Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Security Insider
Аналіз загроз і корисна аналітика, які допоможуть завжди бути на крок попереду
Нові загрози
Огляд аналізу кіберзагроз у 2023 р.: ключові аналітичні висновки й розробки
Аналіз загроз Microsoft підсумовує відомості про головні тенденції у світі кіберзагроз: прийоми, методи й процедури зловмисників у 2023 році.
Останні новини
Звіти аналітики
Дослідження кіберзагроз і зміцнення захисту в епоху ШІ
Звіти аналітики
Використання Іраном операцій кібервпливу для підтримки ХАМАС
Нові загрози
Наживання на довірі: шахрайство з використанням соціотехніки
Аналітика джерел загрози
Захисний комплекс Microsoft активно відстежує джерела загроз у державах, зловмисні програми з вимогою викупу та злочинну діяльність. Ці аналітичні висновки представляють собою опубліковані відомості про діяльність дослідників загроз Захисного комплексу Microsoft і надають централізований каталог профілів зі згаданих блоґів.
Mint Sandstorm
Mint Sandstorm (попередня назва – PHOSPHORUS) зазвичай уражає особисті облікові записи користувачів за допомогою цільового фішингу та соціотехніки, спершу налагодивши довірливі відносини зі своїми цілями
Manatee Tempest
Manatee Tempest (попередня назва – DEV-0243) – це джерело загрози, що належить до економіки "зловмисні програми з вимогою викупу як послуга" (RaaS) і співпрацює з іншими джерелами загрози, щоб надавати спеціальні завантажувачі Cobalt Strike.
Wine Tempest
Wine Tempest (попередня назва – PARINACOTA) зазвичай використовує для атак зловмисні програми з вимогою викупу, якими керує людина, найчастіше розгортаючи зловмисну програму з вимогою викупу Wadhrama. Ці зловмисники мають значні ресурси, змінюють тактику відповідно до своїх потреб і використовують уражені комп’ютери для різних цілей, зокрема майнінгу криптовалюти, надсилання спаму електронною поштою або використання проксі-серверів для інших атак.
Smoke Sandstorm
У вересні 2021 року джерело загрози Smoke Sandstorm (попередня назва – BOHRIUM/DEV-0056) уразило облікові записи електронної пошти компанії в Бахрейні, яка спеціалізується на інтегруванні ІТ-рішень. Вона обслуговує клієнтів уряду Бахрейну, які, ймовірно, і були основними цілями хакерів Smoke Sandstorm.
Storm-0530
Група джерел загроз із Північної Кореї, яку корпорація Майкрософт відстежує під назвою Storm-0530 (раніше – DEV-0530), розширює діяльність із 2021 року й використовує для атак програми з вимогою викупу.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Hazel Sandstorm
Джерело загрози Hazel Sandstorm (попередня назва – EUROPIUM) публічно пов’язане з Міністерством розвідки та національної безпеки Ірану. Корпорація Майкрософт вважає достовірними відомості про те, що 15 липня 2022 року джерела загроз, які фінансує Іран, здійснили руйнівну кібератаку на уряд Албанії, порушивши роботу державних веб-сайтів і служб.
Cadet Blizzard
Корпорації Майкрософт відомо, що Cadet Blizzard (колишня назва – DEV-0586) – це хакерська група, яку фінансує уряд Росії. Відстежувати групу почали після нищівних подій, які сталися в урядових установах України в середині січня 2022 року.
Pistachio Tempest
Pistachio Tempest (попередня назва – DEV-0237) – це група, яка розповсюджує потужні зловмисні програми з вимогою викупу. Корпорація Майкрософт спостерігала, як Pistachio Tempest із часом використовувала різні зловмисні програми з вимогою викупу, коли група експериментувала з новими пропозиціями зловмисних програм із вимогою викупу як послуги (RaaS), від Ryuk і Conti до Hive, Nokoyawa та, з недавніх пір, Agenda й Mindware.
Periwinkle Tempest
Хакерська група Periwinkle Tempest (попередня назва – DEV-0193) відповідає за розробку й поширення багатьох різних корисних даних, зокрема Trickbot, Bazaloader та AnchorDNS, а також керування ними.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Nylon Typhoon
Nylon Typhoon (попередня назва – NICKEL) використовує експлойт у системах із несправностями, щоб уразити служби й спецпристрої для віддаленого доступу. Після успішного вторгнення ці зловмисники отримували справжні облікові дані за допомогою підробних копій даних або засобів для крадіжки. Таким чином вони отримували доступ до облікових записів своєї цілі й могли проникнути у важливі системи.
