Posłuchaj opinii ekspertów w podkaście dotyczącym analizy zagrożeń Microsoft. Posłuchaj teraz.
Security Insider
Analiza zagrożeń i wnioski umożliwiające podejmowanie działań oraz utrzymywanie przewagi
Nowe zagrożenia
Przegląd roku 2023 w analizie zagrożeń Microsoft: najważniejsze wnioski i osiągnięcia
Analiza zagrożeń Microsoft podsumowuje najważniejsze trendy dotyczące źródeł zagrożenia pod względem technik, taktyk i procedur (TTP) w roku 2023.
Najnowsze wiadomości
Raporty dotyczące analizy
Poruszanie się po świecie cyberzagrożeń i wzmacnianie ochrony w erze sztucznej inteligencji
Raporty dotyczące analizy
Iran intensyfikuje operacje wywierania wpływu z wykorzystaniem cybertechnologii w celu wspierania Hamasu
Nowe zagrożenia
Wykorzystywanie ekonomii zaufania: oszustwo z użyciem inżynierii społecznej
Szczegółowe informacje o źródłach zagrożenia
Rozwiązania zabezpieczające firmy Microsoft aktywnie śledzą źródła zagrożeń w obserwowanych podmiotach państwowych, oprogramowaniu wymuszającym okup i działaniach przestępczych. Te szczegółowe informacje odzwierciedlają udostępnione publicznie działania od badaczy zagrożeń w ramach Rozwiązań zabezpieczających firmy Microsoft oraz zapewniają scentralizowany katalog profilów źródeł z blogów, do których się odwoływano.
Mint Sandstorm
Grupa Mint Sandstorm (przedtem PHOSPHORUS) zwykle próbuje naruszyć zabezpieczenia kont osobistych osób prywatnych poprzez spersonalizowane wyłudzanie informacji i używanie inżynierii społecznej do nawiązywania relacji z ofiarami zanim staną się one celem ataku
Manatee Tempest
Grupa Manatee Tempest (przedtem DEV-0243) jest aktywna w ekonomii oprogramowania ransomware jako usługi (RaaS) i udostępnia innym grupom niestandardowe narzędzia oparte na Cobalt Strike.
Wine Tempest
Grupa Wine Tempest (przedtem PARINACOTA) zwykle używa oprogramowania wymuszającego okup obsługiwanego przez człowieka, na ogół wdrażając oprogramowanie wymuszające okup Wadhrama. Jest pomysłowa, zmienia taktyki, dopasowując je do swoich potrzeb, oraz używała maszyn z naruszonymi zabezpieczeniami do różnych celów, w tym do wydobywania kryptowalut, rozsyłania wiadomości e-mail ze spamem lub używania serwerów proxy do innych ataków.
Smoke Sandstorm
Grupa Smoke Sandstorm (przedtem BOHRIUM/DEV-0056) we wrześniu 2021 r. spowodowała naruszenie bezpieczeństwa kont e-mail w zajmującej się integracją systemów IT firmie z siedzibą w Bahrajnie. Firma ta świadczy usługi w dziedzinie integracji IT podmiotom rządowym Bahrajnu i to prawdopodobnie one były właściwym celem ataku grupy Smoke Sandstorm.
Storm-0530
Obserwowana przez firmę Microsoft, pochodząca z Korei Północnej grupa hakerska pod nazwą Storm-0530 (przedtem DEV-0530) opracowuje oprogramowanie ransomware i przeprowadza ataki od czerwca 2021 r.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Hazel Sandstorm
Grupa Hazel Sandstorm (przedtem EUROPIUM) została publicznie skojarzona z irańskim Ministerstwem Wywiadu i Bezpieczeństwa Narodowego (MOIS). Firma Microsoft oceniła z wysoką ufnością, że 15 lipca 2022 r. źródła sponsorowane przez irański rząd przeprowadziły niszczycielski cyberatak na rząd albański, zakłócając rządowe witryny internetowe oraz usługi użyteczności publicznej.
