イランのAPTは、すでにあなたのハイブリッドネットワーク内部にいるのか？

7月10,2025

最近のイランとイスラエルの緊張激化に伴い、国家に関与するアクターによるID、クラウド、エンタープライズネットワークのサイバー作戦が活発化しています。これらの十分な資金を持つグループは、従来の防御をすり抜けるために、ネットワークへの深い侵入とアイデンティティの悪用を組み合わせています。

彼らは、公開アプリケーションを初期侵入に利用し、フィッシングやパスワードスプレー攻撃で認証情報を収集。その後、RDP、PsExec、リモートアクセスサービスを使って横展開します。永続化の手段としては、スケジュールタスク、DLLサイドローディング、不可視ウィンドウ、プロトコルトンネリングなどを用います。データは静かに準備され、アーカイブされ、目立たない経路で外部に送信されることが多く、従来のアラートでは検知されません。

同時に、Microsoft 365、Azure、Google Workspace などの環境内で、アイデンティティを狙ったキャンペーンも展開しています。OAuth の悪用、多要素認証(MFA)の回避、Outlook・OneDrive・Teams の武器化などを通じてアクセスを維持し、データを抜き取るのです。これらの戦術は、中東および欧米の重要インフラ、政府機関、民間企業、NGO を標的にしており、諜報活動と破壊的攻撃(ワイパー、強制暗号化)を融合させています。

エンドポイントや境界防御だけに依存していると、攻撃チェーン全体を見逃すことになります。クラウドコラボレーション、ハイブリッドインフラ、リモートアクセスを利用しているなら、すでに彼らの標的になっている可能性があります。

Recent Activity from Iranian Threat Actors

Iranian threat groups continue to run sustained cyber operations against organizations across government, telecommunications, energy, and technology sectors. Recent campaigns show actors like MuddyWater expanding their use of identity abuse and cloud-native tooling while maintaining traditional PowerShell-based intrusion techniques. Rather than deploying obvious malware, these operators increasingly rely on scripts, legitimate administration tools, and compromised infrastructure to maintain stealth across hybrid environments.

攻撃の黒幕は誰か？イランに関連するAPTのプロファイル

長期的なスパイ活動から完全な妨害工作まで、その目的はさまざまですが、各グループはネットワークとアイデンティティの両方のチャネルを活用して、侵入、持続、抽出を行っています。以下は、初期アクセス、ネットワーク TTP、ID/クラウド TTP の概要です。

Iranian threat groups frequently reuse tooling across campaigns, particularly PowerShell frameworks, script loaders, and open-source remote access tools. This reuse makes behavioral detection across identity and network telemetry especially effective.