Crimson Sandstorm
Джерело загрози Crimson Sandstorm (попередня назва – CURIUM) використовувало мережу фальшивих облікових записів у соціальних мережах, щоб утертися в довіру до своїх цілей, а потім запустити зловмисні програми й заволодіти даними.
Diamond Sleet
Diamond Sleet (колишня назва – ZINC) – це джерело загроз, яке здійснює операції в усьому світі за підтримки уряду Північної Кореї. Відомо, що Diamond Sleet діє з 2009 року. Група атакує ЗМІ, підприємства у сферах оборони, інформаційних технології, наукових досліджень і досліджень у галузі безпеки. Основний акцент зловмисники ставлять на шпіонажі, крадіжці даних, руйнуванні мереж, а також отриманні фінансової вигоди.
Gray Sandstorm
Gray Sandstorm (попередня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервері мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис від десятків до тисяч разів.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Mint Sandstorm
Mint Sandstorm (попередня назва – PHOSPHORUS) зазвичай уражає особисті облікові записи користувачів за допомогою цільового фішингу та соціотехніки, спершу налагодивши довірливі відносини зі своїми цілями
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Crimson Sandstorm
Джерело загрози Crimson Sandstorm (попередня назва – CURIUM) використовувало мережу фальшивих облікових записів у соціальних мережах, щоб утертися в довіру до своїх цілей, а потім запустити зловмисні програми й заволодіти даними.
Gray Sandstorm
Gray Sandstorm (попередня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервері мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис від десятків до тисяч разів.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Periwinkle Tempest
Хакерська група Periwinkle Tempest (попередня назва – DEV-0193) відповідає за розробку й поширення багатьох різних корисних даних, зокрема Trickbot, Bazaloader та AnchorDNS, а також керування ними.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Cadet Blizzard
Корпорації Майкрософт відомо, що Cadet Blizzard (колишня назва – DEV-0586) – це хакерська група, яку фінансує уряд Росії. Відстежувати групу почали після нищівних подій, які сталися в урядових установах України в середині січня 2022 року.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Mint Sandstorm
Mint Sandstorm (попередня назва – PHOSPHORUS) зазвичай уражає особисті облікові записи користувачів за допомогою цільового фішингу та соціотехніки, спершу налагодивши довірливі відносини зі своїми цілями
Smoke Sandstorm
У вересні 2021 року джерело загрози Smoke Sandstorm (попередня назва – BOHRIUM/DEV-0056) уразило облікові записи електронної пошти компанії в Бахрейні, яка спеціалізується на інтегруванні ІТ-рішень. Вона обслуговує клієнтів уряду Бахрейну, які, ймовірно, і були основними цілями хакерів Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Hazel Sandstorm
Джерело загрози Hazel Sandstorm (попередня назва – EUROPIUM) публічно пов’язане з Міністерством розвідки та національної безпеки Ірану. Корпорація Майкрософт вважає достовірними відомості про те, що 15 липня 2022 року джерела загроз, які фінансує Іран, здійснили руйнівну кібератаку на уряд Албанії, порушивши роботу державних веб-сайтів і служб.
Cadet Blizzard
Корпорації Майкрософт відомо, що Cadet Blizzard (колишня назва – DEV-0586) – це хакерська група, яку фінансує уряд Росії. Відстежувати групу почали після нищівних подій, які сталися в урядових установах України в середині січня 2022 року.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Nylon Typhoon
Nylon Typhoon (попередня назва – NICKEL) використовує експлойт у системах із несправностями, щоб уразити служби й спецпристрої для віддаленого доступу. Після успішного вторгнення ці зловмисники отримували справжні облікові дані за допомогою підробних копій даних або засобів для крадіжки. Таким чином вони отримували доступ до облікових записів своєї цілі й могли проникнути у важливі системи.
