Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecniche di attacco

Gli APT iraniani sono già entrati nella tua rete ibrida?

10 luglio 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Gli APT iraniani sono già entrati nella tua rete ibrida?

La recente escalation tra Iran e Israele ha provocato un picco nelle operazioni informatiche da parte di attori legati allo Stato che prendono di mira identità, cloud e reti aziendali. Questi gruppi, dotati di risorse considerevoli , combinano intrusioni profonde nella rete con l'abuso di identità per eludere le difese tradizionali.

Sfruttano le app rivolte al pubblico per ottenere l'accesso iniziale, raccolgono le credenziali tramite phishing password spraying, quindi si spostano lateralmente con RDP, PsExec o servizi di accesso remoto. La persistenza è garantita da attività pianificate, sideloading di DLL, finestre nascoste e tunneling di protocollo. I dati vengono silenziosamente preparati, archiviati ed esfiltrati attraverso canali oscuri, spesso senza attivare gli avvisi legacy.

Contemporaneamente, lanciano campagne incentrate sull'identità all'interno di Microsoft 365, Azure e Google Workspace: abusando di OAuth, aggirando l'autenticazione a più fattori (MFA) e sfruttando Outlook, OneDrive e Teams per mantenere l'accesso e sottrarre dati. Queste tattiche prendono di mira infrastrutture critiche, governi, imprese commerciali e ONG in Medio Oriente e in Occidente, combinando spionaggio e attacchi distruttivi (wiper, crittografia forzata).

Affidarsi esclusivamente agli endpoint o ai controlli perimetrali significa non avere una visione completa della catena di attacco. Se utilizzi cloud , un'infrastruttura ibrida o l'accesso remoto, sei già nel mirino degli hacker.

Chi c'è dietro gli attacchi: profili APT collegati all'Iran

Nonostante gli obiettivi diversi (che vanno dallo spionaggio a lungo termine al sabotaggio vero e proprio), ogni gruppo sfrutta sia i canali di rete che quelli di identità per violare, persistere ed estrarre. Di seguito è riportata una panoramica di alto livello del loro accesso iniziale, delle TTP di rete ecloud .

