Регистрирайте се се сега, за да гледате уеб семинара по заявка, в който се представят прозренията на Отчет за дигитална защита на Microsoft 2024.
Security Insider
Разузнаване на заплахите и прозрения, свързани с действия, за да бъдете винаги с крачка напред
Национална държава
Русия, Иран и Китай продължават кампаниите си за оказване на влияние преди деня на изборите през 2024 г.
Тъй като цикълът на президентските избори в САЩ през 2024 г. наближава последните си седмици, наборът от ресурси на Microsoft срещу заплахи очаква повишена активност на чуждестранно влияние чак до изборния ден. Научете как Русия, Иран и Китай могат да опитат да всеят съмнение относно честността на изборите, като увеличат твърденията за измама или манипулиране.
Последни новини
Рансъмуер
Здравеопазването в САЩ е в риск: Повишаване на устойчивостта срещу атаки с рансъмуер
Отчет за дигитална защита на Microsoft
Отчет за дигитална защита на Microsoft за 2024 г.
Заплахи, насочвани от държава
Свързани с Русия оператори, ангажирани с мащабни усилия за влияние върху избирателите в САЩ
Прозрения за извършител, представляващ заплаха
Наборът от ресурси срещу заплахи на Microsoft активно проследява извършители, представляващи заплаха в наблюдаваните действия, насочвани от държави, рансъмуер и криминални дейности. Тези прозрения представляват публично публикувана дейност от изследователите на заплахи на Microsoft и предоставят централизиран каталог на профилите на действащите лица от споменатите блогове.
Mint Sandstorm
Mint Sandstorm (предишно име PHOSPHORUS), е действаща група, свързана с Иран, активна поне от 2013 г.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Wine Tempest
Wine Tempest (бивша PARINACOTA) обикновено използва за атаките си рансъмуер, управляван от хора, като най-често разполага рансъмуера Wadhrama. Те са изобретателни, променят тактиката според нуждите си и използват компрометирани машини за различни цели, включително за добив на криптовалута, изпращане на имейли с нежелана поща, или играят ролята на посредници за други атаки.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Storm-0530
Група от действащи лица, произхождаща от Северна Корея, която Microsoft идентифицира като Storm-0530 (по-рано DEV-0530), разработва и използва рансъмуер в атаки от юни 2021 г. насам.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (предишно име DEV-0586) като спонсорирана от руското ГРУ група, представляваща заплаха, която Microsoft започва да проследява след предизвикващи прекъсване на работата и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Извършителят, който Microsoft проследява като Diamond Sleet, е базирана в Северна Корея действаща група, за която е известно, че е насочена към медиите, отбраната и информационните технологии (ИТ) в световен мащаб. Diamond Sleet се фокусира върху шпионажа, кражбата на лични и корпоративни данни, финансови изгоди и унищожаването на корпоративни мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Mint Sandstorm
Mint Sandstorm (предишно име PHOSPHORUS), е действаща група, свързана с Иран, активна поне от 2013 г.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (предишно име DEV-0586) като спонсорирана от руското ГРУ група, представляваща заплаха, която Microsoft започва да проследява след предизвикващи прекъсване на работата и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Mint Sandstorm
Mint Sandstorm (предишно име PHOSPHORUS), е действаща група, свързана с Иран, активна поне от 2013 г.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (предишно име DEV-0586) като спонсорирана от руското ГРУ група, представляваща заплаха, която Microsoft започва да проследява след предизвикващи прекъсване на работата и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е насочвана от държава група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Caramel Tsunami
Caramel Tsunami (предишно име SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Storm-0530
Група от действащи лица, произхождаща от Северна Корея, която Microsoft идентифицира като Storm-0530 (по-рано DEV-0530), разработва и използва рансъмуер в атаки от юни 2021 г. насам.
