Microsoft Tehdit Analizi Pod Yayını’ndaki uzmanlardan doğrudan içgörüler edinin. Şimdi dinleyin.
Security Insider
Tehdit analizi ve eyleme dönüştürülebilir içgörülerle bir adım öne geçin
Ortaya çıkan yeni tehditler
2023 Tehdit Analizi Yıllık Değerlendirme: Başlıca İçgörüler ve Gelişmeler
Microsoft Tehdit Analizi, tehdit aktörlerinin teknikler, taktikler ve prosedürler (TTP) konusunda 2023 yılındaki başlıca eğilimlerini özetliyor.
En Son Haberler
Analiz raporları
Yapay zeka çağında siber tehditlerin üstesinden gelmek ve savunmayı güçlendirmek
Analiz raporları
İran, Hamas yanlısı siber destekli etki operasyonlarına hız verdi
Ortaya çıkan yeni tehditler
Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı
Tehdit aktörü içgörüleri
Microsoft Güvenlik, gözlemlenen devlet destekli etkinlikler ve fidye yazılımı ve suç etkinlikleri genelinde tehdit aktörlerini aktif olarak takip etmektedir. Bu içgörüler, Microsoft Güvenlik tehdit araştırmacılarının kamuya açık olarak yayımlanan etkinliklerini yansıtır ve referans verilen bloglardan elde edilen aktör profillerinin toplandığı bir katalog sunar.
Mint Sandstorm
Mint Sandstorm (eski adıyla PHOSPHORUS), genellikle hedefli kimlik avı yoluyla veya hedef almadan önce kurbanlarla yakınlık kurmak için sosyal mühendisliği kullanarak bireylerin kişisel hesaplarını ele geçirmeye çalışır
Manatee Tempest
Manatee Tempest (eski adıyla DEV-0243), hizmet olarak fidye yazılımı (RaaS) ekonomisinin bir parçası olan ve özel Cobalt Strike yükleyicileri sağlamak için diğer tehdit aktörleriyle ortaklık yapan bir tehdit aktörüdür.
Wine Tempest
Wine Tempest (eski adıyla PARINACOTA), saldırılarda genellikle insan tarafından yönetilen fidye yazılımları kullanır ve çoğunlukla da Wadhrama fidye yazılımını dağıtır. Oldukça becerikli olan bu grup ihtiyaçlarına göre taktiklerini değiştirir ve ele geçirdiği makineleri kripto madencilik, istenmeyen e-postalar gönderme ve başka saldırılar için ara sunucu yapma gibi çeşitli amaçlar için kullanır.
Smoke Sandstorm
Smoke Sandstorm (eski adıyla BOHRIUM/DEV-0056), Eylül 2021’de Bahreyn merkezli bir BT tümleştirme şirketinin e-posta hesaplarını ele geçirdi. Bu şirket, Bahreyn Hükumeti’nin, Smoke Sandstorm’un nihai hedefi olması muhtemel olan müşterileriyle BT tümleştirmesi üzerinde çalışıyordu.
Storm-0530
Microsoft’un Storm-0530 (eski adıyla DEV-0530) olarak izlediği Kuzey Kore kökenli bir grup aktör, Haziran 2021’den bu yana saldırılarında kendi geliştirdiği fidye yazılımlarını kullanıyor.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Hazel Sandstorm
Hazel Sandstorm’un (eski adıyla EUROPIUM), İran’ın İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu bilinmektedir. Microsoft’un son derece güvenilir değerlendirmesine göre İran hükumeti tarafından desteklenen aktörler, 15 Temmuz 2022’de Arnavutluk hükumetine karşı yıkıcı bir siber saldırı yürütmüş, resmi web sitelerinin ve kamu hizmetlerinin çalışmasını kesintiye uğratmıştır.
Cadet Blizzard
Microsoft, Ocak 2022'nin ortalarında Ukrayna'daki birçok devlet kurumunda meydana gelen yıkıcı ve tahrip edici olayların ardından izlemeye başladığı Cadet Blizzard'ı (eski adıyla DEV-0586), devlet destekli Rus bir tehdit aktörü olarak takip etmektedir.
Pistachio Tempest
Pistachio Tempest (eski adıyla DEV-0237), etkili fidye yazılımı dağıtımıyla ilişkilendirilen bir gruptur. Microsoft, Pistachio Tempest’ın; Ryuk ve Conti’den Hive, Nokoyawa ve son olarak da Agenda ve Mindware’e kadar, yeni hizmet olarak fidye yazılımı (RaaS) tekliflerini denerken çeşitli fidye yazılımı yüklerini kullandığını gözlemledi.
