Đăng ký ngay để xem hội thảo trực tuyến theo yêu cầu có thông tin chuyên sâu về Báo cáo Phòng vệ số Microsoft năm 2024.
Security Insider
Luôn giữ thế chủ động nhờ thông tin về mối đe dọa và những hiểu biết có khả năng thúc đẩy hành động
Được nhà nước hậu thuẫn
Nga, Iran và Trung Quốc tiếp tục các chiến dịch gây ảnh hưởng trước Ngày bầu cử 2024
Khi chu kỳ bầu cử tổng thống Hoa Kỳ năm 2024 đang tiến gần đến những tuần cuối cùng, Microsoft Threat Intelligence dự đoán hoạt động gây ảnh hưởng từ nước ngoài sẽ gia tăng trước Ngày bầu cử. Tìm hiểu cách Nga, Iran và Trung Quốc có thể gieo rắc sự nghi ngờ về tính toàn vẹn của cuộc bầu cử bằng cách khuếch đại các khiếu nại về gian lận hoặc dàn xếp.
Tin tức mới nhất
Mã độc tống tiền
Hệ thống chăm sóc sức khỏe của Hoa Kỳ đang gặp nguy hiểm: Tăng cường khả năng hồi phục trước các cuộc tấn công bằng mã độc tống tiền
Báo cáo Phòng vệ số Microsoft
Báo cáo Phòng vệ số Microsoft năm 2024
Cấp quốc gia
Các nhà điều hành có liên kết với Nga tham gia vào hoạt động sâu rộng nhằm tác động đến cử tri Hoa Kỳ
Thông tin chuyên sâu về tác nhân đe dọa
Microsoft Threat Intelligence đang tích cực theo dõi các tác nhân đe dọa thông qua quan sát các hoạt động được nhà nước hậu thuẫn, mã độc tống tiền và tội phạm. Những thông tin chuyên sâu này thể hiện hoạt động được công bố công khai từ các nhà nghiên cứu mối đe dọa của Microsoft, đồng thời cung cấp danh mục tập trung gồm hồ sơ tác nhân từ các blog tham chiếu.
Mint Sandstorm
Mint Sandstorm (trước đây là PHOSPHORUS) là một nhóm hoạt động có liên kết với Iran và triển khai muộn nhất từ năm 2013.
Manatee Tempest
Manatee Tempest (trước đây là DEV-0243) là một tác nhân đe dọa thuộc nền kinh tế mã độc tống tiền dưới dạng dịch vụ (RaaS), hợp tác với các tác nhân đe dọa khác để cung cấp trình tải Cobalt Strike tùy chỉnh.
Wine tempest
Wine Tempest (trước đây là PARINACOTA) thường sử dụng mã độc tống tiền do con người điều khiển để thực hiện các cuộc tấn công, chủ yếu là triển khai mã độc tống tiền Wadhrama. Chúng có nhiều chiêu thức với khả năng thay đổi chiến thuật để phù hợp với nhu cầu và đã sử dụng các máy bị xâm phạm cho nhiều mục đích khác nhau, bao gồm cả khai thác tiền điện tử, gửi email rác hoặc làm máy trung gian để thực hiện các cuộc tấn công khác.
Smoke sandstorm
Smoke Sandstorm (trước đây là BOHRIUM/DEV-0056) đã xâm phạm các tài khoản email tại một công ty tích hợp CNTT có trụ sở tại Bahrain vào tháng 9 năm 2021. Công ty này cung cấp dịch vụ tích hợp CNTT cho các khách hàng đến từ Cơ quan Chính phủ Bahrain, những người có khả năng trở thành mục tiêu cuối cùng của Smoke Sandstorm.
