngste iranisch-israelische Eskalation hat zu einem Anstieg der Cyberoperationen staatlicher Akteure geführt , die es auf Identitäts-, cloud und Unternehmensnetzwerke abgesehen haben. Diese gut ausgerüsteten Gruppen kombinieren tiefgreifende Netzwerkeingriffe mit Identitätsmissbrauch, um herkömmliche Verteidigungsmaßnahmen zu überwinden.

Sie nutzen öffentlich zugängliche Anwendungen für den ersten Zugriff, sammeln Anmeldeinformationen über phishing oder Passwort-Spraying und bewegen sich dann seitlich mit RDP, PsExec oder Remote-Zugriffsdiensten. Die Persistenz wird durch geplante Aufgaben, DLL-Sideloading, versteckte Fenster und Protokoll-Tunneling erreicht. Daten werden unauffällig bereitgestellt, archiviert und über undurchsichtige Kanäle exfiltriert, ohne dass dies zu Warnmeldungen führt.

Gleichzeitig starten sie identitätsorientierte Kampagnen innerhalb von Microsoft 365, Azure und Google Workspace: Sie missbrauchen OAuth, umgehen MFA und nutzen Outlook, OneDrive und Teams als Waffe, um Zugang zu erhalten und Daten abzuschöpfen. Diese Taktiken zielen auf kritische Infrastrukturen, Regierungen, Wirtschaftsunternehmen und Nichtregierungsorganisationen im Nahen Osten und im Westen ab, wobei Spionage und destruktive Angriffe (Wiper, erzwungene Verschlüsselung) miteinander kombiniert werden.

Wenn Sie sich nur auf Endpunkte oder Perimeterkontrollen verlassen, sind Sie blind für die gesamte Angriffskette. Wenn Sie cloud , hybride Infrastruktur oder Fernzugriff nutzen, sind Sie bereits im Visier der Angreifer.

Recent Activity from Iranian Threat Actors

Iranian threat groups continue to run sustained cyber operations against organizations across government, telecommunications, energy, and technology sectors. Recent campaigns show actors like MuddyWater expanding their use of identity abuse and cloud-native tooling while maintaining traditional PowerShell-based intrusion techniques. Rather than deploying obvious malware, these operators increasingly rely on scripts, legitimate administration tools, and compromised infrastructure to maintain stealth across hybrid environments.

Wer steckt hinter den Angriffen: Iran-verbundene APT-Profile

Trotz unterschiedlicher Ziele (die von langfristiger Spionage bis hin zu offener Sabotage reichen) nutzt jede Gruppe sowohl Netzwerk- als auch Identitätskanäle, um in das System einzudringen, dort zu bleiben und die Daten zu extrahieren. Nachfolgend finden Sie eine Übersicht über den Erstzugang, die Netzwerk-TTPs und die cloud .

Iranian threat groups frequently reuse tooling across campaigns, particularly PowerShell frameworks, script loaders, and open-source remote access tools. This reuse makes behavioral detection across identity and network telemetry especially effective.

