Cybercapaciteiten Iran belicht door Israëlische Check Point

In dit artikel duiken we diep in de belangrijkste spelers en hun tactieken, gebaseerd op de nieuwste inlichtingen van het front. opgetekend door Check Point Research.

De belangrijkste spelers op het bord

1. Cotton Sandstorm: De koning van de beïnvloeding

Deze aan de IRGC gelieerde groep (ook bekend als Emennet Pasargad) is gespecialiseerd in "snel reagerende" beïnvloedingscampagnes. Hun doel is niet alleen inbraak, maar maximale publieke impact.

• Tactiek: Ze hackten recentelijk een Amerikaans IPTV-bedrijf om via AI gegenereerde boodschappen over de oorlog uit te zenden naar kijkers in de Emiraten.
• Tools: Ze gebruiken de modulaire infostealer WezRat en de WhiteLock-ransomware om systemen te gijzelen en narratieven te sturen.

2. Educated Manticore: De meester-imitator

Gelieerd aan de inlichtingendienst van de IRGC, richt deze groep zich op hoogwaardige individuen zoals journalisten, wetenschappers en beleidsmakers.

• Tactiek: Ze bouwen wekenlang aan een vertrouwensrelatie via sociale media om slachtoffers naar phishingkits te lokken die lijken op Microsoft Teams of Google Meet.
• Doel: Het stelen van sessie-tokens om geruisloos e-mails en documenten te oogsten zonder dat het slachtoffer het merkt.

3. MuddyWater: De infrastructuur-spion

Deze groep, die onder het MOIS valt, richt zich op de lange termijn. Ze infiltreren overheden, telecom- en energiesector om jarenlang toegang te behouden.

• Tactiek: Ze maken op grote schaal misbruik van legitieme beheerprogramma's (RMM-tools) en PowerShell.
• AI-ontwikkeling: Recent onderzoek suggereert dat hun nieuwste malware mogelijk is ontwikkeld met behulp van AI om detectie door traditionele antivirussoftware te omzeilen.

De 'Wiper' strategie: vernietiging als boodschap

Actoren zoals Agrius en de hacktivistische persona Handala (onderdeel van Void Manticore) gebruiken een specifiek 'playbook' voor vernietiging. Ze voeren aanvallen uit die lijken op ransomware-aanvallen (om geld vragen), maar in werkelijkheid zijn het wipers: software die bedoeld is om alle data onherstelbaar te vernietigen.

Tijdens de korte oorlog in juni 2025 werd geobserveerd hoe Agrius-infrastructuur actief zocht naar kwetsbare IP-camera's. Dit werd waarschijnlijk gedaan voor Battle Damage Assessment (BDA): om via de camera's van het slachtoffer live te kunnen zien of hun raket- of cyberaanvallen succesvol waren.

Aanbevelingen voor Cybersecurity specialisten

Om deze dreigingen het hoofd te bieden, adviseert Check Point de volgende maatregelen:

1. Monitor VPN-verkeer: Let op afwijkend verkeer van commerciële VPN-nodes (zoals NordVPN of ProtonVPN), die vaak als 'springplank' worden gebruikt.
2. Patch IP-camera's: Zorg dat alle met internet verbonden apparatuur geen standaardwachtwoorden heeft en volledig is gepatcht.
3. Phishing-resistente MFA: Gebruik hardware-sleutels (zoals YubiKeys) in plaats van sms-codes, aangezien Iraanse groepen bedreven zijn in het omzeilen van sim-swapping en sessie-hijacking.
4. Wantrouw 'Samenwerking': Wees extreem voorzichtig met ongevraagde uitnodigingen voor interviews of conferenties, zelfs van bekende namen, aangezien imitatie de kern is van hun strategie.

Hoe kan een Microsoft 365-omgeving tegen deze specifieke aanvalsvormen worden beveiligd?

Hier is een gerichte checklist om uw Microsoft 365-omgeving te harden tegen de specifieke tactieken van Iraanse statelijke actoren:

1. Voorkom Sessie-overnames (Anti-Token Theft)

Iraanse groepen richten zich nu op het stelen van 'session tokens', waardoor ze MFA kunnen omzeilen.

• Implementeer Phishing-resistente MFA: Stap over op FIDO2-gebaseerde authenticatie (zoals YubiKeys of Windows Hello for Business). Dit voorkomt dat 'adversary-in-the-middle' (AiTM) phishingkits tokens kunnen stelen.
• Verkort de Sessielevensduur: Configureer Conditional Access om gebruikers vaker te dwingen zich opnieuw te authenticeren, zeker op niet-beheerde apparaten.

2. Harden van Conditional Access (CA)

• Locatie-gebaseerde blokkades: Blokkeer inlogpogingen uit landen waar u geen zakendoet. Wees extra alert op inlogpogingen via bekende commerciële VPN-exitnodes.
• Compliant Devices verplichten: Sta alleen toegang tot bedrijfsdata toe vanaf apparaten die beheerd worden (Intune) en voldoen aan uw beveiligingsbeleid.

3. Bescherming tegen 'Living-off-the-Land' (LotL)

Groepen zoals Agrius misbruiken legitieme beheerprogramma's (RMM) en PowerShell.

• Beperk PowerShell: Gebruik PowerShell Constrained Language Mode voor gewone gebruikers en schakel PowerShell volledig uit waar het niet nodig is.
• App-beheer: Blokkeer het gebruik van externe RMM-tools (zoals AnyDesk of ScreenConnect) tenzij deze expliciet zijn goedgekeurd en via een witte lijst worden beheerd.

4. Mail- en Phishing-beveiliging

• Imitatiebescherming: Schakel in Defender for Office 365 de bescherming tegen gebruikers- en domeinimitatie in. Dit detecteert wanneer aanvallers namen van directieleden of look-alike domeinen gebruiken.
• Safe Links & Safe Attachments: Zorg dat deze functies op 'Block' staan voor alle bijlagen en links, inclusief binnen Teams en SharePoint.

5. Monitoring en Detectie

• Harden van de Audit Log: Zorg dat Unified Audit Logging aanstaat en controleer regelmatig op 'Mailbox forwarding rules' die buiten uw medeweten zijn aangemaakt door aanvallers (een favoriete tactiek van Seedworm).
• Alerting op 'MFA Fatigue': Stel waarschuwingen in voor gebruikers die binnen korte tijd tientallen MFA-verzoeken weigeren of negeren.