Storm-0530
Một nhóm tác nhân từ Triều Tiên mà Microsoft theo dõi là Storm-0530 (trước đây là DEV-0530) đã phát triển và sử dụng mã độc tống tiền trong các cuộc tấn công kể từ tháng 6 năm 2021.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Hazel Sandstorm
Hazel Sandstorm (trước đây là EUROPIUM) đã được liên kết công khai với Bộ Tình báo và An ninh Iran (MOIS). Microsoft đánh giá với độ tin cậy cao rằng vào ngày 15/07/2022, các tác nhân được chính phủ Iran bảo trợ đã tiến hành một cuộc tấn công mạng mang tính hủy diệt nhằm vào chính phủ Albania, làm gián đoạn các trang web của chính phủ và dịch vụ công.
Cadet Blizzard
Microsoft theo dõi Cadet Blizzard (trước đây là DEV-0586) là một nhóm đe dọa do GRU Nga bảo trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và mang tính hủy diệt xảy ra tại nhiều cơ quan chính phủ ở Ukraina vào giữa tháng 1 năm 2022.
Pistachio Tempest
Pistachio Tempest (trước đây là DEV-0237) là một nhóm có liên quan đến việc phân phối mã độc tống tiền gây tác động lớn. Microsoft đã nhận thấy Pistachio Tempest sử dụng nhiều tải trọng mã độc tống tiền khác nhau theo thời gian khi nhóm này thử nghiệm các sản phẩm mã độc tống tiền mới dưới dạng dịch vụ (RaaS), từ Ryuk và Conti đến Hive, Nokoyawa và gần đây nhất là Agenda và Mindware.
Periwinkle Tempest
Periwinkle Tempest (trước đây là DEV-0193) chịu trách nhiệm phát triển, phân phối và quản lý nhiều tải trọng khác nhau, bao gồm Trickbot, Bazaloader và AnchorDNS.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Nylon Typhoon
Nylon Typhoon (trước đây là NICKEL) sử dụng phương pháp khai thác dựa trên hệ thống chưa được vá để xâm phạm các dịch vụ và thiết bị truy nhập từ xa. Sau khi xâm nhập thành công, chúng sử dụng những công cụ đánh cắp hoặc ăn trộm thông tin đăng nhập để có được thông tin xác thực hợp pháp, sau đó dùng những thông tin này để truy nhập vào tài khoản nạn nhân và giành quyền truy nhập vào các hệ thống có giá trị cao hơn.
Crimson Sandstorm
Microsoft quan sát thấy tác nhân Crimson Sandstorm (trước đây là CURIUM) đang tận dụng một mạng lưới các tài khoản mạng xã hội giả để tạo dựng lòng tin trước đối tượng mục tiêu và phát tán phần mềm xấu với mục đích cuối cùng là lấy cắp dữ liệu.
Diamond Sleet
Tác nhân bị Microsoft theo dõi với cái tên Diamond Sleet là một nhóm hoạt động có trụ sở tại Triều Tiên, nhắm vào các ngành truyền thông, quốc phòng và công nghệ thông tin (CNTT) trên toàn cầu. Diamond Sleet tập trung vào hoạt động gián điệp, đánh cắp dữ liệu cá nhân và dữ liệu công ty, thu lợi tài chính và phá hủy mạng công ty.
Gray Sandstorm
Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Mint Sandstorm
Mint Sandstorm (trước đây là PHOSPHORUS) là một nhóm hoạt động có liên kết với Iran và triển khai muộn nhất từ năm 2013.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Crimson Sandstorm
Microsoft quan sát thấy tác nhân Crimson Sandstorm (trước đây là CURIUM) đang tận dụng một mạng lưới các tài khoản mạng xã hội giả để tạo dựng lòng tin trước đối tượng mục tiêu và phát tán phần mềm xấu với mục đích cuối cùng là lấy cắp dữ liệu.
Gray Sandstorm
Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Periwinkle Tempest
Periwinkle Tempest (trước đây là DEV-0193) chịu trách nhiệm phát triển, phân phối và quản lý nhiều tải trọng khác nhau, bao gồm Trickbot, Bazaloader và AnchorDNS.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Cadet Blizzard
Microsoft theo dõi Cadet Blizzard (trước đây là DEV-0586) là một nhóm đe dọa do GRU Nga bảo trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và mang tính hủy diệt xảy ra tại nhiều cơ quan chính phủ ở Ukraina vào giữa tháng 1 năm 2022.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Mint Sandstorm
Mint Sandstorm (trước đây là PHOSPHORUS) là một nhóm hoạt động có liên kết với Iran và triển khai muộn nhất từ năm 2013.
