קבל תובנות ישירות מהמומחים בפודקאסט של בינת האיומים של Microsoft. האזן עכשיו.
Security Insider
בינת איומים ותובנות שמאפשרות פעולה כדי להקדים
איומים חדשים
שנת בינת האיומים 2023 בסקירה: תובנות והתפתחות עיקריות
בינת האיומים של Microsoft מסכנת את המגמות המובילות של גורמי איום בהיבטי טכניקות, טקטיקות ונהלים (TTP) משנת 2023.
תובנות לגבי גורם איום
האבטחה של Microsoft עוקבת באופן פעיל אחר גורמי איום בין פעילויות נצפות של מדינת לאום, תוכנת כופר ופעילויות פליליות. תובנות אלו מייצגות פעילות שפורסמה לציבור מאת חוקרי איום של האבטחה של Microsoft ומספקות קטלוג מרוכז של פרופילי גורמים מהבלוגים שמצורפים כהפניה.
Mint Sandstorm
קבוצת Mint Sandstorm (נקראה בעבר PHOSPHORUS) לרוב מנסה לחשוף לסכנה את החשבונות האישיים של אנשים באמצעות דיוג ממוקד ושימוש בהנדסה חברתית כדי לבנות יחסי ידידות עם הקרבנות לפני שהיא מציבה אותם כיעד
Manatee Tempest
Manatee Tempest (נקראה בעבר DEV-0243) היא גורם איום שמהווה חלק מהכלכלה של תוכנת כופר כשירות (RaaS), אשר יצרה שותפות עם גורמי איום אחרים כדי לספק מטען נפוץ של Cobalt Strike.
Wine tempest
Wine Tempest (בעבר PARINACOTA) משתמשת בדרך כלל בתוכנת גופר בתפעול בני אדם עבור מתקפות, לרוב בפריסת תוכנת הכופר Wadhrama. חברי הקבוצה רבי-תושייה, משנים את הטקטיקות שלהם כך שיתאימו לצרכים שלהם והשתמשו במחשבים שנחשפו לסכנה עבור מטרות שונות, לרבות כריית מטבעות קריפטו, שליחת הודעת זבל או ביצוע פעולות כ- proxy עבור מתקפות אחרות.
Smoke sandstorm
Smoke Sandstorm (שנקראה בעבר BOHRIUM/DEV-0056) חשפה לסכנה חשבונות בחברת שילוב IT שנמצאת בבחריין בספטמבר 2021. חברה זו עובדת על שילוב IT עם לקוחות של ממשלת בחריין, שהיו ככל הנראה יעד אולטימטיבי של Smoke Sandstorm.
Storm-0530
קבוצה של גורמים שמקורם בקוריאה הצפונית אשר Microsoft עוקבת אחריהם, כגון Storm-0530 (נקראה בעבר DEV-0530) פיתחו תוכנת כופר והשתמש בה במתקפות מאז יוני 2021.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Hazel Sandstorm
Hazel Sandstorm (לשעבר EUROPIUM) מקושר בפומבי למשרד המודיעין והביטחון (MOIS) של איראן. Microsoft מעריכה במידת מהימנות גבוהה שב- 15 ביולי 2022, גורמים הממומנים על-ידי ממשלת איראן ביצעו מתקפת סייבר הרסנית נגד ממשלת אלבניה ושיבשו את הפעילות של שירותים ציבוריים ואתרי אינטרנט ממשלתיים.
Cadet Blizzard
Microsoft עוקבת אחר Cadet Blizzard (נקרא בעבר DEV-0586) כשחקן איום במימון מדינת רוסיה ש- Microsoft התחילה לעקוב אחריה בעקבות אירועים משבשים והרסניים שאירעו בסוכנויות ממשלתיות רבות באוקראינה באמצע ינואר 2022.
Pistachio Tempest
Pistachio Tempest (נקראה בעבר DEV-0237) היא קבוצה שמשויכת לשיבוש תוכנת כופר רב השפעה. Microsoft צפה ב- Pistachio Tempest משתמשת בתוכני מנה מגוונים של תוכנת כופר לאורך זמן כאשר הקבוצה התנסתה בהצעות תוכנת כופר כשירות (RaaS) חדשות, מ- Ryuk ו- Conti עד Hive, Nokoyawa, ולאחרונה Agenda ו- Mindware.
