Aflați detalii direct de la experți din podcastul Investigarea amenințărilor Microsoft. Ascultați acum.
Security Insider
Investigarea amenințărilor și detalii practice pentru a rămâne în avantaj
Amenințări noi
Analiza anuală a Investigării amenințărilor pentru anul 2023: Evenimente și detalii cheie
Investigarea amenințărilor Microsoft prezintă principalele tendințe ale actorilor de amenințare în ceea ce privește tehnicile, tacticile și procedurile (TTP) din 2023.
Cele mai recente știri
Rapoarte de investigare
Navigarea printre amenințările cibernetice și întărirea apărării în epoca inteligenței artificiale
Rapoarte de investigare
Iranul sporește brusc operațiunile de influență cu suport cibernetic în sprijinul Hamas
Amenințări noi
Alimentarea din economia bazată pe încredere: frauda prin inginerie socială
Detalii de actor de amenințare
Microsoft Security monitorizează în mod activ actorii de amenințare în contextul activităților observate la nivelul statelor naționale, al ransomware-ului și al infracțiunilor. Aceste detalii reprezintă activitatea publicată în mod public de către cercetătorii din domeniul amenințărilor de la Microsoft Security și oferă un catalog centralizat de profiluri de actori de pe blogurile menționate.
Mint Sandstorm
Mint Sandstorm (anterior PHOSPHORUS) încearcă în mod normal să compromită conturile personale ale persoanelor fizice prin phishingul țintit și utilizând ingineria socială pentru a stabili o legătură cu victimele înainte de a le viza
Manatee Tempest
Manatee Tempest (anterior DEV-0243) este un actor de amenințare care face parte din economia ransomware ca serviciu (RaaS), asociindu-se cu alți actori de amenințare pentru a furniza instrumente de încărcare Cobalt Strike personalizate.
Wine Tempest
Wine Tempest (anterior PARINACOTA) utilizează în mod obișnuit ransomware operat de oameni în cadrul atacurilor, în principal prin implementarea ransomware-ului Wadhrama. Aceștia sunt inventivi, schimbându-și tacticile în funcție de necesități și utilizând mașinile compromise în diverse scopuri, inclusiv pentru extragerea de criptomonede, trimiterea de e-mailuri spam sau ca proxy pentru alte atacuri.
Smoke Sandstorm
Smoke Sandstorm (anterior, BOHRIUM/DEV-0056) a compromis conturile de e-mail de la o firmă de integrare IT din Bahrain în septembrie 2021. Această firmă lucrează la integrarea IT cu clienții instituții guvernamentale din Bahrain, cel mai probabil țintele finale ale Smoke Sandstorm.
Storm-0530
Un grup de actori din Coreea de Nord, pe care Microsoft îl urmărește sub numele Storm-0530 (anterior, DEV-0530) dezvoltă și folosește ransomware în atacuri începând din iunie 2021.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Hazel Sandstorm
Hazel Sandstorm (anterior, EUROPIUM) a fost conectat public cu Ministerul de informații și securitate (MOIS) din Iran. Microsoft a evaluat cu grad sporit de încredere că, pe 15 iulie 2022, actori sponsorizați de guvernul iranian au efectuat un atac cibernetic distructiv împotriva guvernului albanez, perturbând site-urile și serviciile publice ale guvernului.
Cadet Blizzard
Microsoft monitorizează Cadet Blizzard (anterior DEV-0586) ca un actor de amenințare sponsorizat de statul rus, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022.
Pistachio Tempest
Pistachio Tempest (anterior DEV-0237) este o grupare asociată cu distribuirea de ransomware de impact. Microsoft a observat că Pistachio Tempest a utilizat diverse sarcini ransomware de-a lungul timpului, ca urmare a unor experimente ale grupării cu noi oferte de ransomware ca serviciu (RaaS), de la Ryuk și Conti la Hive, Nokoyawa și, cel mai recent, de la Agenda și Mindware.
