Gaukite įžvalgų tiesiai iš ekspertų „Microsoft“ grėsmių žvalgybos tinklalaidėje. Klausytis dabar.
„Security Insider“
Grėsmių analizė ir praktiškai pritaikomos įžvalgos, kad liktumėte priekyje
Kylančios grėsmės
2023 metų grėsmių analizės apžvalga: Pagrindinės įžvalgos ir įvykiai
„Microsoft“ grėsmių žvalgyba apžvelgia svarbiausias grėsmių sukėlėjų technikos, taktikos ir procedūrų (TTP) tendencijas nuo 2023 m.
Karščiausios naujienos
Analizės ataskaitos
Kaip išvengti kibernetinių grėsmių ir sustiprinti apsaugą DI amžiuje
Analizės ataskaitos
Iranas stiprina kibernetinės įtakos operacijas, kuriomis remiamas „Hamas“
Kylančios grėsmės
Naudojimasis pasitikėjimo ekonomika: socialinės inžinerijos sukčiavimas
Grėsmės sukėlėjo įžvalgos
„Microsoft“ sauga aktyviai seka grėsmes keliančius subjektus, stebimoje nacionalinėje valstybėje, išpirkos reikalaujančias programas ir nusikalstamą veiklą. Šios įžvalgos atspindi „Microsoft“ saugos grėsmių tyrėjų viešai skelbiamą veiklą ir pateikia centralizuotą veikėjų profilių katalogą iš nurodytų tinklaraščių.
Mint Sandstorm
„Mint Sandstorm“ (anksčiau – PHOSPHORUS) paprastai bando įsilaužti į asmenines asmenų paskyras naudodama tikslinį sukčiavimą apsimetant ir socialinę inžineriją, kad užmegztų ryšį su aukomis ir tik tada jas užpultų
Manatee Tempest
„Manatee Tempest“ (anksčiau buvęs DEV-0243) yra grėsmių sukėlėjas, dalyvaujantis išpirkos reikalaujančios programinės įrangos kaip paslaugos (angl. ransomware as a service, RaaS) ekonomikoje ir bendradarbiaujantis su kitais grėsmių sukėlėjais, kad pateiktų pasirinktinius „Cobalt Strike“ įkėlos įkroviklius.
Wine tempest
„Wine Tempest“ (anksčiau – „PARINACOTA“) paprastai naudoja žmonių valdomas išpirkos reikalaujančias programas atakoms, dažniausia diegdama „Wadhrama“ išpirkos reikalaujančią programą. Jos yra sumanios, keičia taktikas priklausomai nuo jų poreikių ir naudoja pažeistus įrenginius įvairiems tikslams, įskaitant kriptovaliutų kasimą, nepageidaujamų el. laiškų siuntimą arba atlieka tarpinio serverio kitoms atakoms vaidmenį.
Smoke sandstorm
2021 m. rugsėjo mėn. „Smoke Sandstorm“ (anksčiau – BOHRIUM/DEV-0056) įsilaužė į Bahreine esančios informacinių technologijų integravimo įmonės el. pašto paskyras. Ši bendrovė užsiima informacinių technologijų integravimu Bahreino vyriausybės klientams, kurie greičiausiai buvo pagrindinis „Smoke Sandstorm“ taikinys.
Storm-0530
Sukėlėjų grupė, kilusi iš Šiaurės Korėjos, kurią „Microsoft“ seka kaip „Storm-0530“ (anksčiau – „DEV-0530“), atakoms kūrė ir naudojo išpirkos reikalaujančias programas nuo 2021 m. birželio mėnesio.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Hazel Sandstorm
„Hazel Sandstorm“ (anksčiau – „EUROPIUM“) buvo viešai susijęs su Irano žvalgybos ir saugumo ministerija (MOIS). Itin patikimu „Microsoft“ vertinimu, 2022 m. liepos 15 d. Irano vyriausybės remiami veikėjai surengė destruktyvią kibernetinę ataką prieš Albanijos vyriausybę ir sutrikdė vyriausybės svetainių veikimą ir viešųjų paslaugų teikimą.
Cadet Blizzard
„Microsoft“ stebi „Cadet Blizzard“ (anksčiau – DEV-0586) kaip Rusijos valstybės remiamą grėsmių veikėją, kurį „Microsoft“ pradėjo sekti po žlugdančių ir destruktyvių įvykių, įvykusių keliose Ukrainos vyriausybinėse agentūrose 2022 m. sausio viduryje.