Smoke sandstorm
Smoke Sandstorm (trước đây là BOHRIUM/DEV-0056) đã xâm phạm các tài khoản email tại một công ty tích hợp CNTT có trụ sở tại Bahrain vào tháng 9 năm 2021. Công ty này cung cấp dịch vụ tích hợp CNTT cho các khách hàng đến từ Cơ quan Chính phủ Bahrain, những người có khả năng trở thành mục tiêu cuối cùng của Smoke Sandstorm.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Hazel Sandstorm
Hazel Sandstorm (trước đây là EUROPIUM) đã được liên kết công khai với Bộ Tình báo và An ninh Iran (MOIS). Microsoft đánh giá với độ tin cậy cao rằng vào ngày 15/07/2022, các tác nhân được chính phủ Iran bảo trợ đã tiến hành một cuộc tấn công mạng mang tính hủy diệt nhằm vào chính phủ Albania, làm gián đoạn các trang web của chính phủ và dịch vụ công.
Cadet Blizzard
Microsoft theo dõi Cadet Blizzard (trước đây là DEV-0586) là một nhóm đe dọa do GRU Nga bảo trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và mang tính hủy diệt xảy ra tại nhiều cơ quan chính phủ ở Ukraina vào giữa tháng 1 năm 2022.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Nylon Typhoon
Nylon Typhoon (trước đây là NICKEL) sử dụng phương pháp khai thác dựa trên hệ thống chưa được vá để xâm phạm các dịch vụ và thiết bị truy nhập từ xa. Sau khi xâm nhập thành công, chúng sử dụng những công cụ đánh cắp hoặc ăn trộm thông tin đăng nhập để có được thông tin xác thực hợp pháp, sau đó dùng những thông tin này để truy nhập vào tài khoản nạn nhân và giành quyền truy nhập vào các hệ thống có giá trị cao hơn.
Crimson Sandstorm
Microsoft quan sát thấy tác nhân Crimson Sandstorm (trước đây là CURIUM) đang tận dụng một mạng lưới các tài khoản mạng xã hội giả để tạo dựng lòng tin trước đối tượng mục tiêu và phát tán phần mềm xấu với mục đích cuối cùng là lấy cắp dữ liệu.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Pistachio Tempest
Pistachio Tempest (trước đây là DEV-0237) là một nhóm có liên quan đến việc phân phối mã độc tống tiền gây tác động lớn. Microsoft đã nhận thấy Pistachio Tempest sử dụng nhiều tải trọng mã độc tống tiền khác nhau theo thời gian khi nhóm này thử nghiệm các sản phẩm mã độc tống tiền mới dưới dạng dịch vụ (RaaS), từ Ryuk và Conti đến Hive, Nokoyawa và gần đây nhất là Agenda và Mindware.
Periwinkle Tempest
Periwinkle Tempest (trước đây là DEV-0193) chịu trách nhiệm phát triển, phân phối và quản lý nhiều tải trọng khác nhau, bao gồm Trickbot, Bazaloader và AnchorDNS.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Manatee Tempest
Manatee Tempest (trước đây là DEV-0243) là một tác nhân đe dọa thuộc nền kinh tế mã độc tống tiền dưới dạng dịch vụ (RaaS), hợp tác với các tác nhân đe dọa khác để cung cấp trình tải Cobalt Strike tùy chỉnh.
Smoke sandstorm
Smoke Sandstorm (trước đây là BOHRIUM/DEV-0056) đã xâm phạm các tài khoản email tại một công ty tích hợp CNTT có trụ sở tại Bahrain vào tháng 9 năm 2021. Công ty này cung cấp dịch vụ tích hợp CNTT cho các khách hàng đến từ Cơ quan Chính phủ Bahrain, những người có khả năng trở thành mục tiêu cuối cùng của Smoke Sandstorm.