Periwinkle Tempest
Periwinkle Tempest (anterior DEV-0193) este responsabil pentru dezvoltarea, distribuirea și gestionarea multor sarcini diferite, inclusiv Trickbot, Bazaloader și AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Nylon Typhoon
Nylon Typhoon (anterior, NICKEL) folosește exploatări împotriva sistemelor fără corecții aplicate, pentru a compromite aparatele și serviciile de acces la distanță. După infiltrare, acești actori au folosit malware de furt sau dump de acreditări pentru a obține acreditări legitime pe care le-au folosit apoi pentru a obține acces la conturile victimelor și la sisteme mai importante.
Crimson Sandstorm
Am observat că actorii Crimson Sandstorm (anterior, CURIUM) utilizează o serie de conturi fictive pe rețelele sociale pentru a câștiga încrederea țintelor și a le livra malware prin care ulterior fură date.
Diamond Sleet
Diamond Sleet (anterior ZINC) este un actor de amenințare care desfășoară activități la nivel mondial în numele guvernului nord-coreean. Fiind activ din 2009, Diamond Sleet este recunoscut pentru că-și concentrează atacurile asupra industriei mass-media, apărării, tehnologiei informației și cercetării științifice, inclusiv asupra cercetătorilor de securitate. Obiectivele sale principale includ spionajul, furtul de date, obținerea de beneficii financiare și distrugerea rețelelor.
Gray Sandstorm
Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Mint Sandstorm
Mint Sandstorm (anterior PHOSPHORUS) încearcă în mod normal să compromită conturile personale ale persoanelor fizice prin phishingul țintit și utilizând ingineria socială pentru a stabili o legătură cu victimele înainte de a le viza
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Crimson Sandstorm
Am observat că actorii Crimson Sandstorm (anterior, CURIUM) utilizează o serie de conturi fictive pe rețelele sociale pentru a câștiga încrederea țintelor și a le livra malware prin care ulterior fură date.
Gray Sandstorm
Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Periwinkle Tempest
Periwinkle Tempest (anterior DEV-0193) este responsabil pentru dezvoltarea, distribuirea și gestionarea multor sarcini diferite, inclusiv Trickbot, Bazaloader și AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Cadet Blizzard
Microsoft monitorizează Cadet Blizzard (anterior DEV-0586) ca un actor de amenințare sponsorizat de statul rus, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Mint Sandstorm
Mint Sandstorm (anterior PHOSPHORUS) încearcă în mod normal să compromită conturile personale ale persoanelor fizice prin phishingul țintit și utilizând ingineria socială pentru a stabili o legătură cu victimele înainte de a le viza
Smoke Sandstorm
Smoke Sandstorm (anterior, BOHRIUM/DEV-0056) a compromis conturile de e-mail de la o firmă de integrare IT din Bahrain în septembrie 2021. Această firmă lucrează la integrarea IT cu clienții instituții guvernamentale din Bahrain, cel mai probabil țintele finale ale Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Hazel Sandstorm
Hazel Sandstorm (anterior, EUROPIUM) a fost conectat public cu Ministerul de informații și securitate (MOIS) din Iran. Microsoft a evaluat cu grad sporit de încredere că, pe 15 iulie 2022, actori sponsorizați de guvernul iranian au efectuat un atac cibernetic distructiv împotriva guvernului albanez, perturbând site-urile și serviciile publice ale guvernului.
Cadet Blizzard
Microsoft monitorizează Cadet Blizzard (anterior DEV-0586) ca un actor de amenințare sponsorizat de statul rus, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Nylon Typhoon
Nylon Typhoon (anterior, NICKEL) folosește exploatări împotriva sistemelor fără corecții aplicate, pentru a compromite aparatele și serviciile de acces la distanță. După infiltrare, acești actori au folosit malware de furt sau dump de acreditări pentru a obține acreditări legitime pe care le-au folosit apoi pentru a obține acces la conturile victimelor și la sisteme mai importante.
