Få indsigt direkte fra eksperterne i Microsoft Threat Intelligence-podcasten. Lyt nu.
Security Insider
Trusselsefterretning og indsigter, der kan handles på for at være på forkant
Nye trusler
Threat Intelligence i 2023 – et tilbageblik på året: Vigtige indsigter og udviklinger
Microsoft Threat Intelligence opsummerer de største trusselsaktørers tendenser inden for teknikker, taktikker og procedurer (TTP'er) fra 2023.
Seneste nyheder
Efterretningsrapporter
Navigation i cybertrusler og styrkelse af forsvar i den kunstige intelligens' tidsalder
Efterretningsrapporter
Iran øger antallet af cyberdrevne påvirkningsoperationer til støtte for Hamas
Nye trusler
Lever af tillidsøkonomien: social engineering-svindel
Indsigt i trusselsaktører
Microsoft Security sporer aktivt trusselsaktører på tværs af observerede nation-stat-, ransomware- og kriminelle aktiviteter. Disse indsigter repræsenterer offentliggjorte aktiviteter fra Microsoft Securitys trusselsforskere og leverer et centralt katalog over aktørprofiler fra de refererede blogge.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) forsøger typisk at kompromittere enkeltpersoners personlige konti via spydphishing og bruger social engineering til at få oplysninger om folk, før de angriber dem
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselsaktør, der er en del af ransomware as a service-økonomien (RaaS), og som samarbejder med andre trusselsaktører om at levere tilpassede Cobalt Strike-læssere.
Wine Tempest
Wine Tempest (tidligere PARINACOTA) bruger typisk menneskebetjent ransomware til angreb, for det meste Wadhrama-ransomwaren. De er opfindsomme, skifter taktik efter behov og har brugt kompromitterede maskiner til forskellige formål, herunder mining af kryptovaluta, afsendelse af spammails eller proxy til andre angreb.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterede mailkonti hos en Bahrain-baseret it-integrationsvirksomhed i september 2021. Denne virksomhed arbejder med integration af it for Bahrains regeringskunder, som sandsynligvis var Smoke Sandstorms endelige mål.
Storm-0530
En gruppe aktører med oprindelse i Nordkorea, som Microsoft sporer som Storm-0530 (tidligere DEV-0530), har udviklet og brugt ransomware i angreb siden juni 2021.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) er blevet offentligt forbundet med Irans ministerie for efterretning og sikkerhed (MOIS). Microsoft vurderede med høj sikkerhed, at den 15. juli 2022 udførte aktører, der er sponsoreret af den iranske regering, et destruktivt cyberangreb mod den albanske regering, som forstyrrede offentlige websteder og tjenester.
Cadet Blizzard
Microsoft sporer Cadet Blizzard (tidligere DEV-0586) som en russisk statssponsoreret trusselsaktør, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe, der er forbundet med virkningsfuld ransomware-distribution. Microsoft har observeret Pistachio Tempest bruge forskellige ransomware-nyttedata over tid, efterhånden som gruppen eksperimenterer med nye ransomware as a service (RaaS)-tilbud, fra Ryuk og Conti til Hive, Nokoyawa og senest Agenda og Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for at udvikle, distribuere og administrere mange forskellige nyttedata, herunder Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruger udnyttelse af ikke-rettede systemer til at kompromittere fjernadgangstjenester og -apparater. Ved vellykket indtrængning har de brugt legitimationsoplysnings-dumpers eller -tyve til at få fat i ægte legitimationsoplysninger, som de så har brugt til at få adgang til ofrenes konti og til at få adgang til systemer af højere værdi.