Storm-0530
Một nhóm tác nhân từ Triều Tiên mà Microsoft theo dõi là Storm-0530 (trước đây là DEV-0530) đã phát triển và sử dụng mã độc tống tiền trong các cuộc tấn công kể từ tháng 6 năm 2021.
Mint Sandstorm
Mint Sandstorm (trước đây là PHOSPHORUS) là một nhóm hoạt động có liên kết với Iran và triển khai muộn nhất từ năm 2013.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Nylon Typhoon
Nylon Typhoon (trước đây là NICKEL) sử dụng phương pháp khai thác dựa trên hệ thống chưa được vá để xâm phạm các dịch vụ và thiết bị truy nhập từ xa. Sau khi xâm nhập thành công, chúng sử dụng những công cụ đánh cắp hoặc ăn trộm thông tin đăng nhập để có được thông tin xác thực hợp pháp, sau đó dùng những thông tin này để truy nhập vào tài khoản nạn nhân và giành quyền truy nhập vào các hệ thống có giá trị cao hơn.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Diamond Sleet
Tác nhân bị Microsoft theo dõi với cái tên Diamond Sleet là một nhóm hoạt động có trụ sở tại Triều Tiên, nhắm vào các ngành truyền thông, quốc phòng và công nghệ thông tin (CNTT) trên toàn cầu. Diamond Sleet tập trung vào hoạt động gián điệp, đánh cắp dữ liệu cá nhân và dữ liệu công ty, thu lợi tài chính và phá hủy mạng công ty.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Cadet Blizzard
Microsoft theo dõi Cadet Blizzard (trước đây là DEV-0586) là một nhóm đe dọa do GRU Nga bảo trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và mang tính hủy diệt xảy ra tại nhiều cơ quan chính phủ ở Ukraina vào giữa tháng 1 năm 2022.
Crimson Sandstorm
Microsoft quan sát thấy tác nhân Crimson Sandstorm (trước đây là CURIUM) đang tận dụng một mạng lưới các tài khoản mạng xã hội giả để tạo dựng lòng tin trước đối tượng mục tiêu và phát tán phần mềm xấu với mục đích cuối cùng là lấy cắp dữ liệu.
Diamond Sleet
Tác nhân bị Microsoft theo dõi với cái tên Diamond Sleet là một nhóm hoạt động có trụ sở tại Triều Tiên, nhắm vào các ngành truyền thông, quốc phòng và công nghệ thông tin (CNTT) trên toàn cầu. Diamond Sleet tập trung vào hoạt động gián điệp, đánh cắp dữ liệu cá nhân và dữ liệu công ty, thu lợi tài chính và phá hủy mạng công ty.
Gray Sandstorm
Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Diamond Sleet
Tác nhân bị Microsoft theo dõi với cái tên Diamond Sleet là một nhóm hoạt động có trụ sở tại Triều Tiên, nhắm vào các ngành truyền thông, quốc phòng và công nghệ thông tin (CNTT) trên toàn cầu. Diamond Sleet tập trung vào hoạt động gián điệp, đánh cắp dữ liệu cá nhân và dữ liệu công ty, thu lợi tài chính và phá hủy mạng công ty.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Gray Sandstorm
Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần.
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Smoke sandstorm
Smoke Sandstorm (trước đây là BOHRIUM/DEV-0056) đã xâm phạm các tài khoản email tại một công ty tích hợp CNTT có trụ sở tại Bahrain vào tháng 9 năm 2021. Công ty này cung cấp dịch vụ tích hợp CNTT cho các khách hàng đến từ Cơ quan Chính phủ Bahrain, những người có khả năng trở thành mục tiêu cuối cùng của Smoke Sandstorm.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Forest Blizzard
Forest Blizzard (trước đây là STRONTIUM) sử dụng nhiều kỹ thuật truy nhập ban đầu bao gồm khai thác lỗ hổng bảo mật đối với các ứng dụng trên web và để lấy thông tin xác thực, tấn công lừa đảo và triển khai công cụ lần dò mật khẩu chọn lọc/brute-force tự động thông qua TOR
Midnight Blizzard
Tác nhân mà Microsoft theo dõi với cái tên Midnight Blizzard (NOBELIUM) là một tác nhân đe dọa đến từ Nga, bị chính phủ Hoa Kỳ và Anh quy kết cho Cơ quan Tình báo Đối ngoại Liên bang Nga, còn được gọi là SVR.
