Microsoft 脅威インテリジェンスのポッドキャストで、エキスパートが直接提供するインサイトをご確認ください。 今すぐ聞きましょう。
Security Insider
脅威インテリジェンスと実用的な分析情報で、常に先を行く
脅威アクターに関する分析情報
Microsoft Security は観察対象の国家、ランサムウェア、犯罪活動について積極的に脅威アクターを追跡しています。これらの分析情報では、Microsoft Security のリサーチ ツールで公開されているアクティビティを提示し、参照先ブログからアクター プロファイルのカタログを集約して提供します。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は通常、スピアフィッシングやソーシャル エンジニアリングを使って被害者と信頼関係を築いた上で、個人のアカウントを標的にして侵害しようとします。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Wine Tempest
Wine Tempest (旧称 PARINACOTA) は通常、人手によるランサムウェアを攻撃に使用し、主に Wadhrama ランサムウェアを展開します。豊富なリソースを擁しており、ニーズに合わせて戦術を変更しながら、侵害したマシンをさまざまな目的 (暗号通貨マイニング、スパム メール送信、その他の攻撃のプロキシなど) に使用してきました。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Storm-0530
Microsoft が Storm-0530 (旧称 DEV-0530) と呼んで追跡している、北朝鮮から発生した攻撃者グループは、2021 年 6 月からランサムウェアを開発し、攻撃に使用しています。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Microsoft が追跡している Cadet Blizzard (旧称 DEV-0586) はロシア国家が支援している脅威アクターであり、2022 年 1 月中旬にウクライナの複数の政府機関で生じた破壊的かつ崩壊的なイベント以降、Microsoft が追跡を始めた組織です。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Diamond Sleet (旧称 ZINC) は、北朝鮮政府に代わって世界的な活動を行う脅威アクターです。少なくとも 2009 年から活動している Diamond Sleet は、メディア、防衛、情報技術、科学研究産業、およびセキュリティ研究者を標的とし、スパイ活動、データ窃盗、金銭的利益、ネットワーク破壊に重点を置いていることで知られています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は通常、スピアフィッシングやソーシャル エンジニアリングを使って被害者と信頼関係を築いた上で、個人のアカウントを標的にして侵害しようとします。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Cadet Blizzard
Microsoft が追跡している Cadet Blizzard (旧称 DEV-0586) はロシア国家が支援している脅威アクターであり、2022 年 1 月中旬にウクライナの複数の政府機関で生じた破壊的かつ崩壊的なイベント以降、Microsoft が追跡を始めた組織です。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は通常、スピアフィッシングやソーシャル エンジニアリングを使って被害者と信頼関係を築いた上で、個人のアカウントを標的にして侵害しようとします。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Microsoft が追跡している Cadet Blizzard (旧称 DEV-0586) はロシア国家が支援している脅威アクターであり、2022 年 1 月中旬にウクライナの複数の政府機関で生じた破壊的かつ崩壊的なイベント以降、Microsoft が追跡を始めた組織です。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Storm-0530
Microsoft が Storm-0530 (旧称 DEV-0530) と呼んで追跡している、北朝鮮から発生した攻撃者グループは、2021 年 6 月からランサムウェアを開発し、攻撃に使用しています。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は通常、スピアフィッシングやソーシャル エンジニアリングを使って被害者と信頼関係を築いた上で、個人のアカウントを標的にして侵害しようとします。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Diamond Sleet
Diamond Sleet (旧称 ZINC) は、北朝鮮政府に代わって世界的な活動を行う脅威アクターです。少なくとも 2009 年から活動している Diamond Sleet は、メディア、防衛、情報技術、科学研究産業、およびセキュリティ研究者を標的とし、スパイ活動、データ窃盗、金銭的利益、ネットワーク破壊に重点を置いていることで知られています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Cadet Blizzard
Microsoft が追跡している Cadet Blizzard (旧称 DEV-0586) はロシア国家が支援している脅威アクターであり、2022 年 1 月中旬にウクライナの複数の政府機関で生じた破壊的かつ崩壊的なイベント以降、Microsoft が追跡を始めた組織です。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Diamond Sleet (旧称 ZINC) は、北朝鮮政府に代わって世界的な活動を行う脅威アクターです。少なくとも 2009 年から活動している Diamond Sleet は、メディア、防衛、情報技術、科学研究産業、およびセキュリティ研究者を標的とし、スパイ活動、データ窃盗、金銭的利益、ネットワーク破壊に重点を置いていることで知られています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Diamond Sleet
Diamond Sleet (旧称 ZINC) は、北朝鮮政府に代わって世界的な活動を行う脅威アクターです。少なくとも 2009 年から活動している Diamond Sleet は、メディア、防衛、情報技術、科学研究産業、およびセキュリティ研究者を標的とし、スパイ活動、データ窃盗、金銭的利益、ネットワーク破壊に重点を置いていることで知られています。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Microsoft が追跡している Cadet Blizzard (旧称 DEV-0586) はロシア国家が支援している脅威アクターであり、2022 年 1 月中旬にウクライナの複数の政府機関で生じた破壊的かつ崩壊的なイベント以降、Microsoft が追跡を始めた組織です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、リモート テンプレートを使用した悪質なマクロ添付のスピアフィッシング メールを使用しています。Aqua Blizzard の活動の主な目的は、カスタム マルウェアや商用ツールの展開を通じて、標的とするネットワークに持続的にアクセスし、インテリジェンスを収集することです。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Diamond Sleet (旧称 ZINC) は、北朝鮮政府に代わって世界的な活動を行う脅威アクターです。少なくとも 2009 年から活動している Diamond Sleet は、メディア、防衛、情報技術、科学研究産業、およびセキュリティ研究者を標的とし、スパイ活動、データ窃盗、金銭的利益、ネットワーク破壊に重点を置いていることで知られています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Wine Tempest
Wine Tempest (旧称 PARINACOTA) は通常、人手によるランサムウェアを攻撃に使用し、主に Wadhrama ランサムウェアを展開します。豊富なリソースを擁しており、ニーズに合わせて戦術を変更しながら、侵害したマシンをさまざまな目的 (暗号通貨マイニング、スパム メール送信、その他の攻撃のプロキシなど) に使用してきました。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Silk Typhoon
2021 年、Silk Typhoon (旧称 HAFNIUM) はゼロデイ悪用を使用し、Microsoft Exchange Server のオンプレミス バージョンを限定的かつ標的型攻撃で攻撃しました。
エキスパートの話を聞く
エキスパートの横顔: Homa Hayatyfar
Principal Data and Applied Science Manager である Homa Hayatyfar が、AI によって様変わりする多くのセキュリティ手段の 1 つとして、機械学習モデルを使用した防御の強化について解説します。
開始する
Microsoft のイベントに参加する
Microsoft のイベントや学習機会を、専門知識の拡充、新しいスキルの習得、コミュニティの構築にお役立てください。
あなたの声をお聞かせください
Microsoft をフォローする