Crimson Sandstorm
Am observat că actorii Crimson Sandstorm (anterior, CURIUM) utilizează o serie de conturi fictive pe rețelele sociale pentru a câștiga încrederea țintelor și a le livra malware prin care ulterior fură date.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Pistachio Tempest
Pistachio Tempest (anterior DEV-0237) este o grupare asociată cu distribuirea de ransomware de impact. Microsoft a observat că Pistachio Tempest a utilizat diverse sarcini ransomware de-a lungul timpului, ca urmare a unor experimente ale grupării cu noi oferte de ransomware ca serviciu (RaaS), de la Ryuk și Conti la Hive, Nokoyawa și, cel mai recent, de la Agenda și Mindware.
Periwinkle Tempest
Periwinkle Tempest (anterior DEV-0193) este responsabil pentru dezvoltarea, distribuirea și gestionarea multor sarcini diferite, inclusiv Trickbot, Bazaloader și AnchorDNS.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Manatee Tempest
Manatee Tempest (anterior DEV-0243) este un actor de amenințare care face parte din economia ransomware ca serviciu (RaaS), asociindu-se cu alți actori de amenințare pentru a furniza instrumente de încărcare Cobalt Strike personalizate.
Smoke Sandstorm
Smoke Sandstorm (anterior, BOHRIUM/DEV-0056) a compromis conturile de e-mail de la o firmă de integrare IT din Bahrain în septembrie 2021. Această firmă lucrează la integrarea IT cu clienții instituții guvernamentale din Bahrain, cel mai probabil țintele finale ale Smoke Sandstorm.
Storm-0530
Un grup de actori din Coreea de Nord, pe care Microsoft îl urmărește sub numele Storm-0530 (anterior, DEV-0530) dezvoltă și folosește ransomware în atacuri începând din iunie 2021.
Mint Sandstorm
Mint Sandstorm (anterior PHOSPHORUS) încearcă în mod normal să compromită conturile personale ale persoanelor fizice prin phishingul țintit și utilizând ingineria socială pentru a stabili o legătură cu victimele înainte de a le viza
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Nylon Typhoon
Nylon Typhoon (anterior, NICKEL) folosește exploatări împotriva sistemelor fără corecții aplicate, pentru a compromite aparatele și serviciile de acces la distanță. După infiltrare, acești actori au folosit malware de furt sau dump de acreditări pentru a obține acreditări legitime pe care le-au folosit apoi pentru a obține acces la conturile victimelor și la sisteme mai importante.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Diamond Sleet
Diamond Sleet (anterior ZINC) este un actor de amenințare care desfășoară activități la nivel mondial în numele guvernului nord-coreean. Fiind activ din 2009, Diamond Sleet este recunoscut pentru că-și concentrează atacurile asupra industriei mass-media, apărării, tehnologiei informației și cercetării științifice, inclusiv asupra cercetătorilor de securitate. Obiectivele sale principale includ spionajul, furtul de date, obținerea de beneficii financiare și distrugerea rețelelor.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Cadet Blizzard
Microsoft monitorizează Cadet Blizzard (anterior DEV-0586) ca un actor de amenințare sponsorizat de statul rus, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022.
Crimson Sandstorm
Am observat că actorii Crimson Sandstorm (anterior, CURIUM) utilizează o serie de conturi fictive pe rețelele sociale pentru a câștiga încrederea țintelor și a le livra malware prin care ulterior fură date.
Diamond Sleet
Diamond Sleet (anterior ZINC) este un actor de amenințare care desfășoară activități la nivel mondial în numele guvernului nord-coreean. Fiind activ din 2009, Diamond Sleet este recunoscut pentru că-și concentrează atacurile asupra industriei mass-media, apărării, tehnologiei informației și cercetării științifice, inclusiv asupra cercetătorilor de securitate. Obiectivele sale principale includ spionajul, furtul de date, obținerea de beneficii financiare și distrugerea rețelelor.
Gray Sandstorm
Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Diamond Sleet
Diamond Sleet (anterior ZINC) este un actor de amenințare care desfășoară activități la nivel mondial în numele guvernului nord-coreean. Fiind activ din 2009, Diamond Sleet este recunoscut pentru că-și concentrează atacurile asupra industriei mass-media, apărării, tehnologiei informației și cercetării științifice, inclusiv asupra cercetătorilor de securitate. Obiectivele sale principale includ spionajul, furtul de date, obținerea de beneficii financiare și distrugerea rețelelor.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Gray Sandstorm
Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori.