Cadet Blizzard
Firma Microsoft śledzi grupę Cadet Blizzard (przedtem DEV-0586) jako źródło zagrożenia sponsorowane przez państwo rosyjskie, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku.
Pistachio Tempest
Grupa Pistachio Tempest (przedtem DEV-0237) to grupa aktywna w szeroko zakrojonej dystrybucji oprogramowania ransomware. Według obserwacji firmy Microsoft, grupa Pistachio Tempest używała zróżnicowanych ładunków ransomware, eksperymentując z programami ransomware jako usługą (RaaS), takimi jak Ryuk i Conti, czy Hive, Nokoyawa oraz — ostatnio — Agenda i Mindware.
Periwinkle Tempest
Grupa Periwinkle Tempest (przedtem DEV-0193) odpowiada za opracowanie i rozpowszechnianie wielu różnych ładunków, w tym Trickbot, Bazaloader i AnchorDNS, oraz za zarządzanie nimi.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Nylon Typhoon
Grupa Nylon Typhoon (przedtem NICKEL) wykorzystuje luki w systemach bez zastosowanych poprawek do naruszania zabezpieczeń usług i urządzeń dostępu zdalnego. Po pomyślnym wtargnięciu używała programów do upubliczniania lub kradzieży poświadczeń w celu uzyskania prawdziwych poświadczeń, których następnie używała do uzyskiwania dostępu do kont ofiar oraz do systemów o wyższej wartości.
Crimson Sandstorm
Zaobserwowano, że źródła z grupy Crimson Sandstorm (przedtem CURIUM) wykorzystują sieć fikcyjnych kont w sieciach społecznościowych do zdobywania zaufania ofiar i dostarczania złośliwego oprogramowania w celu eksfiltrowania danych.
Diamond Sleet
Grupa Diamond Sleet (przedtem ZINC) to źródło zagrożenia przeprowadzające działania na całym świecie w imieniu rządu Północnej Korei. Grupa Diamond Sleet, aktywna od co najmniej 2009 roku, jest znana z celowania w branże mediów, obrony, technologii informatycznych i badań naukowych, a także w badaczy zabezpieczeń, koncentrując się na szpiegostwie, kradzieży danych, zyskach finansowych i niszczeniu sieci.
Gray Sandstorm
Grupa Gray Sandstorm (przedtem DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Mint Sandstorm
Grupa Mint Sandstorm (przedtem PHOSPHORUS) zwykle próbuje naruszyć zabezpieczenia kont osobistych osób prywatnych poprzez spersonalizowane wyłudzanie informacji i używanie inżynierii społecznej do nawiązywania relacji z ofiarami zanim staną się one celem ataku
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Crimson Sandstorm
Zaobserwowano, że źródła z grupy Crimson Sandstorm (przedtem CURIUM) wykorzystują sieć fikcyjnych kont w sieciach społecznościowych do zdobywania zaufania ofiar i dostarczania złośliwego oprogramowania w celu eksfiltrowania danych.