Gruppo Accesso iniziale Tattiche di rete Cloud
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) phishing con annunci di lavoro, campagne di social engineering e sfruttamento di vulnerabilità note.
  • Esecuzione di codice dannoso tramite PowerShell e attività pianificate.
  • Spostamento laterale tramite RDP, WMI e credenziali rubate.
  • Dumping delle credenziali per l'escalation e la persistenza.
  • Archiviazione ed esfiltrazione di dati sensibili tramite canali crittografati o oscuri.
  • Mantenere la furtività utilizzando l'offuscamento, le chiavi di registro e il traffico codificato.
  • phishing annunci di lavoro e ingegneria sociale per ottenere credenziali.
  • Spraying delle password per accedere agli account Office 365 e Azure.
  • Una volta ottenute le credenziali, è possibile accedere agli account tramite VPN commerciali.
  • Utilizzo di strumenti specifici di Azure per enumerare Entra ID (Azure AD) e raccogliere dati relativi a utenti e gruppi.
  • Distribuzione di file ZIP dannosi tramite messaggi Microsoft Teams per estrarre informazioni da Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) phishing e annunci di lavoro falsi rivolti a persone che ricoprono ruoli specifici.
  • Utilizzo di protocolli desktop remoto e tunneling VPN per il trasferimento.
  • Dumping delle credenziali e escalation dei privilegi tramite exploit noti.
  • Esfiltrazione dei dati tramite tunneling DNS, FTP ed e-mail compromesse.
  • Evitare il rilevamento tramite mascheramento, file binari firmati e manipolazione del firewall.
  • phishing e annunci di lavoro falsi per ottenere l'accesso a Exchange e altri cloud .
  • Sfruttare le funzionalità cloud come Exchange per sottrarre dati in modo furtivo.
  • Sfruttare i limiti di dimensione del trasferimento dati per evitare il rilevamento.
  • Raccolta delle credenziali e loro riutilizzo per il movimento laterale negli ambienti SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) phishing , portali di accesso falsi che imitano cloud e account compromessi.
  • Esecuzione di movimenti laterali tramite RDP e attività pianificate.
  • Scaricare le credenziali dai browser e dalla memoria per un accesso più approfondito.
  • Trasferimento dei dati tramite canali crittografati e piattaforme cloud .
  • Eludere la sicurezza disabilitando la registrazione e mescolando il traffico C2 con l'attività web.
  • Ottenere credenziali di accesso tramite portali di login falsi che imitano servizi cloud.
  • Elusione delle protezioni MFA tramite tecniche di ingegneria sociale e pagine di accesso false convincenti.
  • Sfruttare le vulnerabilità di Exchange cloud o altre app SaaS per ottenere un accesso privilegiato.
  • Utilizzo cloud per raccogliere silenziosamente file ed e-mail di interesse.
APT42 (alias Crooked Charms) Ingegneria sociale prolungata e furto d'identità di contatti fidati per ottenere credenziali.
  • Utilizzo di canali HTTPS crittografati per il trasferimento discreto dei dati.
  • Accesso tramite tunneling attraverso VPN contraffatte e sessioni remote mascherate.
  • Esecuzione di script per il rilevamento, il keylogging e la raccolta di dati.
  • Mescolarsi al traffico legittimo per evitare di destare sospetti.
  • Ampia attività di social engineering per ottenere un accesso persistente a Microsoft 365 e piattaforme simili.
  • Sfruttare app client legittime per apparire come normali attività degli utenti.
  • Scaricare file OneDrive ed e-mail Outlook utilizzando l'account compromesso senza destare sospetti.
  • Implementazione di semplici script per estrarre dati sensibili.
MuddyWater (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) phishing allegati o link dannosi inviati tramite account compromessi.
  • Esecuzione di script e malware PowerShell, VBScript e attività pianificate.
  • Spostamento laterale utilizzando strumenti di accesso remoto e WMI.
  • Scaricare le credenziali dalla memoria, dai browser e dalle fonti memorizzate nella cache.
  • Stabilire la persistenza utilizzando chiavi di registro e sideloading DLL.
  • Esfiltrazione di dati compressi tramite canali C2 basati su HTTP.
  • phishing allegati e link dannosi per rubare le credenziali delle cloud .
  • Utilizzo di account compromessi per inviare ulteriori phishing internamente, creando un effetto a cascata.
  • Puntare ai processi di reimpostazione delle credenziali e ai sistemi MFA per assumere il controllo degli cloud .
Gattino scatenato App Android dannose e phishing rubare credenziali e ottenere il controllo dei dispositivi.
  • Consegna di payload tramite documenti Word con modelli remoti ospitati su domini SharePoint contraffatti.
  • Mantenimento di C2 tramite SOAP su HTTPS con endpoint di fallback in stile OneDrive.
  • Esportazione di token Telegram, archivi KeePass e file sensibili tramite upload con codifica base64.
  • Persistente sostituendo l'aggiornamento di Telegram e iniettando payload in explorer.exe.
  • Espansione della raccolta tramite backdoor Android ephishing .
  • Phishing credenziali Google tramite la riproduzione di pagine di accesso legittime su dispositivi Android.
  • Utilizzo delle credenziali acquisite per accedere a Gmail e ad altri cloud di Google.
  • Estrazione dei dati tramite sessioni browser e funzionalità integrate cloud , evitando malware evidenti malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Distribuzione di webshell dopo phishing sfruttamento di server vulnerabili.
  • Ottenere l'accesso sfruttando app pubbliche e configurazioni errate.
  • Esecuzione di ricognizione interna e spostamento laterale tramite tunneling desktop remoto.
  • Dumping delle credenziali per l'escalation dei privilegi e la persistenza.
  • Staging ed esfiltrazione dei dati utilizzando metodi di trasferimento comuni.
  • Compromettere gli strumenti di sicurezza e mascherare le attività per eludere il rilevamento.
  • Distribuzione di script per estrarre credenziali da account interni dopo un attacco phishing social engineering.
  • Pivot laterale utilizzando credenziali valide e sessioni autorizzate nelle cloud .

Cinque Cloud relative all'identità e Cloud che i team SOC devono monitorare

Gli autori delle minacce affiliati all'Iran stanno andando oltre malware gli exploit tradizionali. Le loro campagne ora si basano sull'abuso dei sistemi di identità e sulla presenza all'interno degli strumenti affidabili già utilizzati dalla vostra organizzazione. Queste cinque tecniche sono fondamentali per eludere il rilevamento e mantenere la persistenza negli cloud . Ciascuna di esse rappresenta un lacuna critica nella visibilità se il vostro team si affida esclusivamente agli strumenti EDR o SIEM tradizionali.