Volt Typhoon
Tác nhân mà Microsoft theo dõi với tên Volt Typhoon là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon tập trung vào hoạt động gián điệp, trộm cắp dữ liệu và truy nhập thông tin xác thực.
Plaid Rain
Kể từ tháng 2 năm 2022, Plaid Rain (trước đây là POLONIUM) chủ yếu nhắm mục tiêu vào các tổ chức ở Israel, tập trung vào các ngành sản xuất thiết yếu, CNTT và công nghiệp quốc phòng của Israel.
Hazel Sandstorm
Hazel Sandstorm (trước đây là EUROPIUM) đã được liên kết công khai với Bộ Tình báo và An ninh Iran (MOIS). Microsoft đánh giá với độ tin cậy cao rằng vào ngày 15/07/2022, các tác nhân được chính phủ Iran bảo trợ đã tiến hành một cuộc tấn công mạng mang tính hủy diệt nhằm vào chính phủ Albania, làm gián đoạn các trang web của chính phủ và dịch vụ công.
Cadet Blizzard
Microsoft theo dõi Cadet Blizzard (trước đây là DEV-0586) là một nhóm đe dọa do GRU Nga bảo trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và mang tính hủy diệt xảy ra tại nhiều cơ quan chính phủ ở Ukraina vào giữa tháng 1 năm 2022.
Aqua Blizzard
Aqua Blizzard (trước đây là ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB).
Nylon Typhoon
Nylon Typhoon (trước đây là NICKEL) sử dụng phương pháp khai thác dựa trên hệ thống chưa được vá để xâm phạm các dịch vụ và thiết bị truy nhập từ xa. Sau khi xâm nhập thành công, chúng sử dụng những công cụ đánh cắp hoặc ăn trộm thông tin đăng nhập để có được thông tin xác thực hợp pháp, sau đó dùng những thông tin này để truy nhập vào tài khoản nạn nhân và giành quyền truy nhập vào các hệ thống có giá trị cao hơn.
Crimson Sandstorm
Microsoft quan sát thấy tác nhân Crimson Sandstorm (trước đây là CURIUM) đang tận dụng một mạng lưới các tài khoản mạng xã hội giả để tạo dựng lòng tin trước đối tượng mục tiêu và phát tán phần mềm xấu với mục đích cuối cùng là lấy cắp dữ liệu.
Diamond Sleet
Tác nhân bị Microsoft theo dõi với cái tên Diamond Sleet là một nhóm hoạt động có trụ sở tại Triều Tiên, nhắm vào các ngành truyền thông, quốc phòng và công nghệ thông tin (CNTT) trên toàn cầu. Diamond Sleet tập trung vào hoạt động gián điệp, đánh cắp dữ liệu cá nhân và dữ liệu công ty, thu lợi tài chính và phá hủy mạng công ty.
Gray Sandstorm
Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần.
Manatee Tempest
Manatee Tempest (trước đây là DEV-0243) là một tác nhân đe dọa thuộc nền kinh tế mã độc tống tiền dưới dạng dịch vụ (RaaS), hợp tác với các tác nhân đe dọa khác để cung cấp trình tải Cobalt Strike tùy chỉnh.
Wine tempest
Wine Tempest (trước đây là PARINACOTA) thường sử dụng mã độc tống tiền do con người điều khiển để thực hiện các cuộc tấn công, chủ yếu là triển khai mã độc tống tiền Wadhrama. Chúng có nhiều chiêu thức với khả năng thay đổi chiến thuật để phù hợp với nhu cầu và đã sử dụng các máy bị xâm phạm cho nhiều mục đích khác nhau, bao gồm cả khai thác tiền điện tử, gửi email rác hoặc làm máy trung gian để thực hiện các cuộc tấn công khác.