Crimson Sandstorm
Aktører fra Crimson Sandstorm (tidligere CURIUM) er blevet observeret i at udnytte et netværk af fiktive konti på sociale medier til at opbygge tillid hos mål og levere malware for i sidste ende at udtrække data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselsaktør, der udfører globale aktiviteter på vegne af Nordkoreas regering. Diamond Sleet har mindst været aktive siden 2009 og er kendt for at målrette mod brancher inden for medier, forsvar, informationsteknologi, videnskabelig forskning og sikkerhedsforskning med fokus på e-spionage, datatyveri, økonomisk gevinst og ødelæggelse af netværk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) udfører omfattende password-spraying ved at emulere en Firefox-browser og bruge IP-adresser, der er hostet på et Tor-proxynetværk. De retter sig typisk mod snesevis til hundredvis af konti i en organisation, afhængigt af størrelsen, og optæller hver konto fra snesevis til tusindvis af gange.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) forsøger typisk at kompromittere enkeltpersoners personlige konti via spydphishing og bruger social engineering til at få oplysninger om folk, før de angriber dem
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Crimson Sandstorm
Aktører fra Crimson Sandstorm (tidligere CURIUM) er blevet observeret i at udnytte et netværk af fiktive konti på sociale medier til at opbygge tillid hos mål og levere malware for i sidste ende at udtrække data.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) udfører omfattende password-spraying ved at emulere en Firefox-browser og bruge IP-adresser, der er hostet på et Tor-proxynetværk. De retter sig typisk mod snesevis til hundredvis af konti i en organisation, afhængigt af størrelsen, og optæller hver konto fra snesevis til tusindvis af gange.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for at udvikle, distribuere og administrere mange forskellige nyttedata, herunder Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Cadet Blizzard
Microsoft sporer Cadet Blizzard (tidligere DEV-0586) som en russisk statssponsoreret trusselsaktør, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) forsøger typisk at kompromittere enkeltpersoners personlige konti via spydphishing og bruger social engineering til at få oplysninger om folk, før de angriber dem
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterede mailkonti hos en Bahrain-baseret it-integrationsvirksomhed i september 2021. Denne virksomhed arbejder med integration af it for Bahrains regeringskunder, som sandsynligvis var Smoke Sandstorms endelige mål.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) er blevet offentligt forbundet med Irans ministerie for efterretning og sikkerhed (MOIS). Microsoft vurderede med høj sikkerhed, at den 15. juli 2022 udførte aktører, der er sponsoreret af den iranske regering, et destruktivt cyberangreb mod den albanske regering, som forstyrrede offentlige websteder og tjenester.
Cadet Blizzard
Microsoft sporer Cadet Blizzard (tidligere DEV-0586) som en russisk statssponsoreret trusselsaktør, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruger udnyttelse af ikke-rettede systemer til at kompromittere fjernadgangstjenester og -apparater. Ved vellykket indtrængning har de brugt legitimationsoplysnings-dumpers eller -tyve til at få fat i ægte legitimationsoplysninger, som de så har brugt til at få adgang til ofrenes konti og til at få adgang til systemer af højere værdi.
Crimson Sandstorm
Aktører fra Crimson Sandstorm (tidligere CURIUM) er blevet observeret i at udnytte et netværk af fiktive konti på sociale medier til at opbygge tillid hos mål og levere malware for i sidste ende at udtrække data.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe, der er forbundet med virkningsfuld ransomware-distribution. Microsoft har observeret Pistachio Tempest bruge forskellige ransomware-nyttedata over tid, efterhånden som gruppen eksperimenterer med nye ransomware as a service (RaaS)-tilbud, fra Ryuk og Conti til Hive, Nokoyawa og senest Agenda og Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for at udvikle, distribuere og administrere mange forskellige nyttedata, herunder Trickbot, Bazaloader og AnchorDNS.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselsaktør, der er en del af ransomware as a service-økonomien (RaaS), og som samarbejder med andre trusselsaktører om at levere tilpassede Cobalt Strike-læssere.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterede mailkonti hos en Bahrain-baseret it-integrationsvirksomhed i september 2021. Denne virksomhed arbejder med integration af it for Bahrains regeringskunder, som sandsynligvis var Smoke Sandstorms endelige mål.
Storm-0530
En gruppe aktører med oprindelse i Nordkorea, som Microsoft sporer som Storm-0530 (tidligere DEV-0530), har udviklet og brugt ransomware i angreb siden juni 2021.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) forsøger typisk at kompromittere enkeltpersoners personlige konti via spydphishing og bruger social engineering til at få oplysninger om folk, før de angriber dem
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruger udnyttelse af ikke-rettede systemer til at kompromittere fjernadgangstjenester og -apparater. Ved vellykket indtrængning har de brugt legitimationsoplysnings-dumpers eller -tyve til at få fat i ægte legitimationsoplysninger, som de så har brugt til at få adgang til ofrenes konti og til at få adgang til systemer af højere værdi.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselsaktør, der udfører globale aktiviteter på vegne af Nordkoreas regering. Diamond Sleet har mindst været aktive siden 2009 og er kendt for at målrette mod brancher inden for medier, forsvar, informationsteknologi, videnskabelig forskning og sikkerhedsforskning med fokus på e-spionage, datatyveri, økonomisk gevinst og ødelæggelse af netværk.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Cadet Blizzard
Microsoft sporer Cadet Blizzard (tidligere DEV-0586) som en russisk statssponsoreret trusselsaktør, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022.