Periwinkle Tempest
Periwinkle Tempest (שנקראה בעבר DEV-0193) אחראים לפיתוח, הפצה וניהול של תוכני מנה שונים רבים, לרבות Trickbot, Bazaloader ו- AnchorDNS.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Nylon Typhoon
קבוצת Nylon Typhoon (לשעבר NICKEL) משתמשת בקוד ניצול לרעה כנגד מערכות לא מתוקנות כדי לפגוע במכשירים ובשירותים לגישה מרחוק. עם הצלחת הפלישה, היא השתמשה בקובצי Dump לפרטי כניסה משומשים או בתוכנה זדונית מסוג Stealer כדי לקבל פרטי כניסה לגיטימיים שבהן השתמשה כדי לקבל גישה לחשבונות של הקרבנות ולקבלת גישה למערכות בעלות ערך רב יותר.
Crimson Sandstorm
גורמי Crimson Sandstorm (לשעבר CURIUM) נצפו ממנפים רשת של חשבונות בדויים ברשת החברתית כדי לרכוש את אמון המטרות ולשתול תוכנה זדונית כדי לאפשר בסופו של דבר חילוץ נתונים.
Diamond Sleet
Diamond Sleet (נקרא בעבר ZINC) הוא גורם איום שמבצע פעילויות ברחבי העולם בשמה של ממשלמת קוריאה הצפונית. Diamond Sleet, שמפעיל לפחות משנת 2009, ידוע כגורם שמציב כיעד את תעשיות המדיה, ההגנה, טכנולוגיות מידע והמחקר המדעי וכן מחקרי אבטחה תוך התמקדות בריגול, גניבת נתונים, השגת רווחים פיננסים והרס רשתות.
Gray Sandstorm
Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Mint Sandstorm
קבוצת Mint Sandstorm (נקראה בעבר PHOSPHORUS) לרוב מנסה לחשוף לסכנה את החשבונות האישיים של אנשים באמצעות דיוג ממוקד ושימוש בהנדסה חברתית כדי לבנות יחסי ידידות עם הקרבנות לפני שהיא מציבה אותם כיעד
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Crimson Sandstorm
גורמי Crimson Sandstorm (לשעבר CURIUM) נצפו ממנפים רשת של חשבונות בדויים ברשת החברתית כדי לרכוש את אמון המטרות ולשתול תוכנה זדונית כדי לאפשר בסופו של דבר חילוץ נתונים.
Gray Sandstorm
Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Periwinkle Tempest
Periwinkle Tempest (שנקראה בעבר DEV-0193) אחראים לפיתוח, הפצה וניהול של תוכני מנה שונים רבים, לרבות Trickbot, Bazaloader ו- AnchorDNS.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Cadet Blizzard
Microsoft עוקבת אחר Cadet Blizzard (נקרא בעבר DEV-0586) כשחקן איום במימון מדינת רוסיה ש- Microsoft התחילה לעקוב אחריה בעקבות אירועים משבשים והרסניים שאירעו בסוכנויות ממשלתיות רבות באוקראינה באמצע ינואר 2022.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Mint Sandstorm
קבוצת Mint Sandstorm (נקראה בעבר PHOSPHORUS) לרוב מנסה לחשוף לסכנה את החשבונות האישיים של אנשים באמצעות דיוג ממוקד ושימוש בהנדסה חברתית כדי לבנות יחסי ידידות עם הקרבנות לפני שהיא מציבה אותם כיעד
Smoke sandstorm
Smoke Sandstorm (שנקראה בעבר BOHRIUM/DEV-0056) חשפה לסכנה חשבונות בחברת שילוב IT שנמצאת בבחריין בספטמבר 2021. חברה זו עובדת על שילוב IT עם לקוחות של ממשלת בחריין, שהיו ככל הנראה יעד אולטימטיבי של Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Hazel Sandstorm
Hazel Sandstorm (לשעבר EUROPIUM) מקושר בפומבי למשרד המודיעין והביטחון (MOIS) של איראן. Microsoft מעריכה במידת מהימנות גבוהה שב- 15 ביולי 2022, גורמים הממומנים על-ידי ממשלת איראן ביצעו מתקפת סייבר הרסנית נגד ממשלת אלבניה ושיבשו את הפעילות של שירותים ציבוריים ואתרי אינטרנט ממשלתיים.
Cadet Blizzard
Microsoft עוקבת אחר Cadet Blizzard (נקרא בעבר DEV-0586) כשחקן איום במימון מדינת רוסיה ש- Microsoft התחילה לעקוב אחריה בעקבות אירועים משבשים והרסניים שאירעו בסוכנויות ממשלתיות רבות באוקראינה באמצע ינואר 2022.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Nylon Typhoon
קבוצת Nylon Typhoon (לשעבר NICKEL) משתמשת בקוד ניצול לרעה כנגד מערכות לא מתוקנות כדי לפגוע במכשירים ובשירותים לגישה מרחוק. עם הצלחת הפלישה, היא השתמשה בקובצי Dump לפרטי כניסה משומשים או בתוכנה זדונית מסוג Stealer כדי לקבל פרטי כניסה לגיטימיים שבהן השתמשה כדי לקבל גישה לחשבונות של הקרבנות ולקבלת גישה למערכות בעלות ערך רב יותר.