Mint Sandstorm
Mint Sandstorm (предишно име PHOSPHORUS), е действаща група, свързана с Иран, активна поне от 2013 г.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Diamond Sleet
Извършителят, който Microsoft проследява като Diamond Sleet, е базирана в Северна Корея действаща група, за която е известно, че е насочена към медиите, отбраната и информационните технологии (ИТ) в световен мащаб. Diamond Sleet се фокусира върху шпионажа, кражбата на лични и корпоративни данни, финансови изгоди и унищожаването на корпоративни мрежи.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (предишно име DEV-0586) като спонсорирана от руското ГРУ група, представляваща заплаха, която Microsoft започва да проследява след предизвикващи прекъсване на работата и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Извършителят, който Microsoft проследява като Diamond Sleet, е базирана в Северна Корея действаща група, за която е известно, че е насочена към медиите, отбраната и информационните технологии (ИТ) в световен мащаб. Diamond Sleet се фокусира върху шпионажа, кражбата на лични и корпоративни данни, финансови изгоди и унищожаването на корпоративни мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Diamond Sleet
Извършителят, който Microsoft проследява като Diamond Sleet, е базирана в Северна Корея действаща група, за която е известно, че е насочена към медиите, отбраната и информационните технологии (ИТ) в световен мащаб. Diamond Sleet се фокусира върху шпионажа, кражбата на лични и корпоративни данни, финансови изгоди и унищожаването на корпоративни мрежи.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Forest Blizzard
Forest Blizzard (по-рано STRONTIUM) използва различни техники за първоначален достъп, включително експлоатиране на уязвими уеб приложения, а за получаване на идентификационни данни – фишинг и разполагане на автоматичен инструмент за атака с „пръскане с пароли“/атака с груба сила, работещ чрез TOR
Midnight Blizzard
Действащото лице, което Microsoft проследява като Midnight Blizzard (NOBELIUM), е базирано в Русия извършител, представляващ заплаха, който правителствата на САЩ и Обединеното кралство приписват на Службата за външно разузнаване на Руската федерация, известна също като SVR.
Volt Typhoon
Извършителят, представляващ заплаха, който Microsoft проследява под името Silk Typhoon (HAFNIUM), е национална група, базирана в Китай. Volt Typhoon се фокусира върху шпионаж, кражба на данни и достъп до идентификационни данни.
Plaid Rain
От февруари 2022 г. Plaid Rain (преди POLONIUM) е наблюдаван да се насочва основно към организации в Израел с фокус върху важното производство, ИТ и отбранителната индустрия на Израел.
Hazel Sandstorm
Hazel Sandstorm (бивша EUROPIUM) е публично свързана с иранското Министерство на разузнаването и сигурността (MOIS). Microsoft оценява с висока степен на увереност, че на 15 юли 2022 г. извършители, представляващи заплаха, спонсорирани от иранското правителство, са извършили разрушителна кибератака срещу албанското правителство, като са нарушили работата на правителствени уебсайтове и обществени услуги.
Cadet Blizzard
Microsoft проследява Cadet Blizzard (предишно име DEV-0586) като спонсорирана от руското ГРУ група, представляваща заплаха, която Microsoft започва да проследява след предизвикващи прекъсване на работата и разрушителни събития, случили се в множество правителствени агенции в Украйна в средата на януари 2022 г.
Aqua Blizzard
Aqua Blizzard (предишно име ACTINIUM) е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ).
Nylon Typhoon
Nylon Typhoon (по-рано NICKEL) използва уязвимости срещу непоправени системи, за да компрометира услуги и устройства за отдалечен достъп. При успешно проникване те използват устройства за сваляне или кражба на пълномощия, за да получат легитимни пълномощия, които след това използват, за да получат достъп до акаунтите на жертвите и да получат достъп до системи с по-висока стойност.
Crimson Sandstorm
Наблюдавано е, че представляващият заплаха извършител „Crimson Sandstorm“ (бивш CURIUM) използва мрежа от фиктивни акаунти в социалните медии, за да изгражда доверие в целите си и да доставя зловреден софтуер, който в крайна сметка да ексфилтрира данни.
Diamond Sleet
Извършителят, който Microsoft проследява като Diamond Sleet, е базирана в Северна Корея действаща група, за която е известно, че е насочена към медиите, отбраната и информационните технологии (ИТ) в световен мащаб. Diamond Sleet се фокусира върху шпионажа, кражбата на лични и корпоративни данни, финансови изгоди и унищожаването на корпоративни мрежи.