Pistachio Tempest
„Pistachio Tempest (anksčiau – DEV-0237) yra grupė, susijusi su paveikiu išpirkos reikalaujančių programų platinimu. „Microsoft“ pastebėjo, kad laikui bėgant „Pistachio Tempest“ naudojo įvairius išpirkos reikalaujančių programų paketo turinius, grupei eksperimentuojant su naujais išpirkos reikalaujančių programų kaip paslaugos (RaaS) pasiūlymais: nuo „Ryuk“ ir „Conti“ iki „Hive“, „Nokoyawa“, o pastaruoju metu – „Agenda“ ir „Mindware“.
„Periwinkle Tempest“
„Periwinkle Tempest“ (anksčiau – DEV-0193) yra atsakinga už įvairių paketo turinių, įskaitant „Trickbot“, „Bazaloader“ ir „AnchorDNS“ plėtojimą, platinimą ir valdymą.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Nylon Typhoon
„Nylon Typhoon“ (anksčiau – „NICKEL“) pasitelkia pažeidžiamumo išnaudojimą kovojant su sistemomis, kurioms nepritaikytos pataisos, siekdamas pažeisti nuotolinės prieigos paslaugas ir aparatus. Sėkmingai įsibrovę jie pasitelkia kredencialų iškėlėjus arba vagis, norėdami gauti teisėtus kredencialus, kuriuos galės naudoti prieigai prie aukos paskyrų ir prieigai prie didesnės reikšmės sistemų gauti.
Crimson Sandstorm
Pastebėta, kad „Crimson Sandstorm“ (anksčiau – „CURIUM“) sukėlėjai naudojasi fiktyvių socialinės medijos paskyrų tinklu, kad įgytų taikinių pasitikėjimą ir perduotų kenkėjišką programinę įrangą, kuria galiausiai išviliotų duomenis.
Diamond Sleet
„Diamond Sleet“ (anksčiau – ZINC) yra grėsmių sukėlėjas, vykdantis pasaulinę veiklą Šiaurės Korėjos vyriausybės vardu. Mažiausiai nuo 2009 m. veikianti „Diamond Sleet“ yra nusitaikiusi į žiniasklaidos, gynybos, informacinių technologijų, mokslinių tyrimų pramonę, taip pat saugumo tyrėjus, siekdama šnipinėjimo, duomenų vagystės, finansinės naudos ir tinklo sunaikinimo tikslų.
Gray Sandstorm
„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Mint Sandstorm
„Mint Sandstorm“ (anksčiau – PHOSPHORUS) paprastai bando įsilaužti į asmenines asmenų paskyras naudodama tikslinį sukčiavimą apsimetant ir socialinę inžineriją, kad užmegztų ryšį su aukomis ir tik tada jas užpultų
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Crimson Sandstorm
Pastebėta, kad „Crimson Sandstorm“ (anksčiau – „CURIUM“) sukėlėjai naudojasi fiktyvių socialinės medijos paskyrų tinklu, kad įgytų taikinių pasitikėjimą ir perduotų kenkėjišką programinę įrangą, kuria galiausiai išviliotų duomenis.
Gray Sandstorm
„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
„Periwinkle Tempest“
„Periwinkle Tempest“ (anksčiau – DEV-0193) yra atsakinga už įvairių paketo turinių, įskaitant „Trickbot“, „Bazaloader“ ir „AnchorDNS“ plėtojimą, platinimą ir valdymą.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Cadet Blizzard
„Microsoft“ stebi „Cadet Blizzard“ (anksčiau – DEV-0586) kaip Rusijos valstybės remiamą grėsmių veikėją, kurį „Microsoft“ pradėjo sekti po žlugdančių ir destruktyvių įvykių, įvykusių keliose Ukrainos vyriausybinėse agentūrose 2022 m. sausio viduryje.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Mint Sandstorm
„Mint Sandstorm“ (anksčiau – PHOSPHORUS) paprastai bando įsilaužti į asmenines asmenų paskyras naudodama tikslinį sukčiavimą apsimetant ir socialinę inžineriją, kad užmegztų ryšį su aukomis ir tik tada jas užpultų
Smoke sandstorm
2021 m. rugsėjo mėn. „Smoke Sandstorm“ (anksčiau – BOHRIUM/DEV-0056) įsilaužė į Bahreine esančios informacinių technologijų integravimo įmonės el. pašto paskyras. Ši bendrovė užsiima informacinių technologijų integravimu Bahreino vyriausybės klientams, kurie greičiausiai buvo pagrindinis „Smoke Sandstorm“ taikinys.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Hazel Sandstorm
„Hazel Sandstorm“ (anksčiau – „EUROPIUM“) buvo viešai susijęs su Irano žvalgybos ir saugumo ministerija (MOIS). Itin patikimu „Microsoft“ vertinimu, 2022 m. liepos 15 d. Irano vyriausybės remiami veikėjai surengė destruktyvią kibernetinę ataką prieš Albanijos vyriausybę ir sutrikdė vyriausybės svetainių veikimą ir viešųjų paslaugų teikimą.