Gruppe Erster Zugang Netzwerk-Taktiken Cloud
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) phishing mit Stellenangeboten, Social-Engineering-Kampagnen und Ausnutzung bekannter Schwachstellen.
  • Ausführen von bösartigem Code über PowerShell und geplante Aufgaben.
  • Seitliches Verschieben mit RDP, WMI und gestohlenen Anmeldedaten.
  • Dumping-Anmeldeinformationen für Eskalation und Persistenz.
  • Archivierung und Exfiltration sensibler Daten über verschlüsselte oder undurchsichtige Kanäle.
  • Aufrechterhaltung der Tarnung durch Verschleierung, Registrierungsschlüssel und verschlüsselten Datenverkehr.
  • phishing mit Hilfe von Stellenausschreibungen und Social Engineering zur Erlangung von Zugangsdaten.
  • Passwort-Spraying für den Zugriff auf Office 365- und Azure-Konten.
  • Sobald die Zugangsdaten vorliegen, kann man über kommerzielle VPNs auf Konten zugreifen.
  • Verwendung von Azure-spezifischen Tools zum Aufzählen von Entra ID (Azure AD) und Sammeln von Benutzer- und Gruppendaten.
  • Bereitstellung bösartiger ZIP-Dateien über Microsoft Teams-Nachrichten, um Active Directory-Informationen zu extrahieren.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) phishing und gefälschte Stellenausschreibungen, die auf Personen in bestimmten Funktionen abzielen.
  • Verwendung von Remote-Desktop-Protokollen und VPN-Tunneling für die Bewegung.
  • Dumping von Anmeldeinformationen und Ausweitung von Privilegien über bekannte Exploits.
  • Exfiltration von Daten durch DNS-Tunneling, FTP und kompromittierte E-Mails.
  • Umgehen der Erkennung durch Masquerading, signierte Binärdateien und Manipulation der Firewall.
  • phishing und gefälschte Stellenausschreibungen, um Zugang zu Exchange und anderen cloud zu erhalten.
  • Nutzung von cloud wie Exchange zum heimlichen Exfiltrieren von Daten.
  • Ausnutzung von Größenbeschränkungen bei der Datenübertragung, um nicht entdeckt zu werden.
  • Sammeln von Anmeldeinformationen und deren Wiederverwendung für laterale Bewegungen in SaaS-Umgebungen.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) phishing , gefälschte Anmeldeportale, die cloud imitieren, und kompromittierte Konten.
  • Seitliche Verschiebung über RDP und geplante Aufgaben.
  • Dumping von Anmeldedaten aus Browsern und Speicher für tieferen Zugriff.
  • Übertragung von Daten über verschlüsselte Kanäle und cloud .
  • Umgehung der Sicherheit durch Deaktivierung der Protokollierung und Vermischung von C2-Verkehr mit Web-Aktivitäten.
  • Abfangen von Anmeldedaten über gefälschte Anmeldeportale, die cloud imitieren.
  • Umgehung des MFA-Schutzes durch Social Engineering und gefälschte Anmeldeseiten.
  • Ausnutzung von Schwachstellen in cloud Exchange oder anderen SaaS-Anwendungen für privilegierten Zugriff.
  • Nutzung von cloud , um unbemerkt Dateien und E-Mails von Interesse zu sammeln.
APT42 (alias Crooked Charms) Langwieriges Social Engineering und Ausgeben von vertrauenswürdigen Kontakten, um an Zugangsdaten zu gelangen.
  • Verwendung verschlüsselter HTTPS-Kanäle für die heimliche Datenübertragung.
  • Tunneling-Zugang durch gefälschte VPN- und maskierte Remote-Sitzungen.
  • Ausführen von Skripten zur Erkennung, zum Keylogging und zur Datensammlung.
  • Vermischung mit dem legalen Verkehr, um Alarme zu vermeiden.
  • Umfassendes Social Engineering, um dauerhaften Zugang zu Microsoft 365 und ähnlichen Plattformen zu erhalten.
  • Ausnutzung legitimer Client-Anwendungen, um als normale Benutzeraktivität zu erscheinen.
  • Herunterladen von OneDrive-Dateien und Outlook-E-Mails über das kompromittierte Konto, ohne Verdacht zu erregen.
  • Einsatz einfacher Skripte zur Extraktion sensibler Daten.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) Spear-phishing and vulnerability exploitation.
  • Executing PowerShell-based loaders and scripting frameworks that deploy additional payloads from memory.
  • Using compromised web servers and legitimate hosting infrastructure for command-and-control traffic.
  • Moving laterally using remote administration tools, PowerShell remoting, and WMI.
  • Staging data for exfiltration through HTTP-based C2 channels while blending into normal network activity.
  • Targeting Microsoft 365 credentials through phishing and social engineering campaigns.
  • Abusing legitimate cloud services such as Outlook, OneDrive, and SharePoint to collect and move sensitive data.
  • Using compromised accounts to send internal phishing messages and expand access within the tenant.
  • Leveraging legitimate authentication sessions to maintain persistence without deploying obvious malware.
Zügelloses Kätzchen Bösartige Android-Apps und phishing , um Anmeldedaten zu stehlen und die Kontrolle über das Gerät zu erlangen.
  • Bereitstellung von Nutzdaten über Word-Dokumente mit Remote-Vorlagen, die auf gefälschten SharePoint-Domänen gehostet werden.
  • Aufrechterhaltung von C2 über SOAP über HTTPS mit Fallback-Endpunkten im Stil von OneDrive.
  • Exfiltration von Telegram-Tokens, KeePass-Tresoren und sensiblen Dateien durch base64-kodierte Uploads.
  • Persistieren durch Ersetzen des Telegram-Updaters und Einschleusen von Nutzdaten in explorer.exe.
  • Ausweitung der Sammlung durch Android-Backdoors und phishing .
  • Phishing für Google-Anmeldedaten durch Nachahmung legitimer Anmeldeseiten auf Android-Geräten.
  • Verwendung der erfassten Anmeldedaten für die Anmeldung bei Google Mail und anderen cloud .
  • Extrahieren von Daten über Browser-Sitzungen und integrierte cloud unter Vermeidung offensichtlicher malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Bereitstellung von Webshells nach phishing oder Ausnutzung anfälliger Server.
  • Erlangung von Zugang durch Ausnutzung von öffentlich zugänglichen Anwendungen und Fehlkonfigurationen.
  • Durchführung interner Aufklärungen und seitlicher Bewegungen über Remote-Desktop-Tunneling.
  • Dumping von Anmeldeinformationen für Privilegienerweiterung und Persistenz.
  • Staging und Exfiltration von Daten mit Hilfe gängiger Übertragungsmethoden.
  • Beeinträchtigung von Sicherheitstools und Verschleierung von Aktivitäten, um einer Entdeckung zu entgehen.
  • Bereitstellung von Skripten zum Extrahieren von Anmeldeinformationen aus internen Konten nach phishing oder Social-Engineering-Zugriff.
  • Seitliches Pivoting mit gültigen Anmeldedaten und autorisierten Sitzungen in cloud .

