Hanki merkityksellisiä tietoja suoraan asiantuntijoilta Microsoft Threat Intelligence -podcastista. Kuuntele nyt.
Security Insider
Uhkatietämys ja merkitykselliset tiedot pysyäksesi askeleen edellä
Uudet uhat
Vuoden 2023 uhkatietokatsaus: Tärkeitä merkityksellisiä tietoja ja kehityskulkuja
Microsoft Threat Intelligence kerää yhteen uhkaavien toimijoiden tekniikoiden, taktiikoiden ja menettelytapojen (TTP) tärkeimmät suuntaukset vuodelta 2023.
Tuoreimmat uutiset
Uhkaavan toimijan merkitykselliset tiedot
Microsoft Security seuraa aktiivisesti uhkaavia toimijoita kaikessa havaitussa valtiollisessa toiminnassa, kiristysohjelmatoiminnassa ja rikollisessa toiminnassa. Nämä merkitykselliset tiedot edustavat Microsoft Securityn uhkatutkijoiden julkisesti julkaisemaa toimintaa ja tarjoavat keskitetyn luettelon viitattujen blogien toimijaprofiileista.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) yrittää tyypillisesti vaarantaa yksityishenkilöiden henkilökohtaisia tilejä kohdennetun verkkourkinnan avulla ja käyttämällä käyttäjän manipulointia rakentaakseen suhdetta uhreihin ennen kuin ottaa heidät kohteekseen
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Wine tempest
Wine Tempest (ennen PARINACOTA) käyttää hyökkäyksissään tyypillisesti ihmisten ohjaamia kiristysohjelmia, useimmiten Wadhrama-kiristysohjelmaa. Se on kekseliäs ja vaihtaa taktiikkaa tarpeidensa mukaan, ja se on käyttänyt vaarannettuja koneita erilaisiin tarkoituksiin, kuten kryptovaluutan louhintaan, roskapostin lähettämiseen tai muiden hyökkäysten välittämiseen.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Storm-0530
Pohjois-Koreasta lähtöisin oleva ryhmä toimijoita, jota Microsoft seuraa nimellä Storm-0530 (aiemmin DEV-0530), on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän valtion sponsoroimana uhkaavana toimijana, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Diamond Sleet (aiemmin ZINC) on uhkaava toimija, joka toimii maailmanlaajuisesti Pohjois-Korean hallituksen puolesta. Diamond Sleet on toiminut aktiivisesti ainakin vuodesta 2009 lähtien ja sen tiedetään ottavan kohteekseen median, puolustuksen, tietotekniikan ja tieteellisen tutkimuksen aloja sekä tietoturvatutkijoita keskittyen vakoiluun, tietovarkauksiin, taloudelliseen hyötyyn ja verkon tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) yrittää tyypillisesti vaarantaa yksityishenkilöiden henkilökohtaisia tilejä kohdennetun verkkourkinnan avulla ja käyttämällä käyttäjän manipulointia rakentaakseen suhdetta uhreihin ennen kuin ottaa heidät kohteekseen
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän valtion sponsoroimana uhkaavana toimijana, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) yrittää tyypillisesti vaarantaa yksityishenkilöiden henkilökohtaisia tilejä kohdennetun verkkourkinnan avulla ja käyttämällä käyttäjän manipulointia rakentaakseen suhdetta uhreihin ennen kuin ottaa heidät kohteekseen
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän valtion sponsoroimana uhkaavana toimijana, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Storm-0530
Pohjois-Koreasta lähtöisin oleva ryhmä toimijoita, jota Microsoft seuraa nimellä Storm-0530 (aiemmin DEV-0530), on kehittänyt ja käyttänyt kiristysohjelmia hyökkäyksissä kesäkuusta 2021 lähtien.