Gray Sandstorm
Grupa Gray Sandstorm (przedtem DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Periwinkle Tempest
Grupa Periwinkle Tempest (przedtem DEV-0193) odpowiada za opracowanie i rozpowszechnianie wielu różnych ładunków, w tym Trickbot, Bazaloader i AnchorDNS, oraz za zarządzanie nimi.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Cadet Blizzard
Firma Microsoft śledzi grupę Cadet Blizzard (przedtem DEV-0586) jako źródło zagrożenia sponsorowane przez państwo rosyjskie, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Mint Sandstorm
Grupa Mint Sandstorm (przedtem PHOSPHORUS) zwykle próbuje naruszyć zabezpieczenia kont osobistych osób prywatnych poprzez spersonalizowane wyłudzanie informacji i używanie inżynierii społecznej do nawiązywania relacji z ofiarami zanim staną się one celem ataku
Smoke Sandstorm
Grupa Smoke Sandstorm (przedtem BOHRIUM/DEV-0056) we wrześniu 2021 r. spowodowała naruszenie bezpieczeństwa kont e-mail w zajmującej się integracją systemów IT firmie z siedzibą w Bahrajnie. Firma ta świadczy usługi w dziedzinie integracji IT podmiotom rządowym Bahrajnu i to prawdopodobnie one były właściwym celem ataku grupy Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Hazel Sandstorm
Grupa Hazel Sandstorm (przedtem EUROPIUM) została publicznie skojarzona z irańskim Ministerstwem Wywiadu i Bezpieczeństwa Narodowego (MOIS). Firma Microsoft oceniła z wysoką ufnością, że 15 lipca 2022 r. źródła sponsorowane przez irański rząd przeprowadziły niszczycielski cyberatak na rząd albański, zakłócając rządowe witryny internetowe oraz usługi użyteczności publicznej.
Cadet Blizzard
Firma Microsoft śledzi grupę Cadet Blizzard (przedtem DEV-0586) jako źródło zagrożenia sponsorowane przez państwo rosyjskie, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Nylon Typhoon
Grupa Nylon Typhoon (przedtem NICKEL) wykorzystuje luki w systemach bez zastosowanych poprawek do naruszania zabezpieczeń usług i urządzeń dostępu zdalnego. Po pomyślnym wtargnięciu używała programów do upubliczniania lub kradzieży poświadczeń w celu uzyskania prawdziwych poświadczeń, których następnie używała do uzyskiwania dostępu do kont ofiar oraz do systemów o wyższej wartości.
Crimson Sandstorm
Zaobserwowano, że źródła z grupy Crimson Sandstorm (przedtem CURIUM) wykorzystują sieć fikcyjnych kont w sieciach społecznościowych do zdobywania zaufania ofiar i dostarczania złośliwego oprogramowania w celu eksfiltrowania danych.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Pistachio Tempest
Grupa Pistachio Tempest (przedtem DEV-0237) to grupa aktywna w szeroko zakrojonej dystrybucji oprogramowania ransomware. Według obserwacji firmy Microsoft, grupa Pistachio Tempest używała zróżnicowanych ładunków ransomware, eksperymentując z programami ransomware jako usługą (RaaS), takimi jak Ryuk i Conti, czy Hive, Nokoyawa oraz — ostatnio — Agenda i Mindware.
Periwinkle Tempest
Grupa Periwinkle Tempest (przedtem DEV-0193) odpowiada za opracowanie i rozpowszechnianie wielu różnych ładunków, w tym Trickbot, Bazaloader i AnchorDNS, oraz za zarządzanie nimi.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Manatee Tempest
Grupa Manatee Tempest (przedtem DEV-0243) jest aktywna w ekonomii oprogramowania ransomware jako usługi (RaaS) i udostępnia innym grupom niestandardowe narzędzia oparte na Cobalt Strike.
Smoke Sandstorm
Grupa Smoke Sandstorm (przedtem BOHRIUM/DEV-0056) we wrześniu 2021 r. spowodowała naruszenie bezpieczeństwa kont e-mail w zajmującej się integracją systemów IT firmie z siedzibą w Bahrajnie. Firma ta świadczy usługi w dziedzinie integracji IT podmiotom rządowym Bahrajnu i to prawdopodobnie one były właściwym celem ataku grupy Smoke Sandstorm.
Storm-0530
Obserwowana przez firmę Microsoft, pochodząca z Korei Północnej grupa hakerska pod nazwą Storm-0530 (przedtem DEV-0530) opracowuje oprogramowanie ransomware i przeprowadza ataki od czerwca 2021 r.