Crimson Sandstorm
Джерело загрози Crimson Sandstorm (попередня назва – CURIUM) використовувало мережу фальшивих облікових записів у соціальних мережах, щоб утертися в довіру до своїх цілей, а потім запустити зловмисні програми й заволодіти даними.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Pistachio Tempest
Pistachio Tempest (попередня назва – DEV-0237) – це група, яка розповсюджує потужні зловмисні програми з вимогою викупу. Корпорація Майкрософт спостерігала, як Pistachio Tempest із часом використовувала різні зловмисні програми з вимогою викупу, коли група експериментувала з новими пропозиціями зловмисних програм із вимогою викупу як послуги (RaaS), від Ryuk і Conti до Hive, Nokoyawa та, з недавніх пір, Agenda й Mindware.
Periwinkle Tempest
Хакерська група Periwinkle Tempest (попередня назва – DEV-0193) відповідає за розробку й поширення багатьох різних корисних даних, зокрема Trickbot, Bazaloader та AnchorDNS, а також керування ними.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Manatee Tempest
Manatee Tempest (попередня назва – DEV-0243) – це джерело загрози, що належить до економіки "зловмисні програми з вимогою викупу як послуга" (RaaS) і співпрацює з іншими джерелами загрози, щоб надавати спеціальні завантажувачі Cobalt Strike.
Smoke Sandstorm
У вересні 2021 року джерело загрози Smoke Sandstorm (попередня назва – BOHRIUM/DEV-0056) уразило облікові записи електронної пошти компанії в Бахрейні, яка спеціалізується на інтегруванні ІТ-рішень. Вона обслуговує клієнтів уряду Бахрейну, які, ймовірно, і були основними цілями хакерів Smoke Sandstorm.
Storm-0530
Група джерел загроз із Північної Кореї, яку корпорація Майкрософт відстежує під назвою Storm-0530 (раніше – DEV-0530), розширює діяльність із 2021 року й використовує для атак програми з вимогою викупу.
Mint Sandstorm
Mint Sandstorm (попередня назва – PHOSPHORUS) зазвичай уражає особисті облікові записи користувачів за допомогою цільового фішингу та соціотехніки, спершу налагодивши довірливі відносини зі своїми цілями
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Nylon Typhoon
Nylon Typhoon (попередня назва – NICKEL) використовує експлойт у системах із несправностями, щоб уразити служби й спецпристрої для віддаленого доступу. Після успішного вторгнення ці зловмисники отримували справжні облікові дані за допомогою підробних копій даних або засобів для крадіжки. Таким чином вони отримували доступ до облікових записів своєї цілі й могли проникнути у важливі системи.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Diamond Sleet
Diamond Sleet (колишня назва – ZINC) – це джерело загроз, яке здійснює операції в усьому світі за підтримки уряду Північної Кореї. Відомо, що Diamond Sleet діє з 2009 року. Група атакує ЗМІ, підприємства у сферах оборони, інформаційних технології, наукових досліджень і досліджень у галузі безпеки. Основний акцент зловмисники ставлять на шпіонажі, крадіжці даних, руйнуванні мереж, а також отриманні фінансової вигоди.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Cadet Blizzard
Корпорації Майкрософт відомо, що Cadet Blizzard (колишня назва – DEV-0586) – це хакерська група, яку фінансує уряд Росії. Відстежувати групу почали після нищівних подій, які сталися в урядових установах України в середині січня 2022 року.
Crimson Sandstorm
Джерело загрози Crimson Sandstorm (попередня назва – CURIUM) використовувало мережу фальшивих облікових записів у соціальних мережах, щоб утертися в довіру до своїх цілей, а потім запустити зловмисні програми й заволодіти даними.
Diamond Sleet
Diamond Sleet (колишня назва – ZINC) – це джерело загроз, яке здійснює операції в усьому світі за підтримки уряду Північної Кореї. Відомо, що Diamond Sleet діє з 2009 року. Група атакує ЗМІ, підприємства у сферах оборони, інформаційних технології, наукових досліджень і досліджень у галузі безпеки. Основний акцент зловмисники ставлять на шпіонажі, крадіжці даних, руйнуванні мереж, а також отриманні фінансової вигоди.