Mint Sandstorm
Mint Sandstorm (aiemmin PHOSPHORUS) yrittää tyypillisesti vaarantaa yksityishenkilöiden henkilökohtaisia tilejä kohdennetun verkkourkinnan avulla ja käyttämällä käyttäjän manipulointia rakentaakseen suhdetta uhreihin ennen kuin ottaa heidät kohteekseen
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Diamond Sleet
Diamond Sleet (aiemmin ZINC) on uhkaava toimija, joka toimii maailmanlaajuisesti Pohjois-Korean hallituksen puolesta. Diamond Sleet on toiminut aktiivisesti ainakin vuodesta 2009 lähtien ja sen tiedetään ottavan kohteekseen median, puolustuksen, tietotekniikan ja tieteellisen tutkimuksen aloja sekä tietoturvatutkijoita keskittyen vakoiluun, tietovarkauksiin, taloudelliseen hyötyyn ja verkon tuhoamiseen.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän valtion sponsoroimana uhkaavana toimijana, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Diamond Sleet (aiemmin ZINC) on uhkaava toimija, joka toimii maailmanlaajuisesti Pohjois-Korean hallituksen puolesta. Diamond Sleet on toiminut aktiivisesti ainakin vuodesta 2009 lähtien ja sen tiedetään ottavan kohteekseen median, puolustuksen, tietotekniikan ja tieteellisen tutkimuksen aloja sekä tietoturvatutkijoita keskittyen vakoiluun, tietovarkauksiin, taloudelliseen hyötyyn ja verkon tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Diamond Sleet
Diamond Sleet (aiemmin ZINC) on uhkaava toimija, joka toimii maailmanlaajuisesti Pohjois-Korean hallituksen puolesta. Diamond Sleet on toiminut aktiivisesti ainakin vuodesta 2009 lähtien ja sen tiedetään ottavan kohteekseen median, puolustuksen, tietotekniikan ja tieteellisen tutkimuksen aloja sekä tietoturvatutkijoita keskittyen vakoiluun, tietovarkauksiin, taloudelliseen hyötyyn ja verkon tuhoamiseen.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Forest Blizzard
Forest Blizzard (aiemmin STRONTIUM) käyttää useita ensimmäisen käyttöoikeuden saamisen tekniikoita. Tällaisia ovat haavoittuvien verkkokäyttöisten sovellusten hyödyntäminen sekä kohdennettu verkkourkinta ja automatisoidun salasanahyökkäyksen tai TOR-verkon kautta toimivan väsytyshyökkäystyökalun käyttöönotto tunnistetietojen saamiseksi
Midnight Blizzard
Uhkaava toimija, jota Microsoft seuraa nimellä Midnight Blizzard (NOBELIUM), on Venäjältä toimiva uhkaava toimija, joka toimii Yhdysvaltain ja Yhdistyneen kuningaskunnan viranomaisten mukaan Venäjän ulkomaantiedustelun SVR:n alaisuudessa.
Volt Typhoon
Microsoftin nimellä Volt Typhoon seuraama uhkaava toimija on valtion tukema ryhmä, joka toimii Kiinassa. Volt Typhoon keskittyy vakoiluun, tietovarkauksiin ja tunnistetietojen käyttöön.
Plaid Rain
Helmikuusta 2022 lähtien Plaid Rainin (aiemmin POLONIUM) on havaittu kohdistavan hyökkäyksiä pääasiassa organisaatioihin Israelissa, keskittyen kriittiseen teollisuuteen, IT-alaan ja Israelin puolustusteollisuuteen.
Hazel Sandstorm
Hazel Sandstorm (ennen EUROPIUM) on julkisesti yhdistetty Iranin tiedustelu- ja turvallisuusministeriöön (MOIS). Microsoft arvioi erittäin luotettavasti, että 15. heinäkuuta 2022 Iranin hallituksen tukemat toimijat tekivät tuhoisan kyberhyökkäyksen Albanian hallitusta vastaan ja häiritsivät hallituksen sivustoja ja julkisia palveluja.
Cadet Blizzard
Microsoft seuraa Cadet Blizzardia (aiemmin DEV-0586) Venäjän valtion sponsoroimana uhkaavana toimijana, jota Microsoft alkoi seurata tammikuun 2022 puolivälissä useissa Ukrainan valtion virastoissa tapahtuneiden häiritsevien ja tuhoisten tapahtumien jälkeen.
Aqua Blizzard
Aqua Blizzard (aiemmin ACTINIUM) käyttää kohdennettuja tietojenkalastelusähköposteja, joissa on haitallisia makroliitteitä, jotka käyttävät etämalleja. Aqua Blizzardin toiminnan ensisijaisena tavoitteena on hankkia jatkuva pääsy kohteena oleviin verkkoihin ottamalla käyttöön räätälöityjä haittaohjelmia ja kaupallisia työkaluja tiedustelutietojen keräämistä varten.
Nylon Typhoon
Nylon Typhoon (ennen NICKEL) hyödyntää korjaamattomien järjestelmien haavoittuvuuksia vaarantaakseen etäkäyttöpalvelut ja -laitteet. Onnistuneen tunkeutumisen jälkeen he ovat käyttäneet credential dumpers -ohjelmia tai varkaita saadakseen lailliset käyttäjätiedot, joita he ovat sitten käyttäneet päästäkseen käsiksi uhrien tileihin ja päästäkseen käsiksi arvokkaampiin järjestelmiin.