Crimson Sandstorm
גורמי Crimson Sandstorm (לשעבר CURIUM) נצפו ממנפים רשת של חשבונות בדויים ברשת החברתית כדי לרכוש את אמון המטרות ולשתול תוכנה זדונית כדי לאפשר בסופו של דבר חילוץ נתונים.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Pistachio Tempest
Pistachio Tempest (נקראה בעבר DEV-0237) היא קבוצה שמשויכת לשיבוש תוכנת כופר רב השפעה. Microsoft צפה ב- Pistachio Tempest משתמשת בתוכני מנה מגוונים של תוכנת כופר לאורך זמן כאשר הקבוצה התנסתה בהצעות תוכנת כופר כשירות (RaaS) חדשות, מ- Ryuk ו- Conti עד Hive, Nokoyawa, ולאחרונה Agenda ו- Mindware.
Periwinkle Tempest
Periwinkle Tempest (שנקראה בעבר DEV-0193) אחראים לפיתוח, הפצה וניהול של תוכני מנה שונים רבים, לרבות Trickbot, Bazaloader ו- AnchorDNS.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Manatee Tempest
Manatee Tempest (נקראה בעבר DEV-0243) היא גורם איום שמהווה חלק מהכלכלה של תוכנת כופר כשירות (RaaS), אשר יצרה שותפות עם גורמי איום אחרים כדי לספק מטען נפוץ של Cobalt Strike.
Smoke sandstorm
Smoke Sandstorm (שנקראה בעבר BOHRIUM/DEV-0056) חשפה לסכנה חשבונות בחברת שילוב IT שנמצאת בבחריין בספטמבר 2021. חברה זו עובדת על שילוב IT עם לקוחות של ממשלת בחריין, שהיו ככל הנראה יעד אולטימטיבי של Smoke Sandstorm.
Storm-0530
קבוצה של גורמים שמקורם בקוריאה הצפונית אשר Microsoft עוקבת אחריהם, כגון Storm-0530 (נקראה בעבר DEV-0530) פיתחו תוכנת כופר והשתמש בה במתקפות מאז יוני 2021.
Mint Sandstorm
קבוצת Mint Sandstorm (נקראה בעבר PHOSPHORUS) לרוב מנסה לחשוף לסכנה את החשבונות האישיים של אנשים באמצעות דיוג ממוקד ושימוש בהנדסה חברתית כדי לבנות יחסי ידידות עם הקרבנות לפני שהיא מציבה אותם כיעד
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Nylon Typhoon
קבוצת Nylon Typhoon (לשעבר NICKEL) משתמשת בקוד ניצול לרעה כנגד מערכות לא מתוקנות כדי לפגוע במכשירים ובשירותים לגישה מרחוק. עם הצלחת הפלישה, היא השתמשה בקובצי Dump לפרטי כניסה משומשים או בתוכנה זדונית מסוג Stealer כדי לקבל פרטי כניסה לגיטימיים שבהן השתמשה כדי לקבל גישה לחשבונות של הקרבנות ולקבלת גישה למערכות בעלות ערך רב יותר.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Diamond Sleet
Diamond Sleet (נקרא בעבר ZINC) הוא גורם איום שמבצע פעילויות ברחבי העולם בשמה של ממשלמת קוריאה הצפונית. Diamond Sleet, שמפעיל לפחות משנת 2009, ידוע כגורם שמציב כיעד את תעשיות המדיה, ההגנה, טכנולוגיות מידע והמחקר המדעי וכן מחקרי אבטחה תוך התמקדות בריגול, גניבת נתונים, השגת רווחים פיננסים והרס רשתות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Cadet Blizzard
Microsoft עוקבת אחר Cadet Blizzard (נקרא בעבר DEV-0586) כשחקן איום במימון מדינת רוסיה ש- Microsoft התחילה לעקוב אחריה בעקבות אירועים משבשים והרסניים שאירעו בסוכנויות ממשלתיות רבות באוקראינה באמצע ינואר 2022.
Crimson Sandstorm
גורמי Crimson Sandstorm (לשעבר CURIUM) נצפו ממנפים רשת של חשבונות בדויים ברשת החברתית כדי לרכוש את אמון המטרות ולשתול תוכנה זדונית כדי לאפשר בסופו של דבר חילוץ נתונים.