Periwinkle Tempest
Periwinkle Tempest (eski adıyla DEV-0193); Trickbot, Bazaloader ve AnchorDNS dahil olmak üzere birçok farklı zararlı yükün geliştirilmesi, dağıtılması ve yönetilmesinden sorumludur.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Nylon Typhoon
Nylon Typhoon (eski adıyla NICKEL) uzaktan erişim hizmetlerinin ve aletlerinin güvenliğini ihlal etmek için, yama uygulanmamış sistemlerden kötü amaçla yararlanma yöntemini kullanır. Yetkisiz erişimde başarılı olduktan sonra, kimlik bilgisi dökümünü alma veya çalma yazılımlarını kullanarak geçerli kimlik bilgilerini elde eder ve ardından bunları kurban hesaplarına ve daha değerli sistemlere erişebilmek için kullanır.
Crimson Sandstorm
Crimson Sandstorm (eski adıyla CURIUM) aktörlerinin, hedeflerin güvenini kazanmak ve sonrasında da veri sızdıracak kötü amaçlı yazılım bulaştırmak için sahte sosyal medya hesaplarından oluşan bir ağdan yararlandığı gözlemlenmiştir.
Diamond Sleet
Diamond Sleet (eski adıyla ZINC), Kuzey Kore hükumeti adına global etkinliklerde bulunan bir tehdit aktörüdür. En az 2009 yılından bu yana aktif olan Diamond Sleet; casusluk, veri hırsızlığı, finansal kazanç ve ağ yıkımı gibi amaçlarla medya, savunma, bilgi teknolojisi, bilimsel araştırma sektörlerinin yanı sıra güvenlik araştırmacılarını da hedef almasıyla bilinir.
Gray Sandstorm
Gray Sandstorm (eski adıyla DEV-0343), bir Firefox tarayıcısını taklit ederek ve Tor ara sunucu ağında barındırılan IP’leri kullanarak kapsamlı parola püskürtme eylemleri gerçekleştirir. Kurumun boyutuna bağlı olarak genellikle içindeki onlarca veya yüzlerce hesabı hedef alır ve her hesabı onlarca ya da binlerce kez numaralandırır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Mint Sandstorm
Mint Sandstorm (eski adıyla PHOSPHORUS), genellikle hedefli kimlik avı yoluyla veya hedef almadan önce kurbanlarla yakınlık kurmak için sosyal mühendisliği kullanarak bireylerin kişisel hesaplarını ele geçirmeye çalışır
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Crimson Sandstorm
Crimson Sandstorm (eski adıyla CURIUM) aktörlerinin, hedeflerin güvenini kazanmak ve sonrasında da veri sızdıracak kötü amaçlı yazılım bulaştırmak için sahte sosyal medya hesaplarından oluşan bir ağdan yararlandığı gözlemlenmiştir.
Gray Sandstorm
Gray Sandstorm (eski adıyla DEV-0343), bir Firefox tarayıcısını taklit ederek ve Tor ara sunucu ağında barındırılan IP’leri kullanarak kapsamlı parola püskürtme eylemleri gerçekleştirir. Kurumun boyutuna bağlı olarak genellikle içindeki onlarca veya yüzlerce hesabı hedef alır ve her hesabı onlarca ya da binlerce kez numaralandırır.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Periwinkle Tempest
Periwinkle Tempest (eski adıyla DEV-0193); Trickbot, Bazaloader ve AnchorDNS dahil olmak üzere birçok farklı zararlı yükün geliştirilmesi, dağıtılması ve yönetilmesinden sorumludur.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Cadet Blizzard
Microsoft, Ocak 2022'nin ortalarında Ukrayna'daki birçok devlet kurumunda meydana gelen yıkıcı ve tahrip edici olayların ardından izlemeye başladığı Cadet Blizzard'ı (eski adıyla DEV-0586), devlet destekli Rus bir tehdit aktörü olarak takip etmektedir.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Mint Sandstorm
Mint Sandstorm (eski adıyla PHOSPHORUS), genellikle hedefli kimlik avı yoluyla veya hedef almadan önce kurbanlarla yakınlık kurmak için sosyal mühendisliği kullanarak bireylerin kişisel hesaplarını ele geçirmeye çalışır
Smoke Sandstorm
Smoke Sandstorm (eski adıyla BOHRIUM/DEV-0056), Eylül 2021’de Bahreyn merkezli bir BT tümleştirme şirketinin e-posta hesaplarını ele geçirdi. Bu şirket, Bahreyn Hükumeti’nin, Smoke Sandstorm’un nihai hedefi olması muhtemel olan müşterileriyle BT tümleştirmesi üzerinde çalışıyordu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Hazel Sandstorm
Hazel Sandstorm’un (eski adıyla EUROPIUM), İran’ın İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu bilinmektedir. Microsoft’un son derece güvenilir değerlendirmesine göre İran hükumeti tarafından desteklenen aktörler, 15 Temmuz 2022’de Arnavutluk hükumetine karşı yıkıcı bir siber saldırı yürütmüş, resmi web sitelerinin ve kamu hizmetlerinin çalışmasını kesintiye uğratmıştır.
