Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
Security Insider
Разузнаване на заплахите и полезни прозрения, за да бъдете начело
Възникващи заплахи
Преглед на разузнаването за заплахи за 2023 г.: Ключови прозрения и разработки
Набор от ресурси на Microsoft срещу заплахи обобщава водещия извършители, представляващ заплаха в тенденции в техниките, тактиките и процедурите (TTP) от 2023 г.
Последни новини
Отчети от разузнаването за заплахи
Ориентиране в киберзаплахите и укрепване на защитата в ерата на ИИ
Отчети от разузнаването за заплахи
Иран увеличава кибероперациите за влияние в подкрепа на Хамас
Възникващи заплахи
Подхранвана от доверието икономика: измами със социално инженерство
Прозрения за извършител, представляващ заплаха
Microsoft Security активно проследява извършители, представляващи заплаха в наблюдаваните действия, насочвани от държави, рансъмуер и криминални дейности. Тези прозрения представляват публично публикувана дейност от изследователите на заплахи на Microsoft Security и предоставят централизиран каталог на профилите на действащите лица от споменатите блогове.
Mint Sandstorm
Mint Sandstorm (по-рано PHOSPHORUS) обикновено се опитва да компрометира лични акаунти на хора чрез фишинг и използване на социално инженерство, за да изгради връзка с жертвите, преди да ги атакува.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Wine Tempest
Wine Tempest (бивша PARINACOTA) обикновено използва за атаките си рансъмуер, управляван от хора, като най-често разполага рансъмуера Wadhrama. Те са изобретателни, променят тактиката според нуждите си и използват компрометирани машини за различни цели, включително за добив на криптовалута, изпращане на имейли с нежелана поща, или играят ролята на посредници за други атаки.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Storm-0530
Група от действащи лица, произхождаща от Северна Корея, която Microsoft идентифицира като Storm-0530 (по-рано DEV-0530), разработва и използва рансъмуер в атаки от юни 2021 г. насам.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (по-рано DEV-0586)като спонсориран от руската държава извършител, представляващ заплаха, който Microsoft започва да проследява след деструктивни и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Diamond Sleet (по-рано ZINC) е участник в заплаха, който извършва глобални дейности от името на правителството на Северна Корея. Известно е, че Diamond Sleet действа поне от 2009 г. насам и се насочва към медиите, отбраната, информационните технологии, научноизследователската индустрия, както и към изследователи в областта на сигурността с цел шпионаж, кражба на данни, финансова печалба и унищожаване на мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Mint Sandstorm
Mint Sandstorm (по-рано PHOSPHORUS) обикновено се опитва да компрометира лични акаунти на хора чрез фишинг и използване на социално инженерство, за да изгради връзка с жертвите, преди да ги атакува.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (по-рано DEV-0586)като спонсориран от руската държава извършител, представляващ заплаха, който Microsoft започва да проследява след деструктивни и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Mint Sandstorm
Mint Sandstorm (по-рано PHOSPHORUS) обикновено се опитва да компрометира лични акаунти на хора чрез фишинг и използване на социално инженерство, за да изгради връзка с жертвите, преди да ги атакува.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (по-рано DEV-0586)като спонсориран от руската държава извършител, представляващ заплаха, който Microsoft започва да проследява след деструктивни и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Storm-0530
Група от действащи лица, произхождаща от Северна Корея, която Microsoft идентифицира като Storm-0530 (по-рано DEV-0530), разработва и използва рансъмуер в атаки от юни 2021 г. насам.