グループ	初期アクセス	ネットワーク戦術	アイデンティティ／クラウド戦術
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten)	スピアフィッシング求人情報、ソーシャル・エンジニアリング・キャンペーン、既知の脆弱性を悪用した電子メール。	PowerShellやスケジュールされたタスクを経由して悪意のあるコードを実行する。 RDP、WMI、盗んだ認証情報を使ってラテラルムーブする。エスカレーションとパーシステンスのためにクレデンシャルをダンプする。暗号化された、あるいは不明瞭な経路で機密データをアーカイブし、流出させる。難読化、レジストリキー、暗号化されたトラフィックを使用してステルス性を維持する。	スピアフィッシング求人広告やソーシャル・エンジニアリングを利用して資格情報を取得すること。 Office 365とAzureアカウントにアクセスするためのパスワードスプレー。認証情報を取得したら、商用VPNを経由してアカウントにアクセスする。 Azure 専用のツールを使用して、Entra ID (Azure AD) を列挙し、ユーザーとグループのデータを採取します。 Microsoft Teams のメッセージ経由で悪意のある ZIP を配布し、Active Directory の情報を抜き取る。
APT34 (別名：Helix Kitten、OilRig、CHRYSENE、COBALT GYPSY)	スピアフィッシング特定の職務に就く個人をターゲットにした電子メールや偽の求人情報。	リモートデスクトッププロトコルとVPNトンネリングを使用して移動する。既知のエクスプロイトによる認証情報のダンプと権限の昇格。 DNSトンネリング、FTP、危険な電子メールを通じてデータを流出させる。マスカレード、署名付きバイナリ、ファイアウォール操作による検知回避。	スピアフィッシング Exchangeやその他のクラウドアカウントにアクセスするための、電子メールや偽の求人情報。 Exchangeのようなクラウドメールの機能を活用し、こっそりとデータを流出させる。データ転送サイズの制限を悪用して検出を回避する。認証情報を収集し、SaaS 環境間での横移動のために再利用する。
APT35 (別名：Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS)	フィッシング、クラウドサービスを模倣した偽のログインポータル、侵害されたアカウント。	RDPとスケジュールされたタスクによるラテラルムーブの実行。より深いアクセスのために、ブラウザやメモリから認証情報をダンプする。暗号化されたチャネルとクラウド共有プラットフォームを使用してデータを転送する。ロギングを無効化し、C2トラフィックをWebアクティビティに紛れ込ませることで、セキュリティを回避する。	クラウド/SaaSサービスを模倣した偽のログインポータルを通じて、認証情報を狙う。ソーシャル・エンジニアリングと説得力のある偽のサインイン・ページを使用して、MFA保護を回避する。クラウドホスティングされたExchangeやその他のSaaSアプリケーションの脆弱性を利用し、特権アクセスを行う。クラウドアカウントを使用して、関心のあるファイルや電子メールを無言で採取する。
APT42 (別名：Crooked Charms)	ソーシャル・エンジニアリングを長期化させ、信頼できる連絡先になりすまして認証情報を得る。	暗号化された HTTPS チャネルを使用して、ステルス性の高いデータ転送を行う。なりすましVPNやマスカレードリモートセッションによるトンネリングアクセス。発見、キーロギング、データ収集のためのスクリプトの実行。正規のトラフィックに紛れ込み、警告を発しないようにする。	広範なソーシャルエンジニアリングにより、Microsoft 365や同様のプラットフォームへの持続的なアクセスを獲得。正規のクライアント・アプリを悪用して、通常のユーザー活動に見せかける。 OneDriveのファイルやOutlookの電子メールをダウンロードする。機密データを抽出するための簡単なスクリプトを導入する。
MuddyWater (別名：STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros)	Spear-phishing and vulnerability exploitation.	Executing PowerShell-based loaders and scripting frameworks that deploy additional payloads from memory. Using compromised web servers and legitimate hosting infrastructure for command-and-control traffic. Moving laterally using remote administration tools, PowerShell remoting, and WMI. Staging data for exfiltration through HTTP-based C2 channels while blending into normal network activity.	Targeting Microsoft 365 credentials through phishing and social engineering campaigns. Abusing legitimate cloud services such as Outlook, OneDrive, and SharePoint to collect and move sensitive data. Using compromised accounts to send internal phishing messages and expand access within the tenant. Leveraging legitimate authentication sessions to maintain persistence without deploying obvious malware.
Rampant Kitten	悪意のあるAndroidアプリやフィッシング認証情報を盗み、デバイスを制御する。	なりすましたSharePointドメインにホストされたリモートテンプレートWordドキュメントを通じてペイロードを配信。フォールバックのOneDriveスタイルのエンドポイントを持つHTTPS上のSOAPを介してC2を維持する。 Base64エンコードされたアップロードを使用して、Telegramトークン、KeePass保管庫、機密ファイルを流出させる。 Telegramのアップデータを置き換え、explorer.exeにペイロードを注入することで持続する。 Androidのバックドアやフィッシングサイトを通じて収集を拡大。	Android端末で正規のログインページを模倣し、Googleの認証情報をフィッシング。キャプチャした認証情報を使用して、Gmailやその他のGoogleクラウドサービスにログインする。ブラウザセッションと組み込みクラウドアプリの機能を通じてデータを抽出する一方で、明らかなマルウェアの指標を回避しながらデータを抽出する。
Agrius (別名DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten)	フィッシングや脆弱なサーバーを悪用したウェブシェルの展開。	公開アプリや設定ミスを悪用してアクセス権を得る。リモートデスクトップトンネリングによる内部偵察とラテラルムーブの実行。権限の昇格と永続化のための認証情報のダンプ。一般的な転送方法を使用してデータをステージングし、流出させる。セキュリティツールを妨害し、検知を逃れるために活動を偽装する。	フィッシングやソーシャルエンジニアリングによるアクセス後、社内アカウントから認証情報を抜き取るスクリプトを展開する。クラウドアプリで有効な認証情報と認証されたセッションを使用して、横方向にピボットする。