Cadet Blizzard
Microsoft, Ocak 2022'nin ortalarında Ukrayna'daki birçok devlet kurumunda meydana gelen yıkıcı ve tahrip edici olayların ardından izlemeye başladığı Cadet Blizzard'ı (eski adıyla DEV-0586), devlet destekli Rus bir tehdit aktörü olarak takip etmektedir.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Nylon Typhoon
Nylon Typhoon (eski adıyla NICKEL) uzaktan erişim hizmetlerinin ve aletlerinin güvenliğini ihlal etmek için, yama uygulanmamış sistemlerden kötü amaçla yararlanma yöntemini kullanır. Yetkisiz erişimde başarılı olduktan sonra, kimlik bilgisi dökümünü alma veya çalma yazılımlarını kullanarak geçerli kimlik bilgilerini elde eder ve ardından bunları kurban hesaplarına ve daha değerli sistemlere erişebilmek için kullanır.
Crimson Sandstorm
Crimson Sandstorm (eski adıyla CURIUM) aktörlerinin, hedeflerin güvenini kazanmak ve sonrasında da veri sızdıracak kötü amaçlı yazılım bulaştırmak için sahte sosyal medya hesaplarından oluşan bir ağdan yararlandığı gözlemlenmiştir.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Pistachio Tempest
Pistachio Tempest (eski adıyla DEV-0237), etkili fidye yazılımı dağıtımıyla ilişkilendirilen bir gruptur. Microsoft, Pistachio Tempest’ın; Ryuk ve Conti’den Hive, Nokoyawa ve son olarak da Agenda ve Mindware’e kadar, yeni hizmet olarak fidye yazılımı (RaaS) tekliflerini denerken çeşitli fidye yazılımı yüklerini kullandığını gözlemledi.
Periwinkle Tempest
Periwinkle Tempest (eski adıyla DEV-0193); Trickbot, Bazaloader ve AnchorDNS dahil olmak üzere birçok farklı zararlı yükün geliştirilmesi, dağıtılması ve yönetilmesinden sorumludur.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Manatee Tempest
Manatee Tempest (eski adıyla DEV-0243), hizmet olarak fidye yazılımı (RaaS) ekonomisinin bir parçası olan ve özel Cobalt Strike yükleyicileri sağlamak için diğer tehdit aktörleriyle ortaklık yapan bir tehdit aktörüdür.
Smoke Sandstorm
Smoke Sandstorm (eski adıyla BOHRIUM/DEV-0056), Eylül 2021’de Bahreyn merkezli bir BT tümleştirme şirketinin e-posta hesaplarını ele geçirdi. Bu şirket, Bahreyn Hükumeti’nin, Smoke Sandstorm’un nihai hedefi olması muhtemel olan müşterileriyle BT tümleştirmesi üzerinde çalışıyordu.
Storm-0530
Microsoft’un Storm-0530 (eski adıyla DEV-0530) olarak izlediği Kuzey Kore kökenli bir grup aktör, Haziran 2021’den bu yana saldırılarında kendi geliştirdiği fidye yazılımlarını kullanıyor.