Mint Sandstorm
Mint Sandstorm (по-рано PHOSPHORUS) обикновено се опитва да компрометира лични акаунти на хора чрез фишинг и използване на социално инженерство, за да изгради връзка с жертвите, преди да ги атакува.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Diamond Sleet
Diamond Sleet (по-рано ZINC) е участник в заплаха, който извършва глобални дейности от името на правителството на Северна Корея. Известно е, че Diamond Sleet действа поне от 2009 г. насам и се насочва към медиите, отбраната, информационните технологии, научноизследователската индустрия, както и към изследователи в областта на сигурността с цел шпионаж, кражба на данни, финансова печалба и унищожаване на мрежи.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (по-рано DEV-0586)като спонсориран от руската държава извършител, представляващ заплаха, който Microsoft започва да проследява след деструктивни и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Diamond Sleet (по-рано ZINC) е участник в заплаха, който извършва глобални дейности от името на правителството на Северна Корея. Известно е, че Diamond Sleet действа поне от 2009 г. насам и се насочва към медиите, отбраната, информационните технологии, научноизследователската индустрия, както и към изследователи в областта на сигурността с цел шпионаж, кражба на данни, финансова печалба и унищожаване на мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Diamond Sleet
Diamond Sleet (по-рано ZINC) е участник в заплаха, който извършва глобални дейности от името на правителството на Северна Корея. Известно е, че Diamond Sleet действа поне от 2009 г. насам и се насочва към медиите, отбраната, информационните технологии, научноизследователската индустрия, както и към изследователи в областта на сигурността с цел шпионаж, кражба на данни, финансова печалба и унищожаване на мрежи.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (по-рано DEV-0586)като спонсориран от руската държава извършител, представляващ заплаха, който Microsoft започва да проследява след деструктивни и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Aqua Blizzard
Aqua Blizzard (по-рано ACTINIUM) използва spear-phishing имейли с прикачени зловредни макроси, които използват отдалечени шаблони. Основната цел на дейностите на Aqua Blizzard е да получи постоянен достъп до целеви мрежи чрез внедряване на персонализиран зловреден софтуер и търговски инструменти с цел събиране на разузнавателна информация.
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Diamond Sleet (по-рано ZINC) е участник в заплаха, който извършва глобални дейности от името на правителството на Северна Корея. Известно е, че Diamond Sleet действа поне от 2009 г. насам и се насочва към медиите, отбраната, информационните технологии, научноизследователската индустрия, както и към изследователи в областта на сигурността с цел шпионаж, кражба на данни, финансова печалба и унищожаване на мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Wine Tempest
Wine Tempest (бивша PARINACOTA) обикновено използва за атаките си рансъмуер, управляван от хора, като най-често разполага рансъмуера Wadhrama. Те са изобретателни, променят тактиката според нуждите си и използват компрометирани машини за различни цели, включително за добив на криптовалута, изпращане на имейли с нежелана поща, или играят ролята на посредници за други атаки.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Silk Typhoon
През 2021 г. Silk Typhoon (по-рано HAFNIUM) използваше 0-дневни експлойти, за да атакува локални версии на Microsoft Exchange Server в ограничени и целенасочени атаки.
Разглеждане по теми
ИИ
Защитата е толкова добра, колкото е добро вашето разузнаване за заплахи
Компрометиране на имейл от бизнес клас
Разбиване на компрометирането на бизнес имейли
Рансъмуер
Защита на вашата организация от рансъмуер
Запознайте се с експертите
Профил на експерта: Хома Хаятифар
Главният мениджър „Данни и приложни науки“ Хома Хаятифар описва използването на модели за машинно обучение за подсилване на защитите – само един от многото начини, по които изкуственият интелект променя облика на сигурността.
Срещнете се с експертите
Профил на експерта
Поставяне на разузнаването за заплахи в геополитически контекст
Профил на експерта
Експертни съвети за трите най-сериозни предизвикателства в областта на киберсигурността
Профил на експерта
Изследователят по въпросите на защитата Дъстин Дюран за това как да мислим като нападател
Разглеждане на разузнавателни отчети
2023 г. Отчет за дигитална защита на Microsoft
Най-новото издание на Отчета за дигитална защита на Microsoft изследва еволюиращия пейзаж на заплахите и минава през възможности и предизвикателства, докато ставаме кибериздръжливи.
Поддържане на практическа киберотбрана
Киберхигиена
Основната киберхигиена предотвратява 99% от атаките
Проактивно търсене на заплахи
Научете основите на проактивното търсене на заплахи
Киберпрестъпление
Спиране на киберпрестъпниците от злоупотреба с инструменти за сигурност
Начало
Присъединете се към Microsoft Събития
Разширете своята експертност, научете нови умения и създайте общност със събития и възможности за обучение в Microsoft.
Свържете се с нас
Следвайте Microsoft