Cadet Blizzard
„Microsoft“ stebi „Cadet Blizzard“ (anksčiau – DEV-0586) kaip Rusijos valstybės remiamą grėsmių veikėją, kurį „Microsoft“ pradėjo sekti po žlugdančių ir destruktyvių įvykių, įvykusių keliose Ukrainos vyriausybinėse agentūrose 2022 m. sausio viduryje.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Nylon Typhoon
„Nylon Typhoon“ (anksčiau – „NICKEL“) pasitelkia pažeidžiamumo išnaudojimą kovojant su sistemomis, kurioms nepritaikytos pataisos, siekdamas pažeisti nuotolinės prieigos paslaugas ir aparatus. Sėkmingai įsibrovę jie pasitelkia kredencialų iškėlėjus arba vagis, norėdami gauti teisėtus kredencialus, kuriuos galės naudoti prieigai prie aukos paskyrų ir prieigai prie didesnės reikšmės sistemų gauti.
Crimson Sandstorm
Pastebėta, kad „Crimson Sandstorm“ (anksčiau – „CURIUM“) sukėlėjai naudojasi fiktyvių socialinės medijos paskyrų tinklu, kad įgytų taikinių pasitikėjimą ir perduotų kenkėjišką programinę įrangą, kuria galiausiai išviliotų duomenis.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Pistachio Tempest
„Pistachio Tempest (anksčiau – DEV-0237) yra grupė, susijusi su paveikiu išpirkos reikalaujančių programų platinimu. „Microsoft“ pastebėjo, kad laikui bėgant „Pistachio Tempest“ naudojo įvairius išpirkos reikalaujančių programų paketo turinius, grupei eksperimentuojant su naujais išpirkos reikalaujančių programų kaip paslaugos (RaaS) pasiūlymais: nuo „Ryuk“ ir „Conti“ iki „Hive“, „Nokoyawa“, o pastaruoju metu – „Agenda“ ir „Mindware“.
„Periwinkle Tempest“
„Periwinkle Tempest“ (anksčiau – DEV-0193) yra atsakinga už įvairių paketo turinių, įskaitant „Trickbot“, „Bazaloader“ ir „AnchorDNS“ plėtojimą, platinimą ir valdymą.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Manatee Tempest
„Manatee Tempest“ (anksčiau buvęs DEV-0243) yra grėsmių sukėlėjas, dalyvaujantis išpirkos reikalaujančios programinės įrangos kaip paslaugos (angl. ransomware as a service, RaaS) ekonomikoje ir bendradarbiaujantis su kitais grėsmių sukėlėjais, kad pateiktų pasirinktinius „Cobalt Strike“ įkėlos įkroviklius.
Smoke sandstorm
2021 m. rugsėjo mėn. „Smoke Sandstorm“ (anksčiau – BOHRIUM/DEV-0056) įsilaužė į Bahreine esančios informacinių technologijų integravimo įmonės el. pašto paskyras. Ši bendrovė užsiima informacinių technologijų integravimu Bahreino vyriausybės klientams, kurie greičiausiai buvo pagrindinis „Smoke Sandstorm“ taikinys.
Storm-0530
Sukėlėjų grupė, kilusi iš Šiaurės Korėjos, kurią „Microsoft“ seka kaip „Storm-0530“ (anksčiau – „DEV-0530“), atakoms kūrė ir naudojo išpirkos reikalaujančias programas nuo 2021 m. birželio mėnesio.