Mint Sandstorm
Grupa Mint Sandstorm (przedtem PHOSPHORUS) zwykle próbuje naruszyć zabezpieczenia kont osobistych osób prywatnych poprzez spersonalizowane wyłudzanie informacji i używanie inżynierii społecznej do nawiązywania relacji z ofiarami zanim staną się one celem ataku
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Nylon Typhoon
Grupa Nylon Typhoon (przedtem NICKEL) wykorzystuje luki w systemach bez zastosowanych poprawek do naruszania zabezpieczeń usług i urządzeń dostępu zdalnego. Po pomyślnym wtargnięciu używała programów do upubliczniania lub kradzieży poświadczeń w celu uzyskania prawdziwych poświadczeń, których następnie używała do uzyskiwania dostępu do kont ofiar oraz do systemów o wyższej wartości.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Diamond Sleet
Grupa Diamond Sleet (przedtem ZINC) to źródło zagrożenia przeprowadzające działania na całym świecie w imieniu rządu Północnej Korei. Grupa Diamond Sleet, aktywna od co najmniej 2009 roku, jest znana z celowania w branże mediów, obrony, technologii informatycznych i badań naukowych, a także w badaczy zabezpieczeń, koncentrując się na szpiegostwie, kradzieży danych, zyskach finansowych i niszczeniu sieci.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Cadet Blizzard
Firma Microsoft śledzi grupę Cadet Blizzard (przedtem DEV-0586) jako źródło zagrożenia sponsorowane przez państwo rosyjskie, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku.
Crimson Sandstorm
Zaobserwowano, że źródła z grupy Crimson Sandstorm (przedtem CURIUM) wykorzystują sieć fikcyjnych kont w sieciach społecznościowych do zdobywania zaufania ofiar i dostarczania złośliwego oprogramowania w celu eksfiltrowania danych.
Diamond Sleet
Grupa Diamond Sleet (przedtem ZINC) to źródło zagrożenia przeprowadzające działania na całym świecie w imieniu rządu Północnej Korei. Grupa Diamond Sleet, aktywna od co najmniej 2009 roku, jest znana z celowania w branże mediów, obrony, technologii informatycznych i badań naukowych, a także w badaczy zabezpieczeń, koncentrując się na szpiegostwie, kradzieży danych, zyskach finansowych i niszczeniu sieci.
Gray Sandstorm
Grupa Gray Sandstorm (przedtem DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Diamond Sleet
Grupa Diamond Sleet (przedtem ZINC) to źródło zagrożenia przeprowadzające działania na całym świecie w imieniu rządu Północnej Korei. Grupa Diamond Sleet, aktywna od co najmniej 2009 roku, jest znana z celowania w branże mediów, obrony, technologii informatycznych i badań naukowych, a także w badaczy zabezpieczeń, koncentrując się na szpiegostwie, kradzieży danych, zyskach finansowych i niszczeniu sieci.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Gray Sandstorm
Grupa Gray Sandstorm (przedtem DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy.
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Smoke Sandstorm
Grupa Smoke Sandstorm (przedtem BOHRIUM/DEV-0056) we wrześniu 2021 r. spowodowała naruszenie bezpieczeństwa kont e-mail w zajmującej się integracją systemów IT firmie z siedzibą w Bahrajnie. Firma ta świadczy usługi w dziedzinie integracji IT podmiotom rządowym Bahrajnu i to prawdopodobnie one były właściwym celem ataku grupy Smoke Sandstorm.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Forest Blizzard
Forest Blizzard (przedtem STRONTIUM) używa różnych technik początkowego dostępu, takich jak wykorzystywanie luk w aplikacjach internetowych oraz, w celu uzyskania poświadczeń, spersonalizowane wyłudzanie informacji i wdrażanie zautomatyzowanego ataku rozproszonego na hasła / narzędzia siłowego działającego za pośrednictwem TOR
Midnight Blizzard
Źródło śledzone przez firmę Microsoft jako Midnight Blizzard (NOBELIUM) to źródło zagrożenia znajdujące się w Rosji, przypisywane przez rządy Stanów Zjednoczonych i Zjednoczonego Królestwa do Służby Wywiadu Zagranicznego Federacji Rosyjskiej, nazywanej także SWR.