  1. Furto di credenziali tramite spear Phishing
    Portali di accesso falsi che imitano Office 365 o Gmail, password spraying e tecniche di bypass MFA.
  2. DirottamentoCloud
    Utilizzo di credenziali rubate per accedere a e-mail, OneDrive, SharePoint o app Azure.
  3. Ricognizione e movimento laterale
    Enumerazione di Entra ID (Azure AD), creazione di app OAuth non autorizzate o sottoscrizioni per la persistenza.
  4. Esfiltrazione dei dati tramite strumenti legittimi
    Trasferimento dei dati tramite OneDrive, Outlook o API basate sul web per nasconderli nel traffico normale.
  5. Vivere della terra nel SaaS e Cloud
    Utilizzo di client SaaS integrati come Outlook o strumenti di accesso remoto come AnyDesk/TeamViewer per controllare cloud .
TA0001Accesso iniziale TA0002Esecuzione TA0003Perseveranza TA0004Escalation dei privilegi TA0005Evasione della difesa TA0006 Accesso alle credenziali TA0007Scoperta TA0008 Movimento laterale TA0009Collezione TA0011Command & Control TA0010Esfiltrazione TA0040Impatto
T1566.001Allegato di spearphishing T1047Strumentazione di gestione di Windows T1098.005Registrazione del dispositivo T1068 Sfruttamentoper l'escalation dei privilegi T1564.004Finestra nascosta T1110.001Diffusione delle password T1012QueryRegistro T1021.001RDP T1560Archiviodati raccolti T1071.001Protocolli web T1048Protocollo di esfiltrazione Alt T1485Distruzione dei dati
T1566.002Link di spearphishing T1053.005Attività/lavoro pianificato T1547 Avvio automatico all'avvioo all'accesso T1055 Processodi iniezione T1036.005Mascheramento T1555 Credenzialidagli archivi password T1082Rilevamento delle informazioni di sistema T1021.002SMBCondivisioni amministratore T1102.001Risolutore Dead Drop T1486 Daticrittografati per impatto
T1133 Servizi remoti esterni T1059.001 PowerShell T1562.001 Disattivareo modificare gli strumenti T1555.003 Credenzialidai browser Web T1069.002Rilevamento gruppo di domini
T1190ExploitApplicazione rivolta al pubblico T1572Tunneling del protocollo T1003OSDumping delle credenziali T1069.Cloud RilevamentoCloud
T1556.006MFAGenerazione richiesta T1482Rilevamento della fiducia nel dominio
T1558.003Kerberoasting

Tecniche MITRE utilizzate dagli APT iraniani

Perché gli APT iraniani prendono di mira Cloud l'identità

Per i gruppi di hacker iraniani, i sistemi cloud di identità offrono scalabilità, invisibilità e valore strategico. Questi aggressori non sono solo opportunisti, ma si stanno adattando al modo in cui operano oggi le organizzazioni. L'accesso remoto, l'identità federata e l'infrastruttura cloud hanno creato un'ampia superficie di attacco con visibilità limitata per molti team di sicurezza.

  • L'identità è il nuovo perimetro. Una volta ottenute credenziali valide, in particolare quelle legate alle piattaforme SaaS o ai ruoli cloud , gli aggressori spesso riescono a eludere completamente i sistemi di rilevamento. Gli strumenti di sicurezza incentrati sugli endpoint o sui firewall raramente segnalano le chiamate API autenticate o i comportamenti di accesso anomali se la sessione appare legittima.
  • Cloud offrono copertura. Gli APT iraniani operano spesso all'interno di app soggette a sanzioni come Microsoft 365, Azure e Google Workspace. Approfittano delle politiche OAuth deboli, dell'accesso condizionale configurato in modo errato e dei privilegi amministrativi eccessivi. Ciò consente loro di persistere in ambienti in cui i controlli tradizionali non sono stati progettati per ispezionare anomalie comportamentali tra utenti, ruoli e app.
  • Le reti ibride offrono punti di snodo. In molti casi, gli aggressori compromettono i sistemi on-premise e utilizzano tale punto d'appoggio per accedere cloud connesse. Microsoft ha documentato attacchi in cui attori iraniani hanno abusato di Entra Connect e Azure Arc per collegare ambienti on-premise compromessi e cloud , compresa la creazione di nuove infrastrutture all'interno di tenant compromessi.
  • Gli strumentiCloud hanno un duplice utilizzo. PowerShell, Microsoft Graph API, la messaggistica Teams e la delega delle caselle di posta elettronica hanno lo scopo di facilitare la collaborazione. Gli attori iraniani stanno utilizzando queste stesse funzionalità per enumerare gli ambienti, condividere malware e spostare dati. Poiché raramente introducono nuovi file binari o infrastrutture esterne, evitano di attivare i classici indicatori di compromissione.

In breve, gli attacchi cloud all'identità consentono agli APT iraniani di muoversi in modo silenzioso ed efficace. Si mimetizzano con il comportamento degli utenti, aggirano le difese tradizionali e sfruttano le lacune che la maggior parte delle organizzazioni non vede fino a quando non è troppo tardi.