Mint Sandstorm
„Mint Sandstorm“ (anksčiau – PHOSPHORUS) paprastai bando įsilaužti į asmenines asmenų paskyras naudodama tikslinį sukčiavimą apsimetant ir socialinę inžineriją, kad užmegztų ryšį su aukomis ir tik tada jas užpultų
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Nylon Typhoon
„Nylon Typhoon“ (anksčiau – „NICKEL“) pasitelkia pažeidžiamumo išnaudojimą kovojant su sistemomis, kurioms nepritaikytos pataisos, siekdamas pažeisti nuotolinės prieigos paslaugas ir aparatus. Sėkmingai įsibrovę jie pasitelkia kredencialų iškėlėjus arba vagis, norėdami gauti teisėtus kredencialus, kuriuos galės naudoti prieigai prie aukos paskyrų ir prieigai prie didesnės reikšmės sistemų gauti.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Diamond Sleet
„Diamond Sleet“ (anksčiau – ZINC) yra grėsmių sukėlėjas, vykdantis pasaulinę veiklą Šiaurės Korėjos vyriausybės vardu. Mažiausiai nuo 2009 m. veikianti „Diamond Sleet“ yra nusitaikiusi į žiniasklaidos, gynybos, informacinių technologijų, mokslinių tyrimų pramonę, taip pat saugumo tyrėjus, siekdama šnipinėjimo, duomenų vagystės, finansinės naudos ir tinklo sunaikinimo tikslų.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Cadet Blizzard
„Microsoft“ stebi „Cadet Blizzard“ (anksčiau – DEV-0586) kaip Rusijos valstybės remiamą grėsmių veikėją, kurį „Microsoft“ pradėjo sekti po žlugdančių ir destruktyvių įvykių, įvykusių keliose Ukrainos vyriausybinėse agentūrose 2022 m. sausio viduryje.
Crimson Sandstorm
Pastebėta, kad „Crimson Sandstorm“ (anksčiau – „CURIUM“) sukėlėjai naudojasi fiktyvių socialinės medijos paskyrų tinklu, kad įgytų taikinių pasitikėjimą ir perduotų kenkėjišką programinę įrangą, kuria galiausiai išviliotų duomenis.
Diamond Sleet
„Diamond Sleet“ (anksčiau – ZINC) yra grėsmių sukėlėjas, vykdantis pasaulinę veiklą Šiaurės Korėjos vyriausybės vardu. Mažiausiai nuo 2009 m. veikianti „Diamond Sleet“ yra nusitaikiusi į žiniasklaidos, gynybos, informacinių technologijų, mokslinių tyrimų pramonę, taip pat saugumo tyrėjus, siekdama šnipinėjimo, duomenų vagystės, finansinės naudos ir tinklo sunaikinimo tikslų.
Gray Sandstorm
„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Diamond Sleet
„Diamond Sleet“ (anksčiau – ZINC) yra grėsmių sukėlėjas, vykdantis pasaulinę veiklą Šiaurės Korėjos vyriausybės vardu. Mažiausiai nuo 2009 m. veikianti „Diamond Sleet“ yra nusitaikiusi į žiniasklaidos, gynybos, informacinių technologijų, mokslinių tyrimų pramonę, taip pat saugumo tyrėjus, siekdama šnipinėjimo, duomenų vagystės, finansinės naudos ir tinklo sunaikinimo tikslų.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Gray Sandstorm
„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų.
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Smoke sandstorm
2021 m. rugsėjo mėn. „Smoke Sandstorm“ (anksčiau – BOHRIUM/DEV-0056) įsilaužė į Bahreine esančios informacinių technologijų integravimo įmonės el. pašto paskyras. Ši bendrovė užsiima informacinių technologijų integravimu Bahreino vyriausybės klientams, kurie greičiausiai buvo pagrindinis „Smoke Sandstorm“ taikinys.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Forest Blizzard
„Forest Blizzard“ (anksčiau vadinta STRONTIUM) naudoja įvairius pirminės prieigos būdus, įskaitant pažeidžiamų žiniatinklio programų išnaudojimą ir įgaliojimų gavimą, tikslinį sukčiavimą apsimetant ir automatizuoto vieno slaptažodžio bandymo atakų / „brutalios jėgos“ įrankio, veikiančio per TOR, diegimą
Midnight Blizzard
„Microsoft“ stebimas veikėjas „Midnight Blizzard“ (NOBELIUM) – Rusijoje įsikūręs grėsmių sukėlėjas, kurį JAV ir JK vyriausybės laiko Rusijos Federacijos užsienio žvalgybos tarnyba, taip pat vadinama SVR.