Mint Sandstorm
Mint Sandstorm (eski adıyla PHOSPHORUS), genellikle hedefli kimlik avı yoluyla veya hedef almadan önce kurbanlarla yakınlık kurmak için sosyal mühendisliği kullanarak bireylerin kişisel hesaplarını ele geçirmeye çalışır
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Nylon Typhoon
Nylon Typhoon (eski adıyla NICKEL) uzaktan erişim hizmetlerinin ve aletlerinin güvenliğini ihlal etmek için, yama uygulanmamış sistemlerden kötü amaçla yararlanma yöntemini kullanır. Yetkisiz erişimde başarılı olduktan sonra, kimlik bilgisi dökümünü alma veya çalma yazılımlarını kullanarak geçerli kimlik bilgilerini elde eder ve ardından bunları kurban hesaplarına ve daha değerli sistemlere erişebilmek için kullanır.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Diamond Sleet
Diamond Sleet (eski adıyla ZINC), Kuzey Kore hükumeti adına global etkinliklerde bulunan bir tehdit aktörüdür. En az 2009 yılından bu yana aktif olan Diamond Sleet; casusluk, veri hırsızlığı, finansal kazanç ve ağ yıkımı gibi amaçlarla medya, savunma, bilgi teknolojisi, bilimsel araştırma sektörlerinin yanı sıra güvenlik araştırmacılarını da hedef almasıyla bilinir.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Cadet Blizzard
Microsoft, Ocak 2022'nin ortalarında Ukrayna'daki birçok devlet kurumunda meydana gelen yıkıcı ve tahrip edici olayların ardından izlemeye başladığı Cadet Blizzard'ı (eski adıyla DEV-0586), devlet destekli Rus bir tehdit aktörü olarak takip etmektedir.
Crimson Sandstorm
Crimson Sandstorm (eski adıyla CURIUM) aktörlerinin, hedeflerin güvenini kazanmak ve sonrasında da veri sızdıracak kötü amaçlı yazılım bulaştırmak için sahte sosyal medya hesaplarından oluşan bir ağdan yararlandığı gözlemlenmiştir.
Diamond Sleet
Diamond Sleet (eski adıyla ZINC), Kuzey Kore hükumeti adına global etkinliklerde bulunan bir tehdit aktörüdür. En az 2009 yılından bu yana aktif olan Diamond Sleet; casusluk, veri hırsızlığı, finansal kazanç ve ağ yıkımı gibi amaçlarla medya, savunma, bilgi teknolojisi, bilimsel araştırma sektörlerinin yanı sıra güvenlik araştırmacılarını da hedef almasıyla bilinir.
Gray Sandstorm
Gray Sandstorm (eski adıyla DEV-0343), bir Firefox tarayıcısını taklit ederek ve Tor ara sunucu ağında barındırılan IP’leri kullanarak kapsamlı parola püskürtme eylemleri gerçekleştirir. Kurumun boyutuna bağlı olarak genellikle içindeki onlarca veya yüzlerce hesabı hedef alır ve her hesabı onlarca ya da binlerce kez numaralandırır.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Diamond Sleet
Diamond Sleet (eski adıyla ZINC), Kuzey Kore hükumeti adına global etkinliklerde bulunan bir tehdit aktörüdür. En az 2009 yılından bu yana aktif olan Diamond Sleet; casusluk, veri hırsızlığı, finansal kazanç ve ağ yıkımı gibi amaçlarla medya, savunma, bilgi teknolojisi, bilimsel araştırma sektörlerinin yanı sıra güvenlik araştırmacılarını da hedef almasıyla bilinir.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Gray Sandstorm
Gray Sandstorm (eski adıyla DEV-0343), bir Firefox tarayıcısını taklit ederek ve Tor ara sunucu ağında barındırılan IP’leri kullanarak kapsamlı parola püskürtme eylemleri gerçekleştirir. Kurumun boyutuna bağlı olarak genellikle içindeki onlarca veya yüzlerce hesabı hedef alır ve her hesabı onlarca ya da binlerce kez numaralandırır.
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Smoke Sandstorm
Smoke Sandstorm (eski adıyla BOHRIUM/DEV-0056), Eylül 2021’de Bahreyn merkezli bir BT tümleştirme şirketinin e-posta hesaplarını ele geçirdi. Bu şirket, Bahreyn Hükumeti’nin, Smoke Sandstorm’un nihai hedefi olması muhtemel olan müşterileriyle BT tümleştirmesi üzerinde çalışıyordu.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Forest Blizzard
Forest Blizzard (eski adıyla STRONTIUM); web’e dönük uygulamalara yönelik güvenlik açıklarından kötü amaçla yararlanmak, ve kimlik bilgilerini elde etmek için TOR aracılığıyla çalışan otomatik parola spreyi/deneme yanılma araçlarını ve hedefli kimlik avını kullanmak da dahil olmak üzere çeşitli ilk erişim tekniklerinden faydalanır
Midnight Blizzard
Microsoft'un Midnight Blizzard (NOBELIUM) olarak izlediği aktör, ABD ve İngiltere hükumetleri tarafından Rusya Federasyonu’nun Dış İstihbarat Servisi olarak tanımlanan ve SVR olarak da bilinen, Rusya merkezli bir tehdit aktörüdür.