Crimson Sandstorm
Aktører fra Crimson Sandstorm (tidligere CURIUM) er blevet observeret i at udnytte et netværk af fiktive konti på sociale medier til at opbygge tillid hos mål og levere malware for i sidste ende at udtrække data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselsaktør, der udfører globale aktiviteter på vegne af Nordkoreas regering. Diamond Sleet har mindst været aktive siden 2009 og er kendt for at målrette mod brancher inden for medier, forsvar, informationsteknologi, videnskabelig forskning og sikkerhedsforskning med fokus på e-spionage, datatyveri, økonomisk gevinst og ødelæggelse af netværk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) udfører omfattende password-spraying ved at emulere en Firefox-browser og bruge IP-adresser, der er hostet på et Tor-proxynetværk. De retter sig typisk mod snesevis til hundredvis af konti i en organisation, afhængigt af størrelsen, og optæller hver konto fra snesevis til tusindvis af gange.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselsaktør, der udfører globale aktiviteter på vegne af Nordkoreas regering. Diamond Sleet har mindst været aktive siden 2009 og er kendt for at målrette mod brancher inden for medier, forsvar, informationsteknologi, videnskabelig forskning og sikkerhedsforskning med fokus på e-spionage, datatyveri, økonomisk gevinst og ødelæggelse af netværk.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) udfører omfattende password-spraying ved at emulere en Firefox-browser og bruge IP-adresser, der er hostet på et Tor-proxynetværk. De retter sig typisk mod snesevis til hundredvis af konti i en organisation, afhængigt af størrelsen, og optæller hver konto fra snesevis til tusindvis af gange.
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterede mailkonti hos en Bahrain-baseret it-integrationsvirksomhed i september 2021. Denne virksomhed arbejder med integration af it for Bahrains regeringskunder, som sandsynligvis var Smoke Sandstorms endelige mål.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruger flere forskellige teknikker til indledende adgang, herunder udnyttelse af sårbarheder over for internetvendte apps og, for at få legitimationsoplysninger, spydphishing og udrulningen af en automatiseret password spray/brute force-værktøj, der fungerer via TOR
Midnight Blizzard
Den aktør, som Microsoft sporer som Midnight Blizzard (NOBELIUM), er en Rusland-baseret trusselsaktør, der af USA's og Storbritanniens regeringer tilskrives den russiske føderations efterretningstjeneste, også kendt som SVR.
Volt Typhoon
Aktøren, som Microsoft sporer som Volt Typhoon, er en nationalstats-aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på e-spionage, datatyveri og adgang til legitimationsoplysninger.
Plaid Rain
Siden februar 2022 er det blevet observeret, at Plaid Rain (tidligere POLONIUM) primært har målrettet sig mod organisationer i Israel med fokus på kritisk produktion, it og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) er blevet offentligt forbundet med Irans ministerie for efterretning og sikkerhed (MOIS). Microsoft vurderede med høj sikkerhed, at den 15. juli 2022 udførte aktører, der er sponsoreret af den iranske regering, et destruktivt cyberangreb mod den albanske regering, som forstyrrede offentlige websteder og tjenester.
Cadet Blizzard
Microsoft sporer Cadet Blizzard (tidligere DEV-0586) som en russisk statssponsoreret trusselsaktør, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruger spydphishing-mails med ondsindede makrovedhæftninger, der udruller fjernskabeloner. Det primære mål for Aqua Blizzards aktiviteter er at opnå vedvarende adgang til målrettede netværk via udrulning af tilpasset malware og kommercielle værktøjer med henblik på at indsamle oplysninger.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruger udnyttelse af ikke-rettede systemer til at kompromittere fjernadgangstjenester og -apparater. Ved vellykket indtrængning har de brugt legitimationsoplysnings-dumpers eller -tyve til at få fat i ægte legitimationsoplysninger, som de så har brugt til at få adgang til ofrenes konti og til at få adgang til systemer af højere værdi.