Fünf Identitäts- und Cloud , die SOC-Teams überwachen müssen

Bedrohungsakteure, die mit dem Iran in Verbindung stehen, gehen über traditionelle malware und Exploits hinaus. Ihre Kampagnen basieren nun auf dem Missbrauch von Identitätssystemen und der Nutzung von vertrauenswürdigen Tools, die Ihr Unternehmen bereits verwendet. Diese fünf Techniken sind entscheidend dafür, wie sie sich der Erkennung entziehen und in cloud bestehen bleiben. Jede stellt eine kritische Sichtbarkeitslücke wenn sich Ihr Team nur auf traditionelle EDR- oder SIEM-Tools verlässt.

  1. Diebstahl von Zugangsdaten über Spear Phishing
    Gefälschte Anmeldeportale, die Office 365 oder Gmail imitieren, Passwort-Spraying und MFA-Umgehungstechniken.
  2. Cloud Account Hijacks
    Mit gestohlenen Anmeldeinformationen wird auf E-Mail, OneDrive, SharePoint oder Azure-Anwendungen zugegriffen.
  3. Recon und Lateral Movement
    Enumerating Entra ID (Azure AD), Erstellung von Rogue OAuth Apps oder Abonnements für Persistenz.
  4. Datenexfiltration über legitime Tools
    Verschieben von Daten über OneDrive, Outlook oder webbasierte APIs, um sie im normalen Datenverkehr zu verstecken.
  5. Living-Off-the-Land Scripts and Cloud Tools
    Iranian threat actors increasingly rely on PowerShell loaders, administrative scripts, and legitimate cloud APIs instead of custom malware.
TA0001ErstmaligerZugang TA0002Ausführung TA0003Persistenz TA0004Privilegien-Eskalation TA0005Verteidigungsumgehung TA0006Zugangzu Berechtigungsnachweisen TA0007Entdeckung TA0008LateraleBewegung TA0009Kollektion TA0011Command & Control TA0010Exfiltration TA0040Auswirkungen
T1566.001Spearphishing-Anhang T1047Windows-Verwaltungsinstrumentierung T1098.005Geräteregistrierung T1068Ausnutzungfür Privilegieneskalation T1564.004VerstecktesFenster T1110.001PasswortSprühen T1012QueryRegistry T1021.001RDP T1560ArchivGesammelte Daten T1071.001Web-Protokolle T1048AltProtokoll Exfiltration T1485Datenvernichtung
T1566.002SpearphishingLink T1053.005GeplanteAufgabe/Job T1547Boot-oder Anmelde-Autostart T1055ProzessInjektion T1036.005Masquerading T1555Zugangsdatenaus Kennwortspeichern T1082Ermittlungvon Systeminformationen T1021.002SMBAdmin-Anteile T1102.001Totschlagresolver T1486Datenfür Impact verschlüsselt
T1133ExterneFerndienste T1059.001PowerShell T1562.001Deaktivierenoder Ändern vonWerkzeugen T1555.003Zertifikatevon Webbrowsern T1069.002Domänengruppen-Ermittlung
T1190ExploitÖffentlich zugängliche Anwendung T1572Protokoll-Tunneling T1003OSBerechtigungsnachweis-Dumping T1069.003Ermittlung von Cloud
T1556.006MFA-Antragserstellung T1482DomainTrust Discovery
T1558.003Kerberoasting