SOCチームが監視すべき5つのアイデンティティとクラウド技術

イランに関係する脅威アクターは、従来のマルウェアやエクスプロイトにとどまらず、その手口を巧妙に操っています。彼らの攻撃は、IDシステムを悪用し、組織が既に使用している信頼できるツールを巧みに利用することに大きく依存しています。これらの5つの手法は、彼らが検知を回避し、クラウド環境で持続的に活動を続ける上で中心的な役割を果たしています。従来のEDRツールやSIEMツールのみに依存している場合、これらの手法はいずれも 重大な可視性の欠如を招きます。

TA0001Initial Access	TA0002Execution	TA0003Persistence	TA0004Privilege Escalation	TA0005Defense Evasion	TA0006Credential Access	TA0007Discovery	TA0008ラテラルムーブ	TA0009Collection	TA0011Command & Control	TA0010Exfiltration	TA0040Impact
T1566.001Spearphishing Attachment	T1047Windows Management Instrumentation	T1098.005Device Registration	T1068Exploitation for Privilege Escalation	T1564.004Hidden Window	T1110.001Password Spraying	T1012Query Registry	T1021.001RDP	T1560Archive Collected Data	T1071.001Web Protocols	T1048Alt Protocol Exfiltration	T1485Data Destruction
T1566.002Spearphishing Link	T1053.005Scheduled Task/Job	T1547Boot or Logon Autostart	T1055Process Injection	T1036.005Masquerading	T1555Credentials from Password Stores	T1082System Information Discovery	T1021.002SMB Admin Shares		T1102.001Dead Drop Resolver		T1486Data Encrypted for Impact
T1133External Remote Services	T1059.001PowerShell			T1562.001Disable or Modify Tools	T1555.003Credentials from Web Browsers	T1069.002Domain Group Discovery
T1190Exploit Public-Facing Application				T1572Protocol Tunnelling	T1003OS Credential Dumping	T1069.003Cloud Group Discovery
					T1556.006MFA Request Generation	T1482Domain Trust Discovery
					T1558.003Kerberoasting

イランのAPTが使用するMITREのテクニック

イランのAPTがクラウドとアイデンティティを狙う理由

For Iranian threat groups, cloud platforms and identity systems offer scale, stealth, and strategic access. These attackers are adapting their operations to match how organizations actually work today. Remote access, federated identity, and cloud-first infrastructure have created a wide attack surface where traditional controls often lack visibility.

Key reasons these environments are attractive targets include:

In short, cloud and identity attacks allow Iranian APT groups to operate quietly across hybrid environments. They blend into legitimate user behavior, avoid traditional defenses, and exploit visibility gaps that many organizations still struggle to monitor effectively.

イランのAPTの手口を阻止するセキュリティ・コントロール

上記のテクニックにさらされる機会を減らし、あなたの環境を標的にされにくくするために、私たちは次のような早急な対策をお勧めします。

フィッシングとMFAバイパスを阻止するために多要素認証を実施する。
クラウド/SaaSアカウントで条件付きアクセスとデバイスポリシーを有効にする。
不審なIP、異常な地域、VPN経由のログインを監視します。
OAuthアプリとパーミッションのロックダウン：Microsoft 365/Azureのすべてのアプリコンセントとサービスアカウントを見直す。
特権アカウント、特に Exchange/Azure 内で管理者ロールを持つアカウントを定期的に監査する。
ユーザートレーニングの実施：偽のログインポータルやソーシャルエンジニアリングの手口を認識する。
データ流出の監視：DLPルールと CASB(Cloud Access Security Broker)ポリシーを設定する。
MFAのプッシュ振る舞いチェックする：何度も失敗した後の通知を制限するか、FIDO2のようなフィッシング体制のあるMFAオプションを使用する。

These controls harden your environment but detecting credential misuse and network stealth requires active, behavior-driven visibility.