Controlli di sicurezza per contrastare le tecniche APT iraniane

Per ridurre l'esposizione alle tecniche sopra descritte e rendere il tuo ambiente un bersaglio più difficile, ti consigliamo di adottare immediatamente le seguenti misure:

  1. Applica l'autenticazione a più fattori per impedire phishing l'aggiramento dell'autenticazione a più fattori.
  2. Abilita l'accesso condizionale e i criteri dei dispositivi sugli account cloud.
  3. Monitorare l'attività di accesso per individuare IP sospetti, posizioni geografiche insolite e accessi provenienti da VPN.
  4. Blocca le app e le autorizzazioni OAuth: controlla tutti i consensi delle app e gli account di servizio in Microsoft 365/Azure.
  5. Controllare regolarmente gli account con privilegi, in particolare quelli con ruoli amministrativi all'interno di Exchange/Azure.
  6. Implementare la formazione degli utenti: riconoscere i portali di accesso falsi e le tattiche di ingegneria sociale.
  7. Monitoraggio dell'esfiltrazione dei dati: impostazione delle regole DLP e delle politiche CASB (Cloud Security Broker).
  8. Controlla il comportamento della MFA push: limita le notifiche dopo ripetuti tentativi falliti o utilizza opzioni MFA phishing come FIDO2.

Questi controlli rafforzano la sicurezza del tuo ambiente, ma per rilevare l'uso improprio delle credenziali e le attività nascoste nella rete è necessaria una visibilità attiva e basata sul comportamento.

Come la Vectra AI rileva ciò che altri non riescono a individuare

La maggior parte degli strumenti di sicurezza non riesce a rilevare le attività APT iraniane perché non sono progettati per monitorare il modo in cui gli aggressori operano negli ambienti cloud di identità. La Vectra AI è stata appositamente progettata per colmare questa lacuna.

Anziché affidarsi a indicatori statici o registri che possono essere manipolati, Vectra AI il rilevamento comportamentale basato sull'intelligenza artificiale per identificare attività anomale su rete, Active Directory, Microsoft 365, Entra ID, Copilot per M365, AWS e Azure Cloud. Monitora continuamente il modo in cui gli utenti interagiscono con applicazioni, credenziali, token e dati, rilevando segnali che indicano una compromissione senza che gli autori delle minacce facciano scattare allarmi evidenti.

Ma il rilevamento da solo non basta. La Vectra AI fornisce anche chiarezza su quali avvisi siano realmente importanti, eliminando il rumore e consentendo ai team SOC di concentrarsi sui segnali che indicano minacce reali. Grazie alle azioni di risposta integrate, gli analisti possono adottare misure immediate per contenere un attacco, che si tratti di revocare sessioni o bloccare account, prima che il danno si diffonda. Questa combinazione di rilevamento, chiarezza e controllo offre ai team di sicurezza la sicurezza necessaria per rispondere in modo deciso agli attacchi moderni e sofisticati. Secondo IDC, le organizzazioni che utilizzano Vectra AI il 52% in più di minacce in almeno il 50% di tempo in meno.

Ecco come Vectra AI ciascuna delle cinque tecniche principali utilizzate dagli APT iraniani:

Tecnica Vectra AI
Furto di credenziali Rileva lo spraying delle password e comportamenti di accesso sospetti, tra cui anomalie geografiche, user agent e accessi provenienti da VPN.
Dirottamento Cloud Segnala accessi non autorizzati alle caselle di posta, a OneDrive e ad altri servizi, in particolare quando il comportamento si discosta dalla normale linea di base dell'utente.
Ricognizione e movimento laterale Identifica l'enumerazione degli oggetti Entra ID, i flussi di consenso OAuth non autorizzati e le attività sospette relative agli abbonamenti Azure.
Esfiltrazione dei dati tramite strumenti legittimi Rileva movimenti anomali di dati attraverso app SaaS autorizzate, come download di grandi dimensioni o trasferimenti di file in blocco tramite API.
Vivere della terra Abuso delle superfici degli strumenti nativi come Outlook, PowerShell e software di accesso remoto che si integrano nei flussi di lavoro di routine

La Vectra AI non richiede agenti. Si integra in modo nativo con Microsoft e applica una logica di rilevamento in tempo reale su misura per gli attacchi basati sull'identità. Questo approccio fornisce avvisi precisi e altamente affidabili e capacità di risposta automatizzate che consentono ai team SOC di agire in modo deciso senza essere sommersi da falsi positivi.

Sei già cliente Vectra AI ?

Per difendersi da questa nuova ondata di attacchi cloud sull'identità e cloud, consigliamo vivamente di ampliare la vostra implementazione esistente con Cloud Identity and Cloud . Ciò garantisce visibilità e protezione unificate in tutti gli ambienti ibridi in cui prosperano questi autori di minacce.

È giunto il momento di vedere ciò che gli altri non riescono a vedere.

Domande frequenti