MITRE-Techniken, die von iranischen APTs verwendet werden

Warum iranische APTs auf Cloud und Identität abzielen

For Iranian threat groups, cloud platforms and identity systems offer scale, stealth, and strategic access. These attackers are adapting their operations to match how organizations actually work today. Remote access, federated identity, and cloud-first infrastructure have created a wide attack surface where traditional controls often lack visibility.

Key reasons these environments are attractive targets include:

  • Identity is the new perimeter. Once attackers obtain valid credentials tied to SaaS platforms or cloud admin roles, they often bypass traditional defenses entirely. Security tools focused on endpoints or firewalls rarely flag authenticated API calls or abnormal login behavior when the session appears legitimate.
  • Cloud environments provide operational cover. Iranian APT groups frequently operate within sanctioned applications such as Microsoft 365, Azure, and Google Workspace. They exploit weak OAuth policies, misconfigured conditional access rules, and excessive privileges to maintain persistence while blending into normal user activity.
  • Hybrid networks create pivot opportunities. Many organizations maintain links between on-prem systems and cloud environments. Iranian actors have abused identity synchronization services and hybrid management tools to pivot from compromised internal systems into cloud tenants, allowing them to expand access across environments.
  • Living-off-the-land scripting reduces malware visibility. Recent campaigns from groups such as MuddyWater show heavy reliance on PowerShell loaders and script-based frameworks that execute payloads directly in memory. Instead of deploying obvious malware, attackers retrieve tools dynamically and operate using native system capabilities.
  • Cloud-native tooling is dual-use.Tools like Microsoft Graph API, PowerShell, Outlook, Teams messaging, and remote administration software are designed to enable productivity. Iranian actors routinely use these same capabilities to enumerate environments, move laterally, and exfiltrate data while remaining difficult to distinguish from legitimate activity.

In short, cloud and identity attacks allow Iranian APT groups to operate quietly across hybrid environments. They blend into legitimate user behavior, avoid traditional defenses, and exploit visibility gaps that many organizations still struggle to monitor effectively.

Sicherheitskontrollen zur Unterbrechung iranischer APT-Methoden

Um Ihre Anfälligkeit für die oben beschriebenen Techniken zu verringern und Ihre Umgebung zu einem schwierigeren Ziel zu machen, empfehlen wir die folgenden Sofortmaßnahmen:

  1. Erzwingen Sie Multi-Faktor-Authentifizierung, um phishing und MFA-Umgehung zu verhindern.
  2. Aktivieren Sie Conditional Access und Geräterichtlinien für cloud.
  3. Überwachen Sie die Anmeldeaktivitäten auf verdächtige IPs, ungewöhnliche geografische Standorte und Anmeldungen über VPN.
  4. Sperren Sie OAuth-Apps und -Berechtigungen: Überprüfen Sie alle Einwilligungen und Dienstkonten in Microsoft 365/Azure.
  5. Überprüfen Sie privilegierte Konten regelmäßig, insbesondere solche mit Administratorrollen in Exchange/Azure.
  6. Implementierung von Benutzerschulungen: Erkennen Sie gefälschte Anmeldeportale und Social-Engineering-Taktiken.
  7. Überwachung der Datenexfiltration: Einrichtung von DLP-Regeln und CASB-Richtlinien (Cloud Access Security Broker).
  8. Überprüfen Sie das MFA-Push-Verhalten: Schränken Sie Benachrichtigungen nach wiederholten Fehlversuchen ein oder verwenden Sie phishing MFA-Optionen wie FIDO2.

These controls harden your environment but detecting credential misuse and network stealth requires active, behavior-driven visibility.