Turn Iranian APT Intelligence Into Immediate Threat Hunting

Understanding how Iranian threat groups operate is only the first step. The next challenge is determining whether those same techniques are already happening inside your environment.

SOC teams don’t need another report explaining attacker tradecraft. What they need are concrete ways to test their environment for those behaviors.

To help security teams move from intelligence to investigation, we created a set of threat hunts tied directly to Iranian APT tradecraft observed in recent campaigns. These hunts surface early indicators across identity and network activity, including:

Suspicious Microsoft 365 device registrations linked to credential compromise
OilRig command-and-control infrastructure communication
SpyNote and QasarRAT DNS activity tied to attacker infrastructure
Failed device registrations that may indicate APT35 reconnaissance
Network sessions associated with Pupy malware infrastructure

Each hunt includes a ready-to-run query you can execute inside the Vectra AI Platform to quickly identify potential attacker activity.

*Hunting for iranian APT related activities in the Vectra AI Platform*

Running targeted hunts like these helps analysts move from passive monitoring to proactive detection. Instead of waiting for alerts, your team can directly search for the behaviors Iranian operators rely on once they gain access.

Because these actors blend identity abuse, SaaS activity, and network infrastructure, effective detection requires visibility across all three.

That’s exactly where the Vectra AI Platform provides an advantage.

How the Vectra AI Platform Exposes Iranian APT Activity

Traditional security tools tend to focus on isolated signals: endpoint alerts, firewall logs, or authentication events. Iranian threat actors operate across identity systems, SaaS platforms, and network infrastructure simultaneously, which makes those siloed approaches easy to evade.

The Vectra AI Platform continuously analyzes behavior across: Network traffic Active Directory and Entra ID Microsoft 365 identity activity Cloud platforms including AWS and Azure Instead of relying on static indicators, the platform identifies abnormal behavior that signals compromise even when attackers use legitimate credentials or sanctioned cloud tools.

This gives SOC teams the visibility needed to detect the exact techniques used by Iranian APT groups: credential abuse, identity manipulation, stealthy lateral movement, and covert command-and-control activity.

According to IDC, organizations using Vectra AI identify 52% more threats in at least 50% less time.

Vectra AI がイランの APT で使用される 5 つの主要な手法をそれぞれ検出する方法は次のとおりです。

テクニック	Vectra AIカバレッジ
クレデンシャル盗難	変則的な地域、ユーザーエージェント、VPN経由のログインを含む、パスワードの散布や不審なサインイン動作を検出します。
クラウドアカウント乗っ取り	メールボックス、OneDrive、その他のサービスへの不正アクセス、特にユーザーの通常のベースラインから逸脱した行動があった場合にフラグを立てる。
偵察＆ラテラルムーブ	Entra IDオブジェクトの列挙、不正なOAuth同意フロー、および疑わしいAzureサブスクリプションのアクティビティを識別します。
正規ツールによるデータ流出	APIを介した大容量のダウンロードや大量のファイル転送など、承認されたSaaSアプリを介した異常なデータ移動を検出します。
Living-Off-the-Land	Outlook、PowerShell、リモート・アクセス・ソフトウェアなど、日常的なワークフローに溶け込むネイティブ・ツールの悪用が表面化。

Vectra AIプラットフォーム はエージェントを必要としません。マイクロソフトとネイティブに統合され、アイデンティティ主導の攻撃に合わせたリアルタイムの検知ロジックを適用します。このアプローチにより、的確で忠実度の高いアラートと自動応答機能が提供され、SOCチームは誤検知に溺れることなく、断固とした行動を取ることができます。

Vectra AI をご利用のお客様ですか？

アイデンティティとクラウドを中心としたこの新しい攻撃の波を防御するには、アイデンティティとクラウドをカバーする既存の導入を拡張することを強くお勧めします。これにより、こうした脅威の脅威となるハイブリッド環境全体にわたる統合された可視性と保護が保証されます。