Diamond Sleet
Diamond Sleet (נקרא בעבר ZINC) הוא גורם איום שמבצע פעילויות ברחבי העולם בשמה של ממשלמת קוריאה הצפונית. Diamond Sleet, שמפעיל לפחות משנת 2009, ידוע כגורם שמציב כיעד את תעשיות המדיה, ההגנה, טכנולוגיות מידע והמחקר המדעי וכן מחקרי אבטחה תוך התמקדות בריגול, גניבת נתונים, השגת רווחים פיננסים והרס רשתות.
Gray Sandstorm
Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Diamond Sleet
Diamond Sleet (נקרא בעבר ZINC) הוא גורם איום שמבצע פעילויות ברחבי העולם בשמה של ממשלמת קוריאה הצפונית. Diamond Sleet, שמפעיל לפחות משנת 2009, ידוע כגורם שמציב כיעד את תעשיות המדיה, ההגנה, טכנולוגיות מידע והמחקר המדעי וכן מחקרי אבטחה תוך התמקדות בריגול, גניבת נתונים, השגת רווחים פיננסים והרס רשתות.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Gray Sandstorm
Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים.
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Smoke sandstorm
Smoke Sandstorm (שנקראה בעבר BOHRIUM/DEV-0056) חשפה לסכנה חשבונות בחברת שילוב IT שנמצאת בבחריין בספטמבר 2021. חברה זו עובדת על שילוב IT עם לקוחות של ממשלת בחריין, שהיו ככל הנראה יעד אולטימטיבי של Smoke Sandstorm.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
Forest Blizzard
Forest Blizzard (נקרא בעבר STRONTIUM) משתמש במגוון טכניקות גישה ראשונית כולל ניצול אפליקציות פגיעות מול הרשת, בדיוג ממוקד כדי להשיג פרטי כניסה ובפריסה של כלי מתקפת password spray/brute force אוטומטי שפועל באמצעות TOR
Midnight Blizzard
מבצע הפעולה ש- Microsoft מכנה Midnight Blizzard (NOBELIUM) הוא גורם איום הממוקם ברוסיה ומיוחד על-ידי ממשלות ארה"ב ובריטניה לשירות המודיעין הזר של הפדרציה הרוסית, המכונה גם SVR.
Volt Typhoon
הגורם ש- Microsoft עוקבת אחריו בשם Volt Typhoon הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לסין. Volt Typhoon מתמקד בריגול, גניבת נתונים וגישה לפרטי כניסה.
Plaid Rain
מחודש פברואר 2022, Plaid Rain (נקראה בעבר POLONIUM) נצפתה מציבה כיעד ראשוני ארגונים בישראל ומתמקד בתעשיית הייצור הקריטי, ה- IT ובתעשיית ההגנה של ישראל.
Hazel Sandstorm
Hazel Sandstorm (לשעבר EUROPIUM) מקושר בפומבי למשרד המודיעין והביטחון (MOIS) של איראן. Microsoft מעריכה במידת מהימנות גבוהה שב- 15 ביולי 2022, גורמים הממומנים על-ידי ממשלת איראן ביצעו מתקפת סייבר הרסנית נגד ממשלת אלבניה ושיבשו את הפעילות של שירותים ציבוריים ואתרי אינטרנט ממשלתיים.
Cadet Blizzard
Microsoft עוקבת אחר Cadet Blizzard (נקרא בעבר DEV-0586) כשחקן איום במימון מדינת רוסיה ש- Microsoft התחילה לעקוב אחריה בעקבות אירועים משבשים והרסניים שאירעו בסוכנויות ממשלתיות רבות באוקראינה באמצע ינואר 2022.
Aqua Blizzard
קבוצת Aqua Blizzard (נקראה בעבר ACTINIUM) משתמשת בהודעות דוא”ל לדיוג ממוקד באמצעות מאקרו קבצים מצורפים זדוניים שמשתמשים בתבניות מרוחקות. המטרה הראשית של פעילויות Aqua Blizzard היא להשיג דישה עקבית לרשתות מיועדות, באמצעות פיתוח תוכנה זדונית וכלים מסחריים מותאמים אישית, למטרת איסוף מודיעין.