Gray Sandstorm
Gray Sandstorm (попередня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервері мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис від десятків до тисяч разів.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Diamond Sleet
Diamond Sleet (колишня назва – ZINC) – це джерело загроз, яке здійснює операції в усьому світі за підтримки уряду Північної Кореї. Відомо, що Diamond Sleet діє з 2009 року. Група атакує ЗМІ, підприємства у сферах оборони, інформаційних технології, наукових досліджень і досліджень у галузі безпеки. Основний акцент зловмисники ставлять на шпіонажі, крадіжці даних, руйнуванні мереж, а також отриманні фінансової вигоди.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Gray Sandstorm
Gray Sandstorm (попередня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервері мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис від десятків до тисяч разів.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Smoke Sandstorm
У вересні 2021 року джерело загрози Smoke Sandstorm (попередня назва – BOHRIUM/DEV-0056) уразило облікові записи електронної пошти компанії в Бахрейні, яка спеціалізується на інтегруванні ІТ-рішень. Вона обслуговує клієнтів уряду Бахрейну, які, ймовірно, і були основними цілями хакерів Smoke Sandstorm.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Forest Blizzard
Forest Blizzard (попередня назва – STRONTIUM) використовує різні прийоми для отримання первинного доступу, зокрема за допомогою вразливих веб-версій програм отримує облікові дані, здійснює цільовий фішинг і розгортає автоматичні інструменти, які працюють через Tor, для розпорошувальних атак через паролі і атак прямим добором.
Midnight Blizzard
Суб’єкт, якого корпорація Майкрософт під назвою Midnight Blizzard (NOBELIUM) – це джерело загроз із Росії, якого уряди США й Великобританії пов’язують зі службою зовнішньої розвідки Російської Федерації, або СЗР.
Volt Typhoon
Джерело загрози, яке корпорація Майкрософт відстежує під назвою Volt Typhoon, є групою дій із Китаю з підтримкою з боку держави. Volt Typhoon зосереджується на шпигунстві, крадіжці даних і доступі до облікових даних.
Plaid Rain
Ми спостерігали, що з лютого 2022 року суб’єкт Plaid Rain (попередня назва – POLONIUM) націлював свої атаки на Ізраїль, особливо на стратегічні промислові підприємства, ІТ-компанії та оборонний комплекс цієї країни.
Hazel Sandstorm
Джерело загрози Hazel Sandstorm (попередня назва – EUROPIUM) публічно пов’язане з Міністерством розвідки та національної безпеки Ірану. Корпорація Майкрософт вважає достовірними відомості про те, що 15 липня 2022 року джерела загроз, які фінансує Іран, здійснили руйнівну кібератаку на уряд Албанії, порушивши роботу державних веб-сайтів і служб.
Cadet Blizzard
Корпорації Майкрософт відомо, що Cadet Blizzard (колишня назва – DEV-0586) – це хакерська група, яку фінансує уряд Росії. Відстежувати групу почали після нищівних подій, які сталися в урядових установах України в середині січня 2022 року.
Aqua Blizzard
Aqua Blizzard (попередня назва – ACTINIUM) використовує для цільового фішингу електронні листи з вкладеними зловмисними макросами, які розгортають віддалені шаблони. Основна мета операцій Aqua Blizzard – отримати постійний доступ до мереж своїх цілей, розгорнувши спеціальні програмні й комерційні інструменти, для збору розвідувальних даних.
Nylon Typhoon
Nylon Typhoon (попередня назва – NICKEL) використовує експлойт у системах із несправностями, щоб уразити служби й спецпристрої для віддаленого доступу. Після успішного вторгнення ці зловмисники отримували справжні облікові дані за допомогою підробних копій даних або засобів для крадіжки. Таким чином вони отримували доступ до облікових записів своєї цілі й могли проникнути у важливі системи.
Crimson Sandstorm
Джерело загрози Crimson Sandstorm (попередня назва – CURIUM) використовувало мережу фальшивих облікових записів у соціальних мережах, щоб утертися в довіру до своїх цілей, а потім запустити зловмисні програми й заволодіти даними.
Diamond Sleet
Diamond Sleet (колишня назва – ZINC) – це джерело загроз, яке здійснює операції в усьому світі за підтримки уряду Північної Кореї. Відомо, що Diamond Sleet діє з 2009 року. Група атакує ЗМІ, підприємства у сферах оборони, інформаційних технології, наукових досліджень і досліджень у галузі безпеки. Основний акцент зловмисники ставлять на шпіонажі, крадіжці даних, руйнуванні мереж, а також отриманні фінансової вигоди.