Volt Typhoon
Microsoft’un Volt Typhoon olarak izlediği aktör, faaliyetlerini genellikle Çin’in dışından yürüten devlet destekli bir etkinlik grubudur. Volt Typhoon casusluk, veri hırsızlığı ve kimlik bilgisi erişimine odaklanır.
Plaid Rain
Şubat 2022'den bu yana Plaid Rain'in (eski adıyla POLONIUM) öncelikli olarak İsrail'deki kurumları hedef aldığı ve kritik üretim ve BT’nin yanı sıra İsrail'in savunma sanayisine odaklandığı gözlemlenmiştir.
Hazel Sandstorm
Hazel Sandstorm’un (eski adıyla EUROPIUM), İran’ın İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu bilinmektedir. Microsoft’un son derece güvenilir değerlendirmesine göre İran hükumeti tarafından desteklenen aktörler, 15 Temmuz 2022’de Arnavutluk hükumetine karşı yıkıcı bir siber saldırı yürütmüş, resmi web sitelerinin ve kamu hizmetlerinin çalışmasını kesintiye uğratmıştır.
Cadet Blizzard
Microsoft, Ocak 2022'nin ortalarında Ukrayna'daki birçok devlet kurumunda meydana gelen yıkıcı ve tahrip edici olayların ardından izlemeye başladığı Cadet Blizzard'ı (eski adıyla DEV-0586), devlet destekli Rus bir tehdit aktörü olarak takip etmektedir.
Aqua Blizzard
Aqua Blizzard (eski adıyla ACTINIUM), uzak şablonlar kullanan kötü amaçlı makro ekleri içeren, hedefli kimlik avı e-postaları kullanmaktadır. Aqua Blizzard etkinliklerinin başlıca hedefi, bilgi toplama amacıyla özel kötü amaçlı yazılımlar ve ticari araçlar dağıtarak hedeflenen ağlara kalıcı erişim sağlamaktır.
Nylon Typhoon
Nylon Typhoon (eski adıyla NICKEL) uzaktan erişim hizmetlerinin ve aletlerinin güvenliğini ihlal etmek için, yama uygulanmamış sistemlerden kötü amaçla yararlanma yöntemini kullanır. Yetkisiz erişimde başarılı olduktan sonra, kimlik bilgisi dökümünü alma veya çalma yazılımlarını kullanarak geçerli kimlik bilgilerini elde eder ve ardından bunları kurban hesaplarına ve daha değerli sistemlere erişebilmek için kullanır.
Crimson Sandstorm
Crimson Sandstorm (eski adıyla CURIUM) aktörlerinin, hedeflerin güvenini kazanmak ve sonrasında da veri sızdıracak kötü amaçlı yazılım bulaştırmak için sahte sosyal medya hesaplarından oluşan bir ağdan yararlandığı gözlemlenmiştir.
Diamond Sleet
Diamond Sleet (eski adıyla ZINC), Kuzey Kore hükumeti adına global etkinliklerde bulunan bir tehdit aktörüdür. En az 2009 yılından bu yana aktif olan Diamond Sleet; casusluk, veri hırsızlığı, finansal kazanç ve ağ yıkımı gibi amaçlarla medya, savunma, bilgi teknolojisi, bilimsel araştırma sektörlerinin yanı sıra güvenlik araştırmacılarını da hedef almasıyla bilinir.
Gray Sandstorm
Gray Sandstorm (eski adıyla DEV-0343), bir Firefox tarayıcısını taklit ederek ve Tor ara sunucu ağında barındırılan IP’leri kullanarak kapsamlı parola püskürtme eylemleri gerçekleştirir. Kurumun boyutuna bağlı olarak genellikle içindeki onlarca veya yüzlerce hesabı hedef alır ve her hesabı onlarca ya da binlerce kez numaralandırır.
Manatee Tempest
Manatee Tempest (eski adıyla DEV-0243), hizmet olarak fidye yazılımı (RaaS) ekonomisinin bir parçası olan ve özel Cobalt Strike yükleyicileri sağlamak için diğer tehdit aktörleriyle ortaklık yapan bir tehdit aktörüdür.