Nylon Typhoon
קבוצת Nylon Typhoon (לשעבר NICKEL) משתמשת בקוד ניצול לרעה כנגד מערכות לא מתוקנות כדי לפגוע במכשירים ובשירותים לגישה מרחוק. עם הצלחת הפלישה, היא השתמשה בקובצי Dump לפרטי כניסה משומשים או בתוכנה זדונית מסוג Stealer כדי לקבל פרטי כניסה לגיטימיים שבהן השתמשה כדי לקבל גישה לחשבונות של הקרבנות ולקבלת גישה למערכות בעלות ערך רב יותר.
Crimson Sandstorm
גורמי Crimson Sandstorm (לשעבר CURIUM) נצפו ממנפים רשת של חשבונות בדויים ברשת החברתית כדי לרכוש את אמון המטרות ולשתול תוכנה זדונית כדי לאפשר בסופו של דבר חילוץ נתונים.
Diamond Sleet
Diamond Sleet (נקרא בעבר ZINC) הוא גורם איום שמבצע פעילויות ברחבי העולם בשמה של ממשלמת קוריאה הצפונית. Diamond Sleet, שמפעיל לפחות משנת 2009, ידוע כגורם שמציב כיעד את תעשיות המדיה, ההגנה, טכנולוגיות מידע והמחקר המדעי וכן מחקרי אבטחה תוך התמקדות בריגול, גניבת נתונים, השגת רווחים פיננסים והרס רשתות.
Gray Sandstorm
Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים.
Manatee Tempest
Manatee Tempest (נקראה בעבר DEV-0243) היא גורם איום שמהווה חלק מהכלכלה של תוכנת כופר כשירות (RaaS), אשר יצרה שותפות עם גורמי איום אחרים כדי לספק מטען נפוץ של Cobalt Strike.
Wine tempest
Wine Tempest (בעבר PARINACOTA) משתמשת בדרך כלל בתוכנת גופר בתפעול בני אדם עבור מתקפות, לרוב בפריסת תוכנת הכופר Wadhrama. חברי הקבוצה רבי-תושייה, משנים את הטקטיקות שלהם כך שיתאימו לצרכים שלהם והשתמשו במחשבים שנחשפו לסכנה עבור מטרות שונות, לרבות כריית מטבעות קריפטו, שליחת הודעת זבל או ביצוע פעולות כ- proxy עבור מתקפות אחרות.
Smoke sandstorm
Smoke Sandstorm (שנקראה בעבר BOHRIUM/DEV-0056) חשפה לסכנה חשבונות בחברת שילוב IT שנמצאת בבחריין בספטמבר 2021. חברה זו עובדת על שילוב IT עם לקוחות של ממשלת בחריין, שהיו ככל הנראה יעד אולטימטיבי של Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (נקראה בעבר DEV-0237) היא קבוצה שמשויכת לשיבוש תוכנת כופר רב השפעה. Microsoft צפה ב- Pistachio Tempest משתמשת בתוכני מנה מגוונים של תוכנת כופר לאורך זמן כאשר הקבוצה התנסתה בהצעות תוכנת כופר כשירות (RaaS) חדשות, מ- Ryuk ו- Conti עד Hive, Nokoyawa, ולאחרונה Agenda ו- Mindware.
Periwinkle Tempest
Periwinkle Tempest (שנקראה בעבר DEV-0193) אחראים לפיתוח, הפצה וניהול של תוכני מנה שונים רבים, לרבות Trickbot, Bazaloader ו- AnchorDNS.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Caramel Tsunami
קבוצת Caramel Tsunami (לשעבר SOURGUM) מוכרת בדרך כלל כלי נשק ללחימת סייבר, בדרך כלל מסוג תוכנה זדונית וקוד ניצול לרעה מסוג 0 ימים, כחלק מחבילת 'פריצה כשירות' שנמכרת לסוכנויות ממשלתיות ולגורמים זדוניים אחרים.
Silk Typhoon
בשנת 2021, קבוצת Silk Typhoon (נקראה בעבר HAFNIUM) השתמש בקודי ניצול לרעה מסוג אפס ימים כדי לתקוף גרסאות מקומיות של Microsoft Exchange Server במתקפות מוגבלות וממוקדות.
הכר את המומחה
פרופיל מומחה: הומה הייטאייפר
מנהלת נתונים עיקריים ומדעים מוחלים, הומה הייטאייפר, מתארת את השימוש במודלי למידת מכונה לחיזוק ההגנות – אחת מהדרכים הרבות שבהן הבינה המלאכותית משנה את פני האבטחה.
תחילת העבודה
הצטרף לאירועים של Microsoft
הרחב את המומחיות שלך, למד מיומנויות חדשות ובנה קהילה באמצעות הזדמנויות למידה ואירועים של Microsoft.
דבר איתנו
עקוב אחר Microsoft