Volt Typhoon
Sukėlėjas, kurį „Microsoft“ seka kaip „Volt Typhoon“, yra nacionalinės valstybės veiklos grupė, įsikūrusi Kinijoje. „Volt Typhoon“ daugiausia dėmesio skiria šnipinėjimui, duomenų vagystėms ir prieigai prie prisijungimo informacijos.
Plaid Rain
Nuo 2022 m. vasario mėn. pastebėta, kad „Plaid Rain“ (anksčiau – POLONIUM) pirmiausia taikosi į Izraelio organizacijas, daugiausia dėmesio skirdama ypatingos svarbos gamybos, IT ir Izraelio gynybos pramonei.
Hazel Sandstorm
„Hazel Sandstorm“ (anksčiau – „EUROPIUM“) buvo viešai susijęs su Irano žvalgybos ir saugumo ministerija (MOIS). Itin patikimu „Microsoft“ vertinimu, 2022 m. liepos 15 d. Irano vyriausybės remiami veikėjai surengė destruktyvią kibernetinę ataką prieš Albanijos vyriausybę ir sutrikdė vyriausybės svetainių veikimą ir viešųjų paslaugų teikimą.
Cadet Blizzard
„Microsoft“ stebi „Cadet Blizzard“ (anksčiau – DEV-0586) kaip Rusijos valstybės remiamą grėsmių veikėją, kurį „Microsoft“ pradėjo sekti po žlugdančių ir destruktyvių įvykių, įvykusių keliose Ukrainos vyriausybinėse agentūrose 2022 m. sausio viduryje.
Aqua Blizzard
„Aqua Blizzard“ (anksčiau – ACTINIUM) naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenksmingais makrokomandų priedais, kuriuose naudojami nuotoliniai šablonai. Pagrindinis „Aqua Blizzard“ veiklos tikslas – įgyti nuolatinę prieigą prie tikslinių tinklų, naudojant pasirinktinę kenkėjišką programinę įrangą ir komercines priemones, siekiant rinkti žvalgybinę informaciją.
Nylon Typhoon
„Nylon Typhoon“ (anksčiau – „NICKEL“) pasitelkia pažeidžiamumo išnaudojimą kovojant su sistemomis, kurioms nepritaikytos pataisos, siekdamas pažeisti nuotolinės prieigos paslaugas ir aparatus. Sėkmingai įsibrovę jie pasitelkia kredencialų iškėlėjus arba vagis, norėdami gauti teisėtus kredencialus, kuriuos galės naudoti prieigai prie aukos paskyrų ir prieigai prie didesnės reikšmės sistemų gauti.
Crimson Sandstorm
Pastebėta, kad „Crimson Sandstorm“ (anksčiau – „CURIUM“) sukėlėjai naudojasi fiktyvių socialinės medijos paskyrų tinklu, kad įgytų taikinių pasitikėjimą ir perduotų kenkėjišką programinę įrangą, kuria galiausiai išviliotų duomenis.
Diamond Sleet
„Diamond Sleet“ (anksčiau – ZINC) yra grėsmių sukėlėjas, vykdantis pasaulinę veiklą Šiaurės Korėjos vyriausybės vardu. Mažiausiai nuo 2009 m. veikianti „Diamond Sleet“ yra nusitaikiusi į žiniasklaidos, gynybos, informacinių technologijų, mokslinių tyrimų pramonę, taip pat saugumo tyrėjus, siekdama šnipinėjimo, duomenų vagystės, finansinės naudos ir tinklo sunaikinimo tikslų.
Gray Sandstorm
„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų.
Manatee Tempest
„Manatee Tempest“ (anksčiau buvęs DEV-0243) yra grėsmių sukėlėjas, dalyvaujantis išpirkos reikalaujančios programinės įrangos kaip paslaugos (angl. ransomware as a service, RaaS) ekonomikoje ir bendradarbiaujantis su kitais grėsmių sukėlėjais, kad pateiktų pasirinktinius „Cobalt Strike“ įkėlos įkroviklius.
Wine tempest
„Wine Tempest“ (anksčiau – „PARINACOTA“) paprastai naudoja žmonių valdomas išpirkos reikalaujančias programas atakoms, dažniausia diegdama „Wadhrama“ išpirkos reikalaujančią programą. Jos yra sumanios, keičia taktikas priklausomai nuo jų poreikių ir naudoja pažeistus įrenginius įvairiems tikslams, įskaitant kriptovaliutų kasimą, nepageidaujamų el. laiškų siuntimą arba atlieka tarpinio serverio kitoms atakoms vaidmenį.