Wine Tempest
Wine Tempest (eski adıyla PARINACOTA), saldırılarda genellikle insan tarafından yönetilen fidye yazılımları kullanır ve çoğunlukla da Wadhrama fidye yazılımını dağıtır. Oldukça becerikli olan bu grup ihtiyaçlarına göre taktiklerini değiştirir ve ele geçirdiği makineleri kripto madencilik, istenmeyen e-postalar gönderme ve başka saldırılar için ara sunucu yapma gibi çeşitli amaçlar için kullanır.
Smoke Sandstorm
Smoke Sandstorm (eski adıyla BOHRIUM/DEV-0056), Eylül 2021’de Bahreyn merkezli bir BT tümleştirme şirketinin e-posta hesaplarını ele geçirdi. Bu şirket, Bahreyn Hükumeti’nin, Smoke Sandstorm’un nihai hedefi olması muhtemel olan müşterileriyle BT tümleştirmesi üzerinde çalışıyordu.
Pistachio Tempest
Pistachio Tempest (eski adıyla DEV-0237), etkili fidye yazılımı dağıtımıyla ilişkilendirilen bir gruptur. Microsoft, Pistachio Tempest’ın; Ryuk ve Conti’den Hive, Nokoyawa ve son olarak da Agenda ve Mindware’e kadar, yeni hizmet olarak fidye yazılımı (RaaS) tekliflerini denerken çeşitli fidye yazılımı yüklerini kullandığını gözlemledi.
Periwinkle Tempest
Periwinkle Tempest (eski adıyla DEV-0193); Trickbot, Bazaloader ve AnchorDNS dahil olmak üzere birçok farklı zararlı yükün geliştirilmesi, dağıtılması ve yönetilmesinden sorumludur.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Caramel Tsunami
Caramel Tsunami (eski adıyla SOURGUM), devlet kurumlarına ve diğer kötü amaçlı aktörlere satılan, hizmet olarak korsanlık paketinin bir parçası olarak genellikle siber silahlar, kötü amaçlı yazılım ve sıfır gün açığı araçları satmaktadır.
Silk Typhoon
2021 yılında Silk Typhoon (eski adıyla HAFNIUM), sınırlı sayıdaki hedefli saldırılarında Microsoft Exchange Server’ın şirket içi sürümlerine, 0 gün açıklarını kullanarak saldırıda bulundu.
Konuya göre göz atın
AI
Tehdit analiziniz ne kadar iyiyse o kadar güvende olursunuz
İş e-postalarının ele geçirilmesi
İş e-postalarının ele geçirilmesine derinlemesine bir bakış
Fidye yazılımı
Kurumunuzu fidye yazılımlarına karşı koruyun
Uzmanlarla Tanışın
Uzman profili: Homa Hayatyfar
Veri ve Uygulamalı Bilim Müdürü Homa Hayatyfar, yapay zekanın güvenlik alanında değiştirdiği pek çok şeyden sadece biri olan savunmayı güçlendirmede makine öğrenmesi modellerinin kullanımını anlatıyor.
Uzmanlarla tanışın
Uzman profili
Siber tehdit bilgilerini jeopolitik bağlama oturtmak
Uzman profili
Siber güvenliğin en inatçı üç zorluğuna ilişkin uzman tavsiyesi
Uzman profili
Güvenlik araştırmacısı Dustin Duran, saldırganlar gibi düşünebilmeyi anlatıyor
Analiz raporlarını keşfedin
Microsoft Dijital Savunma Raporu 2023
Microsoft Dijital Savunma Raporu’nun son sayısı, gelişen tehdit ortamını inceliyor ve siber saldırılara karşı dayanıklılık kazanma yolculuğumuzda karşımıza çıkan fırsat ve zorluklardan bahsediyor.
Pratik siber savunmaya devam edin
Siber hijyen
Temel siber hijyen, saldırıların %99’una engel olur
Tehdit avcılığı
Tehdit Avcılığının ABC’sini öğrenin
Siber Suç
Siber suçluların güvenlik araçlarını kötüye kullanmasını engelleme
İşe koyulun
Microsoft etkinliklerine katılın
Microsoft etkinlikleri ve öğrenim fırsatlarıyla uzmanlığınızı genişletin, yeni beceriler öğrenin ve topluluk oluşturun.
Bizimle konuşun
Microsoft’u takip edin