Volt Typhoon
Śledzone przez firmę Microsoft źródło zagrożenia pod nazwą Volt Typhoon to państwowa grupa operacyjna z Chin. Grupa Volt Typhoon skupia się na szpiegostwie, kradzieży danych oraz uzyskiwaniu dostępu do poświadczeń.
Plaid Rain
Zaobserwowano, że od lutego 2022 r. grupa hakerska Plaid Rain (przedtem POLONIUM) obiera za cel przede wszystkim organizacje w Izraelu, skupiając się na branżach o krytycznym znaczeniu: produkcji, usługach IT i przemyśle obronnym Izraela.
Hazel Sandstorm
Grupa Hazel Sandstorm (przedtem EUROPIUM) została publicznie skojarzona z irańskim Ministerstwem Wywiadu i Bezpieczeństwa Narodowego (MOIS). Firma Microsoft oceniła z wysoką ufnością, że 15 lipca 2022 r. źródła sponsorowane przez irański rząd przeprowadziły niszczycielski cyberatak na rząd albański, zakłócając rządowe witryny internetowe oraz usługi użyteczności publicznej.
Cadet Blizzard
Firma Microsoft śledzi grupę Cadet Blizzard (przedtem DEV-0586) jako źródło zagrożenia sponsorowane przez państwo rosyjskie, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku.
Aqua Blizzard
Grupa Aqua Blizzard (przedtem ACTINIUM) używa wiadomości e-mail do spersonalizowanego wyłudzania informacji z załącznikami w postaci złośliwych makr, które wdrażają zdalne szablony. Głównym celem działań grupy Aqua Blizzard jest uzyskanie trwałego dostępu do sieci będących celem ataku poprzez wdrożenie niestandardowego złośliwego oprogramowania i narzędzi komercyjnych w celu zbierania analiz.
Nylon Typhoon
Grupa Nylon Typhoon (przedtem NICKEL) wykorzystuje luki w systemach bez zastosowanych poprawek do naruszania zabezpieczeń usług i urządzeń dostępu zdalnego. Po pomyślnym wtargnięciu używała programów do upubliczniania lub kradzieży poświadczeń w celu uzyskania prawdziwych poświadczeń, których następnie używała do uzyskiwania dostępu do kont ofiar oraz do systemów o wyższej wartości.
Crimson Sandstorm
Zaobserwowano, że źródła z grupy Crimson Sandstorm (przedtem CURIUM) wykorzystują sieć fikcyjnych kont w sieciach społecznościowych do zdobywania zaufania ofiar i dostarczania złośliwego oprogramowania w celu eksfiltrowania danych.
Diamond Sleet
Grupa Diamond Sleet (przedtem ZINC) to źródło zagrożenia przeprowadzające działania na całym świecie w imieniu rządu Północnej Korei. Grupa Diamond Sleet, aktywna od co najmniej 2009 roku, jest znana z celowania w branże mediów, obrony, technologii informatycznych i badań naukowych, a także w badaczy zabezpieczeń, koncentrując się na szpiegostwie, kradzieży danych, zyskach finansowych i niszczeniu sieci.
Gray Sandstorm
Grupa Gray Sandstorm (przedtem DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy.
Manatee Tempest
Grupa Manatee Tempest (przedtem DEV-0243) jest aktywna w ekonomii oprogramowania ransomware jako usługi (RaaS) i udostępnia innym grupom niestandardowe narzędzia oparte na Cobalt Strike.
Wine Tempest
Grupa Wine Tempest (przedtem PARINACOTA) zwykle używa oprogramowania wymuszającego okup obsługiwanego przez człowieka, na ogół wdrażając oprogramowanie wymuszające okup Wadhrama. Jest pomysłowa, zmienia taktyki, dopasowując je do swoich potrzeb, oraz używała maszyn z naruszonymi zabezpieczeniami do różnych celów, w tym do wydobywania kryptowalut, rozsyłania wiadomości e-mail ze spamem lub używania serwerów proxy do innych ataków.