Smoke sandstorm
2021 m. rugsėjo mėn. „Smoke Sandstorm“ (anksčiau – BOHRIUM/DEV-0056) įsilaužė į Bahreine esančios informacinių technologijų integravimo įmonės el. pašto paskyras. Ši bendrovė užsiima informacinių technologijų integravimu Bahreino vyriausybės klientams, kurie greičiausiai buvo pagrindinis „Smoke Sandstorm“ taikinys.
Pistachio Tempest
„Pistachio Tempest (anksčiau – DEV-0237) yra grupė, susijusi su paveikiu išpirkos reikalaujančių programų platinimu. „Microsoft“ pastebėjo, kad laikui bėgant „Pistachio Tempest“ naudojo įvairius išpirkos reikalaujančių programų paketo turinius, grupei eksperimentuojant su naujais išpirkos reikalaujančių programų kaip paslaugos (RaaS) pasiūlymais: nuo „Ryuk“ ir „Conti“ iki „Hive“, „Nokoyawa“, o pastaruoju metu – „Agenda“ ir „Mindware“.
„Periwinkle Tempest“
„Periwinkle Tempest“ (anksčiau – DEV-0193) yra atsakinga už įvairių paketo turinių, įskaitant „Trickbot“, „Bazaloader“ ir „AnchorDNS“ plėtojimą, platinimą ir valdymą.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Caramel Tsunami
„Caramel Tsunami“ (anksčiau – SOURGUM“) daugiausiai užsiima kibernetinių ginklų, paprastai – kenkėjiškos programinės įrangos ir nulinės dienos pažeidžiamumo išnaudojimo įrankių pardavimu, kaip įsilaužimo paslaugos paketo, parduodamo vyriausybinėms agentūroms ir kitiems piktavaliams veikėjams, dalį.
Silk Typhoon
2021 m. „Silk Typhoon“ (anksčiau – HAFNIUM), naudodamas nulinės dienos išnaudojimo galimybes, atakavo vietines „Microsoft Exchange Server“ versijas, vykdydamas ribotas ir tikslines atakas.
Naršyti pagal temą
Dirbtinis intelektas
Saugumas priklauso nuo jūsų grėsmių analizės kokybės
Verslo el. pašto pažeidimas
Verslo el. pašto saugos pažeidimo analizė
Išpirkos reikalaujančios programos
Apsaugokite savo organizaciją nuo išpirkos reikalaujančių programų
Susipažinkite su ekspertais
Eksperto profilis: Homa Hayatyfar
Pagrindinė duomenų ir taikomųjų mokslų vadovė Homa Hayatyfar pasakoja apie mašininio mokymo modelių naudojimą gynybai stiprinti – tai tik vienas iš daugelio būdų, kaip DI keičia saugą.
Susipažinkite su ekspertais
Eksperto profilis
Kibernetinių grėsmių analizė geopolitiniame kontekste
Eksperto profilis
Ekspertų patarimai dėl trijų opiausių kibernetinės saugos iššūkių
Eksperto profilis
Saugumo tyrėjas Dustinas Duranas pasakoja, kaip mąstyti tarsi užpuolikas
Susipažinkite su analizės ataskaitomis
2023 m. „Microsoft“ skaitmeninės gynybos ataskaita
Naujausioje „Microsoft“ skaitmeninės gynybos ataskaitoje nagrinėjama besikeičianti grėsmių aplinka ir aptariamos galimybės bei iššūkiai, su kuriais susiduriame tapdami atsparūs kibernetiniams nusikaltimams.
Išlaikykite praktinę kibernetinę saugą
Kibernetinė higiena
Bazinė kibernetinė higiena padeda išvengti 99 % atakų
Grėsmių paieška
Išmokite grėsmių paieškos ABC
Kibernetiniai nusikaltimai
Kibernetinių nusikaltėlių piktnaudžiavimo saugos įrankiais sustabdymas
Pradėti
Prisijunkite prie „Microsoft“ įvykių
„Microsoft“ renginiuose ir pasinaudodami mokymosi galimybėse gilinkite savo žinias, mokykitės naujų įgūdžių ir kurkite bendruomenę.
Pasikalbėkite su mumis
Sekite „Microsoft“