Crimson Sandstorm
Aktører fra Crimson Sandstorm (tidligere CURIUM) er blevet observeret i at udnytte et netværk af fiktive konti på sociale medier til at opbygge tillid hos mål og levere malware for i sidste ende at udtrække data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselsaktør, der udfører globale aktiviteter på vegne af Nordkoreas regering. Diamond Sleet har mindst været aktive siden 2009 og er kendt for at målrette mod brancher inden for medier, forsvar, informationsteknologi, videnskabelig forskning og sikkerhedsforskning med fokus på e-spionage, datatyveri, økonomisk gevinst og ødelæggelse af netværk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) udfører omfattende password-spraying ved at emulere en Firefox-browser og bruge IP-adresser, der er hostet på et Tor-proxynetværk. De retter sig typisk mod snesevis til hundredvis af konti i en organisation, afhængigt af størrelsen, og optæller hver konto fra snesevis til tusindvis af gange.
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselsaktør, der er en del af ransomware as a service-økonomien (RaaS), og som samarbejder med andre trusselsaktører om at levere tilpassede Cobalt Strike-læssere.
Wine Tempest
Wine Tempest (tidligere PARINACOTA) bruger typisk menneskebetjent ransomware til angreb, for det meste Wadhrama-ransomwaren. De er opfindsomme, skifter taktik efter behov og har brugt kompromitterede maskiner til forskellige formål, herunder mining af kryptovaluta, afsendelse af spammails eller proxy til andre angreb.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterede mailkonti hos en Bahrain-baseret it-integrationsvirksomhed i september 2021. Denne virksomhed arbejder med integration af it for Bahrains regeringskunder, som sandsynligvis var Smoke Sandstorms endelige mål.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe, der er forbundet med virkningsfuld ransomware-distribution. Microsoft har observeret Pistachio Tempest bruge forskellige ransomware-nyttedata over tid, efterhånden som gruppen eksperimenterer med nye ransomware as a service (RaaS)-tilbud, fra Ryuk og Conti til Hive, Nokoyawa og senest Agenda og Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for at udvikle, distribuere og administrere mange forskellige nyttedata, herunder Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører.
Silk Typhoon
I 2021 udnyttede Silk Typhoon (tidligere HAFNIUM) 0-day-sårbarheder til at angribe versioner af Microsoft Exchange Server i det lokale miljø i begrænsede og målrettede angreb.
Gennemse efter emne
Kunstig intelligens
Sikkerheden er ikke bedre end din trusselsefterretning
Kompromittering af virksomhedsmail
Overblik over kompromittering af virksomhedsmail
Ransomware
Beskyt din organisation mod ransomware
Mød eksperterne
Ekspertprofil: Homa Hayatyfar
Principal Data and Applied Science Manager, Homa Hayatyfar, beskriver brugen af modeller til maskinel indlæring til at styrke forsvar, som blot er en af mange måder, hvorpå kunstig intelligens ændrer, hvordan sikkerhed ser ud.
Mød eksperterne
Ekspertprofil
Sæt oplysninger om trusler ind i en geopolitisk kontekst
Ekspertprofil
Ekspertrådgivning om de tre mest vedvarende udfordringer inden for cybersikkerhed
Ekspertprofil
Sikkerhedsforsker Dustin Duran om, hvordan man tænker som en angriber
Udforsk rapporter om efterretning
Microsoft-rapport over digitalt forsvar 2023
Den seneste udgave af Microsoft-rapporten over digitalt forsvar udforsker det skiftende trusselsbillede og gennemgår muligheder og udfordringer, når vi skal blive modstandsdygtige over for cyberangreb.
Oprethold et praktisk cyberforsvar
Cyberhygiejne
Grundlæggende cyberhygiejne forhindrer 99 % af alle angreb
Trusselsjagt
Lær det grundlæggende om jagt på trusler
Cyberkriminalitet
Vi hindrer cyberkriminelle i at misbruge sikkerhedsværktøjer
Start her
Deltag i Microsoft-begivenheder
Udvid din ekspertise, lær nye færdigheder, og opbyg et fællesskab med Microsofts arrangementer og læringsmuligheder.
Tal med os
Følg Microsoft