Smoke Sandstorm
Grupa Smoke Sandstorm (przedtem BOHRIUM/DEV-0056) we wrześniu 2021 r. spowodowała naruszenie bezpieczeństwa kont e-mail w zajmującej się integracją systemów IT firmie z siedzibą w Bahrajnie. Firma ta świadczy usługi w dziedzinie integracji IT podmiotom rządowym Bahrajnu i to prawdopodobnie one były właściwym celem ataku grupy Smoke Sandstorm.
Pistachio Tempest
Grupa Pistachio Tempest (przedtem DEV-0237) to grupa aktywna w szeroko zakrojonej dystrybucji oprogramowania ransomware. Według obserwacji firmy Microsoft, grupa Pistachio Tempest używała zróżnicowanych ładunków ransomware, eksperymentując z programami ransomware jako usługą (RaaS), takimi jak Ryuk i Conti, czy Hive, Nokoyawa oraz — ostatnio — Agenda i Mindware.
Periwinkle Tempest
Grupa Periwinkle Tempest (przedtem DEV-0193) odpowiada za opracowanie i rozpowszechnianie wielu różnych ładunków, w tym Trickbot, Bazaloader i AnchorDNS, oraz za zarządzanie nimi.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Caramel Tsunami
Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia.
Silk Typhoon
W roku 2021 grupa Silk Typhoon (przedtem HAFNIUM) wykorzystała luki w zabezpieczeniach 0-day do zaatakowania lokalnych wersji programu Microsoft Exchange Server podczas ograniczonych i celowanych ataków.
Przeglądaj według tematów
Sztuczna inteligencja
Zabezpieczenia są tylko tak skuteczne, jak nasza analiza zagrożeń
Naruszenie biznesowej poczty e-mail
Omówienie naruszeń biznesowej poczty e-mail
Oprogramowanie wymuszające okup
Ochrona organizacji przed oprogramowaniem wymuszającym okup
Poznaj ekspertów
Profil eksperta: Homa Hayatyfar
Homa Hayatyfar, główny kierownik ds. danych i nauk stosowanych, opisuje stosowanie modeli uczenia maszynowego do wzmacniania obrony jako jeden z wielu sposobów, w jaki sztuczna inteligencja zmienia oblicze zabezpieczeń.
Poznaj ekspertów
Profil eksperta
Umiejscowienie analizy cyberzagrożeń w kontekście geopolitycznym
Profil eksperta
Porada eksperta dotycząca trzech najbardziej trwałych wyzwań w zakresie cyberbezpieczeństwa
Profil eksperta
Analityk luk w zabezpieczeniach Dustin Duran na temat tego, jak myśleć jak atakujący
Odkryj raporty dotyczące analizy
Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2023
Najnowsza edycja Raportu firmy Microsoft na temat ochrony zasobów cyfrowych odkrywa zmieniający się krajobraz zagrożeń oraz omawia możliwości i wyzwania związane z cyberochroną.
Utrzymuj praktyczną ochronę przed cyberzagrożeniami
Higiena cybernetyczna
Podstawowa higiena cybernetyczna zapobiega 99% ataków
Wyszukiwanie zagrożeń
Poznaj podstawy wyszukiwania zagrożeń
Cyberprzestępstwo
Powstrzymywanie cyberprzestępców przed niewłaściwym wykorzystywaniem narzędzi zabezpieczeń
Rozpocznij
Dołącz do Zdarzeń Microsoft
Rozszerz swoją ekspertyzę, zdobądź nowe umiejętności i buduj społeczność dzięki Zdarzeniom Microsoft i możliwościom nauki.
Porozmawiaj z nami
Obserwuj firmę Microsoft