Crimson Sandstorm
Crimson Sandstormin (ennen CURIUM) toimijoiden on havaittu hyödyntävän fiktiivisten sosiaalisen median tilien verkostoa rakentaakseen luottamusta kohteisiin ja levittääkseen haittaohjelmia tietojen poistamiseksi.
Diamond Sleet
Diamond Sleet (aiemmin ZINC) on uhkaava toimija, joka toimii maailmanlaajuisesti Pohjois-Korean hallituksen puolesta. Diamond Sleet on toiminut aktiivisesti ainakin vuodesta 2009 lähtien ja sen tiedetään ottavan kohteekseen median, puolustuksen, tietotekniikan ja tieteellisen tutkimuksen aloja sekä tietoturvatutkijoita keskittyen vakoiluun, tietovarkauksiin, taloudelliseen hyötyyn ja verkon tuhoamiseen.
Gray Sandstorm
Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin.
Manatee Tempest
Manatee Tempest (aiemmin DEV-0243) on uhkaava toimija, joka on osa kiristysohjelma palveluna (RaaS) -talousjärjestelmää ja joka toimii yhdessä muiden uhkaavien toimijoiden kanssa tarjotakseen mukautettuja Cobalt Strike -latausohjelmia.
Wine tempest
Wine Tempest (ennen PARINACOTA) käyttää hyökkäyksissään tyypillisesti ihmisten ohjaamia kiristysohjelmia, useimmiten Wadhrama-kiristysohjelmaa. Se on kekseliäs ja vaihtaa taktiikkaa tarpeidensa mukaan, ja se on käyttänyt vaarannettuja koneita erilaisiin tarkoituksiin, kuten kryptovaluutan louhintaan, roskapostin lähettämiseen tai muiden hyökkäysten välittämiseen.
Smoke sandstorm
Smoke Sandstorm (aiemmin BOHRIUM/DEV-0056) vaaransi sähköpostitilejä Bahrainissa sijaitsevassa IT-integrointiyrityksessä syyskuussa 2021. Yritys työskentelee IT-integrointien parissa Bahrainin julkishallinnon asiakkaiden kanssa, jotka olivat todennäköisesti Smoke Sandstormin pääasiallinen kohde.
Pistachio Tempest
Pistachio Tempest (aiemmin DEV-0237) on ryhmä, joka liittyy vaikuttavaan kiristysohjelmien jakeluun. Microsoft on havainnut Pistachio Tempestin käyttävän erilaisia kiristysohjelmatietoja pitkällä aikavälillä ryhmän tehdessä kokeiluja uusien kiristysohjelma palveluna (RaaS) -tarjousten parissa. Tällaisia ovat esimerkiksi Ryuk, Conti Hive ja Nokoyawa sekä uusimpina Agenda ja Mindware.
Periwinkle Tempest
Periwinkle Tempest (aiemmin DEV-0193) on vastuussa eri tietojen, kuten Trickbotin, Bazaloaderin ja AnchorDNS:n, kehittämisestä, jakamisesta ja hallinnasta.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Caramel Tsunami
Caramel Tsunami (ennen SOURGUM) myy yleisesti kyberaseita, yleensä haittaohjelmia ja nollapäivähaavoittuvuutta hyödyntäviä hyökkäyksiä, osana hakkerointi-palvelupakettia, jota myydään valtion virastoille ja muille haitallisille toimijoille.
Silk Typhoon
Vuonna 2021 Silk Typhoon (aiemmin HAFNIUM) käytti nollapäivähaavoittuvuuksia hyökätäkseen Microsoft Exchange Serverin paikallisiin versioihin rajoitetuissa ja kohdennetuissa hyökkäyksissä.
Tutustu asiantuntijoihin
Asiantuntijan profiili: Homa Hayatyfar
Homa Hayatyfar (Principal Data & Applied Science Manager) kertoo puolustuksen vahvistamisesta koneoppimismallien avulla – tämä on vain yksi monista tavoista, joilla tekoäly muokkaa tietoturvaa.
Tutustu asiantuntijoihin
Tutustu tiedusteluraportteihin
2023 Microsoftin digitaalisen suojauksen raportti
Microsoftin digitaalisen suojauksen raportin uusimmassa versiossa tutustutaan kehittyvään uhkaympäristöön ja käydään läpi kyberresilienssin mahdollisuuksia ja haasteita.
Ylläpidä käytännön verkkopuolustus
Aloita
Osallistu Microsoft-tapahtumiin
Kasvata osaamistasi, opi uusia taitoja ja kasvata yhteisöäsi Microsoftin tapahtumien sekä oppimismahdollisuuksien avulla.
Keskustele kanssamme
Seuraa Microsoftia