Smoke sandstorm
Smoke Sandstorm (trước đây là BOHRIUM/DEV-0056) đã xâm phạm các tài khoản email tại một công ty tích hợp CNTT có trụ sở tại Bahrain vào tháng 9 năm 2021. Công ty này cung cấp dịch vụ tích hợp CNTT cho các khách hàng đến từ Cơ quan Chính phủ Bahrain, những người có khả năng trở thành mục tiêu cuối cùng của Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (trước đây là DEV-0237) là một nhóm có liên quan đến việc phân phối mã độc tống tiền gây tác động lớn. Microsoft đã nhận thấy Pistachio Tempest sử dụng nhiều tải trọng mã độc tống tiền khác nhau theo thời gian khi nhóm này thử nghiệm các sản phẩm mã độc tống tiền mới dưới dạng dịch vụ (RaaS), từ Ryuk và Conti đến Hive, Nokoyawa và gần đây nhất là Agenda và Mindware.
Periwinkle Tempest
Periwinkle Tempest (trước đây là DEV-0193) chịu trách nhiệm phát triển, phân phối và quản lý nhiều tải trọng khác nhau, bao gồm Trickbot, Bazaloader và AnchorDNS.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Caramel Tsunami
Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng chưa từng biết, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác.
Silk Typhoon
Vào năm 2021, Silk Typhoon (trước đây là HAFNIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc.
Duyệt theo chủ đề
AI
Thông tin về mối đe dọa bạn có sẽ quyết định khả năng bảo mật của bạn
Hành vi xâm phạm email doanh nghiệp
Phân tích hành vi xâm phạm email doanh nghiệp
Mã độc tống tiền
Bảo vệ tổ chức của bạn khỏi mã độc tống tiền
Gặp gỡ các chuyên gia
Podcast của Microsoft Threat Intelligence
Hãy nghe những câu chuyện từ cộng đồng Microsoft Threat Intelligence khi họ vượt qua bối cảnh mối đe dọa ngày càng phát triển - khám phá các APT, nhóm tội phạm mạng, phần mềm gây hại, lỗ hổng bảo mật, v.v. trong thế giới các mối đe dọa trên mạng.
Gặp gỡ các chuyên gia
Hồ sơ chuyên gia
Bảo vệ chống lại việc đánh tráo SIM, lừa đảo phi kỹ thuật dựa trên AI
Hồ sơ chuyên gia
Gặp gỡ các chuyên gia theo dõi mánh khóe gian lận thẻ quà tặng của nhóm Storm-0539
Hồ sơ chuyên gia
Hồ sơ chuyên gia: Homa Hayatyfar
Khám phá báo cáo thông tin
Báo cáo Phòng vệ số Microsoft
Phiên bản mới nhất của Báo cáo Phòng vệ số Microsoft khai phá bối cảnh mối đe dọa ngày càng gia tăng và tìm hiểu các cơ hội cũng như thử thách khi chúng ta có khả năng phục hồi mạng.
Duy trì phòng vệ số thực tiễn
An toàn mạng
An toàn mạng cơ bản ngăn chặn 99% các cuộc tấn công
Tìm kiếm mối đe dọa
Tìm hiểu Kiến thức cơ bản về tìm kiếm mối đe dọa
Tội phạm mạng
Ngăn chặn tội phạm mạng lạm dụng công cụ bảo mật
Tìm hiểu thêm
Blog thông tin về mối đe dọa của Microsoft
Nhận thêm thông tin chuyên sâu mới nhất từ Blog thông tin về mối đe dọa của Microsoft, bao gồm các mối đe dọa và hướng dẫn mới nhất nhằm giúp bảo vệ khách hàng.
Tìm kiếm các mối đe dọa
Chuỗi thử thách mạng từ Microsoft và KC7
Trong trò chơi thám tử an ninh mạng này, hãy đóng vai nhà phân tích mối đe dọa và tìm hiểu cách điều tra các hành vi xâm nhập thực tế.
Theo dõi Microsoft Security