Gray Sandstorm
Gray Sandstorm (попередня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервері мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис від десятків до тисяч разів.
Manatee Tempest
Manatee Tempest (попередня назва – DEV-0243) – це джерело загрози, що належить до економіки "зловмисні програми з вимогою викупу як послуга" (RaaS) і співпрацює з іншими джерелами загрози, щоб надавати спеціальні завантажувачі Cobalt Strike.
Wine Tempest
Wine Tempest (попередня назва – PARINACOTA) зазвичай використовує для атак зловмисні програми з вимогою викупу, якими керує людина, найчастіше розгортаючи зловмисну програму з вимогою викупу Wadhrama. Ці зловмисники мають значні ресурси, змінюють тактику відповідно до своїх потреб і використовують уражені комп’ютери для різних цілей, зокрема майнінгу криптовалюти, надсилання спаму електронною поштою або використання проксі-серверів для інших атак.
Smoke Sandstorm
У вересні 2021 року джерело загрози Smoke Sandstorm (попередня назва – BOHRIUM/DEV-0056) уразило облікові записи електронної пошти компанії в Бахрейні, яка спеціалізується на інтегруванні ІТ-рішень. Вона обслуговує клієнтів уряду Бахрейну, які, ймовірно, і були основними цілями хакерів Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (попередня назва – DEV-0237) – це група, яка розповсюджує потужні зловмисні програми з вимогою викупу. Корпорація Майкрософт спостерігала, як Pistachio Tempest із часом використовувала різні зловмисні програми з вимогою викупу, коли група експериментувала з новими пропозиціями зловмисних програм із вимогою викупу як послуги (RaaS), від Ryuk і Conti до Hive, Nokoyawa та, з недавніх пір, Agenda й Mindware.
Periwinkle Tempest
Хакерська група Periwinkle Tempest (попередня назва – DEV-0193) відповідає за розробку й поширення багатьох різних корисних даних, зокрема Trickbot, Bazaloader та AnchorDNS, а також керування ними.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Caramel Tsunami
Caramel Tsunami (попередня назва – SOURGUM) зазвичай продає кіберзброю (переважно зловмисні програми та експлойти для атак нульового дня) за моделлю "хакерство як послуга" державним установам та іншим джерелам загроз.
Silk Typhoon
У 2021 р. група Silk Typhoon (попередня назва – HAFNIUM) прицільними уражала локальне ПЗ Microsoft Exchange Server атаками нульового дня з використанням експлойтів.
Огляд за темою
ШІ
Надійний захист напряму залежить від аналізу кіберзагроз
Порушення безпеки корпоративної електронної пошти
Огляд порушень безпеки корпоративної електронної пошти
Зловмисні програми з вимогою викупу
Захист організації від зловмисних програм із вимогою викупу
Знайомтеся з експертами
Профіль експерта: Хома Хаятіфар
Хома Хаятіфар, головний керівник відділу обробки даних і прикладних наук, описує використання моделей машинного навчання для посилення захисту як один зі способів, за допомогою яких ШІ змінює образ безпеки.
Знайомтеся з експертами
Профіль експерта
Аналіз кіберзагроз у геополітичному контексті
Профіль експерта
Порада експерта щодо трьох сталих викликів у сфері кібербезпеки
Профіль експерта
Дослідник з питань безпеки Дастін Дуран розповідає, як думати як зловмисник
Ознайомтеся зі звітами аналізу кіберзагроз
Звіт про цифровий захист Microsoft 2023
В останньому випуску Звіту про цифровий захист Microsoft досліджується мінлива картина загроз і обговорюються можливості та проблеми на шляху до кіберстійкості.
Забезпечення практичного кіберзахисту
Кібергігієна
Базова кібергігієна запобігає 99% атак
Відстеження загроз
Основи відстеження загроз
Кіберзлочин
Запобігання неправомірному використанню інструментів безпеки кіберзлочинцями
Початок роботи
Приєднуйтеся до подій від Майкрософт
Здобувайте нові навички та досвід і створюйте спільноту завдяки подіям і можливостям для навчання від корпорації Майкрософт.
Поговоріть із нами
Підпишіться на Microsoft