Turn Iranian APT Intelligence Into Immediate Threat Hunting

Understanding how Iranian threat groups operate is only the first step. The next challenge is determining whether those same techniques are already happening inside your environment.

SOC teams don’t need another report explaining attacker tradecraft. What they need are concrete ways to test their environment for those behaviors.

To help security teams move from intelligence to investigation, we created a set of threat hunts tied directly to Iranian APT tradecraft observed in recent campaigns. These hunts surface early indicators across identity and network activity, including:

  • Suspicious Microsoft 365 device registrations linked to credential compromise
  • OilRig command-and-control infrastructure communication
  • SpyNote and QasarRAT DNS activity tied to attacker infrastructure
  • Failed device registrations that may indicate APT35 reconnaissance
  • Network sessions associated with Pupy malware infrastructure

Each hunt includes a ready-to-run query you can execute inside the Vectra AI Platform to quickly identify potential attacker activity.

Hunting for iranian APT related activities in the Vectra AI Platform

Running targeted hunts like these helps analysts move from passive monitoring to proactive detection. Instead of waiting for alerts, your team can directly search for the behaviors Iranian operators rely on once they gain access.

Because these actors blend identity abuse, SaaS activity, and network infrastructure, effective detection requires visibility across all three.

That’s exactly where the Vectra AI Platform provides an advantage.

How the Vectra AI Platform Exposes Iranian APT Activity

Traditional security tools tend to focus on isolated signals: endpoint alerts, firewall logs, or authentication events. Iranian threat actors operate across identity systems, SaaS platforms, and network infrastructure simultaneously, which makes those siloed approaches easy to evade.

The Vectra AI Platform continuously analyzes behavior across: Network traffic Active Directory and Entra ID Microsoft 365 identity activity Cloud platforms including AWS and Azure Instead of relying on static indicators, the platform identifies abnormal behavior that signals compromise even when attackers use legitimate credentials or sanctioned cloud tools.

This gives SOC teams the visibility needed to detect the exact techniques used by Iranian APT groups: credential abuse, identity manipulation, stealthy lateral movement, and covert command-and-control activity.

According to IDC, organizations using Vectra AI identify 52% more threats in at least 50% less time.

Im Folgenden erfahren Sie, wie Vectra AI AI jede der fünf von iranischen APTs verwendeten Kerntechniken erkennt:

Technik Vectra AI
Diebstahl von Berechtigungsnachweisen Erkennung von Passwort-Spraying und verdächtigem Anmeldeverhalten, einschließlich anomaler Geografie, Benutzer-Agenten und von VPN stammenden Anmeldungen
Cloud Kennzeichnet unbefugten Zugriff auf Postfächer, OneDrive und andere Dienste, insbesondere wenn das Verhalten von der normalen Grundeinstellung des Benutzers abweicht
Aufklärungsarbeit und seitliche Bewegung Identifiziert die Aufzählung von Entra ID-Objekten, betrügerische OAuth-Zustimmungsflüsse und verdächtige Azure-Abonnementaktivitäten
Datenexfiltration über legitime Tools Erkennt abnormale Datenbewegungen durch genehmigte SaaS-Anwendungen, wie z. B. große Downloads oder Massendateitransfers über API
Leben auf dem Lande Aufdeckung des Missbrauchs von nativen Tools wie Outlook, PowerShell und Fernzugriffssoftware, die sich in Routineabläufe einfügen

Die Vectra AI benötigt keine Agenten. Sie lässt sich nativ in Microsoft integrieren und wendet eine Echtzeit-Erkennungslogik an, die auf identitätsgesteuerte Angriffe zugeschnitten ist. Dieser Ansatz liefert präzise, detailgetreue Warnungen und automatisierte Reaktionsmöglichkeiten, die SOC-Teams in die Lage versetzen, entschlossen zu handeln, ohne in Fehlalarmen zu ertrinken.

Sie sind bereits Kunde von Vectra AI NDR?

Um sich gegen diese neue Welle von identitäts- und cloud Angriffen zu schützen, empfehlen wir dringend, Ihre bestehende Bereitstellung um eine Identitäts- und Cloud zu erweitern. Dies gewährleistet eine einheitliche Sichtbarkeit und Schutz in hybriden Umgebungen, in denen diese Bedrohungsakteure gedeihen.

Häufig gestellte Fragen