Gray Sandstorm
Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти.
Manatee Tempest
Manatee Tempest (по-рано DEV-0243) е извършител, представляващ заплаха, който е част от икономиката на рансъмуер като услуга (RaaS), като си партнира с други извършители, представляващ заплаха, за да предоставя персонализирани инструменти за зареждане на Cobalt Strike.
Wine Tempest
Wine Tempest (бивша PARINACOTA) обикновено използва за атаките си рансъмуер, управляван от хора, като най-често разполага рансъмуера Wadhrama. Те са изобретателни, променят тактиката според нуждите си и използват компрометирани машини за различни цели, включително за добив на криптовалута, изпращане на имейли с нежелана поща, или играят ролята на посредници за други атаки.
Smoke sandstorm
Smoke Sandstorm (преди BOHRIUM/DEV-0056) компрометира имейл акаунти в базирана в Бахрейн компания за ИТ интегриране през септември 2021 г. Тази компания работи по ИТ интеграции с клиенти на правителството на Бахрейн, които вероятно са били крайната цел на Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (преди DEV-0237) е група, свързана с въздействащо разпространение на рансъмуер. Microsoft забеляза, че Pistachio Tempest използва различни полезни обеми на рансъмуер с течение на времето, докато групата експериментира с нови предложения за рансъмуер като услуга (RaaS), от Ryuk и Conti до Hive, Nokoyawa и напоследък Agenda и Mindware.
Periwinkle Tempest
Periwinkle Tempest (по-рано DEV-0193) е отговорен за разработването, разпространението и управлението на много различни полезни товари, включително Trickbot, Bazaloader и AnchorDNS.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Caramel Tsunami
Caramel Tsunami (по-рано SOURGUM) обикновено продава кибероръжия, най-често зловреден софтуер и троянски коне от типа „уязвимост от нулевия ден“, като част от пакет за хакерски услуги, продаван на правителствени агенции и други злонамерени участници.
Silk Typhoon
През 2021 г. Silk Typhoon (предишно име HAFNIUM), е насочвана от държава група, базирана в Китай.
Разглеждане по теми
ИИ
Защитата е толкова добра, колкото е добро вашето разузнаване за заплахи
Компрометиране на имейл от бизнес клас
Разбиване на компрометирането на бизнес имейли
Рансъмуер
Защита на вашата организация от рансъмуер
Запознайте се с експертите
Подкаст за набора от ресурси на Microsoft срещу заплахи
Чуйте истории от общността на набора от ресурси на Microsoft срещу заплахи, която навигира в постоянно променящия се пейзаж на заплахите, разкривайки APT, групировки за киберпрестъпления, зловреден софтуер, уязвимости и други в света на киберзаплахите.
Срещнете се с експертите
Профил на експерта
Защита срещу подмяна на SIM карти, социално инженерство, управлявано от изкуствен интелект
Профил на експерта
Запознайте се с експертите, проследяващи измамата с ваучерите за подаръци, свързана със Storm-0539
Профил на експерта
Профил на експерта: Хома Хаятифар
Разглеждане на отчети от разузнаването
Отчет за дигитална защита на Microsoft
Най-новото издание на „Отчет за дигитална защита на Microsoft“ изследва еволюиращия пейзаж на заплахите и минава през възможности и предизвикателства, докато ставаме кибериздръжливи.
Поддържане на практическа киберотбрана
Киберхигиена
Основната киберхигиена предотвратява 99% от атаките
Проактивно търсене на заплахи
Научете основите на проактивното търсене на заплахи
Киберпрестъпление
Спиране на киберпрестъпниците от злоупотреба с инструменти за сигурност
Научете повече
Блог на набор от ресурси на Microsoft срещу заплахи
Запознайте се с най-новата информация от блога Блог на Набор от ресурси на Microsoft срещу заплахи, който обхваща най-новите заплахи и насоки за защита на клиентите.
Прокативно търсене на заплахи
Серия от киберпредизвикателства от Microsoft и KC7
В тази детективска игра за киберсигурност влезте в ролята на анализатор на заплахи и научете как да разследвате реалистични прониквания.
Следвайте Microsoft Security