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Smoke Sandstorm
Smoke Sandstorm (anterior, BOHRIUM/DEV-0056) a compromis conturile de e-mail de la o firmă de integrare IT din Bahrain în septembrie 2021. Această firmă lucrează la integrarea IT cu clienții instituții guvernamentale din Bahrain, cel mai probabil țintele finale ale Smoke Sandstorm.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Forest Blizzard
Forest Blizzard (fostul STRONTIUM) utilizează o varietate de tehnici de acces inițial, inclusiv exploatarea aplicațiilor vulnerabile de pe web și, pentru a obține acreditări, phishingul țintit și utilizarea unui instrument automat de spray/forță brută asupra parolelor care funcționează prin TOR
Midnight Blizzard
Actorul pe care Microsoft îl urmărește cu numele Midnight Blizzard (NOBELIUM) este un actor de amenințare din Rusia pe care guvernele din S.U.A. și Regatul Unit îl atribuie Serviciului de informații externe al Federației Ruse, adică SVR.
Volt Typhoon
Actorul pe care Microsoft îl urmărește sub numele de Volt Typhoon este un grup de activități statale cu sediul în China. Volt Typhoon se concentrează pe spionaj, furt de date și accesul la informații de conectare.
Plaid Rain
Începând din februarie 2022, s-a observat că Plaid Rain (anterior, POLONIUM) vizează în principal organizații din Israel, axându-se pe următoarele sectoare de activitate: producție critică, IT și industria de apărare a Israelului.
Hazel Sandstorm
Hazel Sandstorm (anterior, EUROPIUM) a fost conectat public cu Ministerul de informații și securitate (MOIS) din Iran. Microsoft a evaluat cu grad sporit de încredere că, pe 15 iulie 2022, actori sponsorizați de guvernul iranian au efectuat un atac cibernetic distructiv împotriva guvernului albanez, perturbând site-urile și serviciile publice ale guvernului.
Cadet Blizzard
Microsoft monitorizează Cadet Blizzard (anterior DEV-0586) ca un actor de amenințare sponsorizat de statul rus, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022.
Aqua Blizzard
Aqua Blizzard (anterior ACTINIUM) utilizează e-mailuri de phishing țintit cu atașări macro rău intenționate care utilizează șabloane la distanță. Scopul principal al activităților întreprinse de Aqua Blizzard este de a obține un acces persistent la rețelele vizate, prin implementarea de malware personalizat și instrumente comerciale, în scopul colectării de informații.
Nylon Typhoon
Nylon Typhoon (anterior, NICKEL) folosește exploatări împotriva sistemelor fără corecții aplicate, pentru a compromite aparatele și serviciile de acces la distanță. După infiltrare, acești actori au folosit malware de furt sau dump de acreditări pentru a obține acreditări legitime pe care le-au folosit apoi pentru a obține acces la conturile victimelor și la sisteme mai importante.
Crimson Sandstorm
Am observat că actorii Crimson Sandstorm (anterior, CURIUM) utilizează o serie de conturi fictive pe rețelele sociale pentru a câștiga încrederea țintelor și a le livra malware prin care ulterior fură date.
Diamond Sleet
Diamond Sleet (anterior ZINC) este un actor de amenințare care desfășoară activități la nivel mondial în numele guvernului nord-coreean. Fiind activ din 2009, Diamond Sleet este recunoscut pentru că-și concentrează atacurile asupra industriei mass-media, apărării, tehnologiei informației și cercetării științifice, inclusiv asupra cercetătorilor de securitate. Obiectivele sale principale includ spionajul, furtul de date, obținerea de beneficii financiare și distrugerea rețelelor.
Gray Sandstorm
Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori.
Manatee Tempest
Manatee Tempest (anterior DEV-0243) este un actor de amenințare care face parte din economia ransomware ca serviciu (RaaS), asociindu-se cu alți actori de amenințare pentru a furniza instrumente de încărcare Cobalt Strike personalizate.
Wine Tempest
Wine Tempest (anterior PARINACOTA) utilizează în mod obișnuit ransomware operat de oameni în cadrul atacurilor, în principal prin implementarea ransomware-ului Wadhrama. Aceștia sunt inventivi, schimbându-și tacticile în funcție de necesități și utilizând mașinile compromise în diverse scopuri, inclusiv pentru extragerea de criptomonede, trimiterea de e-mailuri spam sau ca proxy pentru alte atacuri.
Smoke Sandstorm
Smoke Sandstorm (anterior, BOHRIUM/DEV-0056) a compromis conturile de e-mail de la o firmă de integrare IT din Bahrain în septembrie 2021. Această firmă lucrează la integrarea IT cu clienții instituții guvernamentale din Bahrain, cel mai probabil țintele finale ale Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (anterior DEV-0237) este o grupare asociată cu distribuirea de ransomware de impact. Microsoft a observat că Pistachio Tempest a utilizat diverse sarcini ransomware de-a lungul timpului, ca urmare a unor experimente ale grupării cu noi oferte de ransomware ca serviciu (RaaS), de la Ryuk și Conti la Hive, Nokoyawa și, cel mai recent, de la Agenda și Mindware.
Periwinkle Tempest
Periwinkle Tempest (anterior DEV-0193) este responsabil pentru dezvoltarea, distribuirea și gestionarea multor sarcini diferite, inclusiv Trickbot, Bazaloader și AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Caramel Tsunami
Caramel Tsunami (anterior SOURGUM) vinde, în general, arme cibernetice, de obicei malware și exploatări ale vulnerabilităților ziua zero, ca parte a unui pachet de hacking-ca-serviciu comercializat către agențiile guvernamentale și alți actori rău intenționați.
Silk Typhoon
În 2021, Silk Typhoon (anterior HAFNIUM) a recurs la exploatări ale vulnerabilităților ziua 0 pentru a ataca versiunile locale ale Microsoft Exchange Server prin atacuri limitate și țintite.
Răsfoiți după subiect
Inteligență artificială
Securitatea nu poate fi mai bună decât investigarea amenințărilor
Compromiterea e-mailului de business
Explicarea compromiterii e-mailului de business
Ransomware
Protejați-vă organizația împotriva ransomware-ului
Faceți cunoștință cu experții
Profilul expertului: Homa Hayatyfar
Homa Hayatyfar, manager principal de date și științe aplicate, descrie utilizarea modelelor bazate pe învățare programată pentru a întări mecanismele de apărare, acesta fiind doar unul dintre numeroasele moduri în care inteligența artificială transformă dimensiunea securității.
Faceți cunoștință cu experții
Profilul expertului
Încadrarea investigării amenințărilor cibernetice într-un context geopolitic
Profilul expertului
Sfaturile experților cu privire la cele mai persistente trei provocări din domeniul securității cibernetice
Profilul expertului
Dustin Duran, cercetător de securitate, despre cum să gândești ca un atacator
Explorați rapoarte de investigare
Raportul de protecție digitală Microsoft 2023
Cea mai recentă ediție a Raportului de protecție digitală Microsoft explorează evoluția amenințărilor și trece în revistă oportunitățile și provocările pe măsură ce ne dezvoltăm reziliența cibernetică.
Mențineți o apărare cibernetică practică
Igiena cibernetică
Principiile de bază ale igienei cibernetice previn 99% dintre atacuri
Detectarea amenințărilor
Învățați ABC-ul căutării active a amenințărilor
Infracțiuni cibernetice
Împiedicând infractorii cibernetici să abuzeze de instrumentele de securitate
Începeți
Participați la evenimentele Microsoft
Extindeți-vă orizonturile, dobândiți competențe noi și clădiți o comunitate cu ajutorul oportunităților de învățare și al evenimentelor Microsoft.
Discutați cu noi
Urmăriți Microsoft