Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
Security Insider
Trusselinformasjon og handlingsrettet innsikt for å ligge i forkant
Fremvoksende trusler
Den årlige gjennomgangen av trusselinformasjon for 2023: Viktig innsikt og utvikling
Microsoft trusselinformasjon avrunder de viktigste trusselaktørtrendene innen teknikk, taktikk og prosedyrer (TTP-er) fra 2023.
Siste nyheter
Innsiktsrapporter
Navigere i cybertrusler og styrke forsvaret i tidsalderen for kunstig intelligens
Innsiktsrapporter
Iran øker cyberaktiverte påvirkningsoperasjoner til støtte for Hamas
Fremvoksende trusler
Svindel gjennom sosial manipulering får næring fra tillitsøkonomien
Innsikt i trusselaktører
Microsoft Sikkerhet sporer aktivt trusselaktører på tvers av observerte nasjonalstater, løsepengevirus og kriminelle aktiviteter. Denne innsikten representerer offentlig publisert aktivitet fra trusselforskere i Microsoft Sikkerhet og gir en sentralisert katalog over aktørprofiler fra de omtalte bloggene.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) prøver vanligvis å kompromittere personlige kontoer til enkeltpersoner gjennom målrettet phishing og bruk av sosial manipulering, for å skape en relasjon med ofrene før de retter seg mot dem
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselaktør som er en del av løsepengevirus som tjeneste (RaaS) -økonomien, som går sammen med andre trusselaktører for å gi tilpassede Cobalt Strike-lastere.
Wine Tempest
Wine Tempest (tidligere PARINACOTA) bruker vanligvis menneskestyrt løsepengevirus for angrep, og distribuerer hovedsakelig Wadhrama-løsepengevirus. De er ressursrike, og endrer taktikk som samsvarer med behovene, og har brukt kompromitterte maskiner til ulike formål, inkludert kryptovaluta-utvinning, sending av søppelpost, eller vært proxy for andre angrep.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterte e-postkontoer i et IT-integrasjonsselskap basert i Bahrain i september 2021. Dette selskapet jobber med IT-integrasjon med klienter hos bahrainske myndigheter, som sannsynligvis var Smoke Sandstorms ultimate mål.
Storm-0530
En gruppe aktører med opprinnelse i Nord-Korea, som Microsoft følger som Storm-0530 (tidligere DEV-0530), har utviklet og brukt løsepengevirus i angrep siden juni 2021.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) har vært offentlig koblet til Etterretningsministeriet i Iran (MOIS). Microsoft mener med stor sikkerhet at aktører sponset av iranske myndigheter gjennomførte et destruktivt cyberangrep mot albanske myndigheter 15. juli 2022, og forstyrret statlige nettsteder og offentlige tjenester.
Cadet Blizzard
Microsoft følger Cadet Blizzard (tidligere DEV-0586) som en russisk statssponset trusselaktør som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe forbundet med effektiv distribusjon av løsepengevirus. Microsoft har observert at Pistachio Tempest bruker en rekke ulike løsepengevirusnyttelaster over tid, etter hvert som gruppen eksperimenterer med nye løsepengevirus som tjeneste (RaaS) -tilbud, fra Ryuk og Conti til Hive, Nokoyawa, og Agenda og Mindware nå nylig.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for utvikling, distribusjon og administrasjon av mange forskjellige nyttelaster, blant annet Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruker utnyttelser mot systemer som ikke er sikkerhetskopiert, for å kompromittere tjenester og utstyr med ekstern tilgang. Etter en vellykket inntrenging hadde de brukt legitimasjonsdumper eller -tyver til å få tak i legitimasjonen, som de deretter brukte til å få tilgang til offerkontoer og for å få tilgang til systemer med høyere verdi.
Crimson Sandstorm
Crimson Sandstorm (tidligere CURIUM) -aktører har blitt observert å utnytte et nettverk av fiktive sosiale mediekontoer for å bygge tillit hos målene og levere skadelig programvare for å til syvende og sist eksfiltrere data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselaktør som gjennomfører globale aktiviteter på vegne nordkoreanske myndigheter. Diamond Sleet har vært aktiv siden minst 2009, og er kjent for å rette seg mot bransjer innen media, forsvar, informasjonsteknologi og vitenskapelig forskning, samt sikkerhetsforskere med fokus på spionasje, datatyveri, økonomisk vinning og ødeleggelse av nettverk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) prøver vanligvis å kompromittere personlige kontoer til enkeltpersoner gjennom målrettet phishing og bruk av sosial manipulering, for å skape en relasjon med ofrene før de retter seg mot dem
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Crimson Sandstorm
Crimson Sandstorm (tidligere CURIUM) -aktører har blitt observert å utnytte et nettverk av fiktive sosiale mediekontoer for å bygge tillit hos målene og levere skadelig programvare for å til syvende og sist eksfiltrere data.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for utvikling, distribusjon og administrasjon av mange forskjellige nyttelaster, blant annet Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Cadet Blizzard
Microsoft følger Cadet Blizzard (tidligere DEV-0586) som en russisk statssponset trusselaktør som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) prøver vanligvis å kompromittere personlige kontoer til enkeltpersoner gjennom målrettet phishing og bruk av sosial manipulering, for å skape en relasjon med ofrene før de retter seg mot dem
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterte e-postkontoer i et IT-integrasjonsselskap basert i Bahrain i september 2021. Dette selskapet jobber med IT-integrasjon med klienter hos bahrainske myndigheter, som sannsynligvis var Smoke Sandstorms ultimate mål.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) har vært offentlig koblet til Etterretningsministeriet i Iran (MOIS). Microsoft mener med stor sikkerhet at aktører sponset av iranske myndigheter gjennomførte et destruktivt cyberangrep mot albanske myndigheter 15. juli 2022, og forstyrret statlige nettsteder og offentlige tjenester.
Cadet Blizzard
Microsoft følger Cadet Blizzard (tidligere DEV-0586) som en russisk statssponset trusselaktør som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruker utnyttelser mot systemer som ikke er sikkerhetskopiert, for å kompromittere tjenester og utstyr med ekstern tilgang. Etter en vellykket inntrenging hadde de brukt legitimasjonsdumper eller -tyver til å få tak i legitimasjonen, som de deretter brukte til å få tilgang til offerkontoer og for å få tilgang til systemer med høyere verdi.
Crimson Sandstorm
Crimson Sandstorm (tidligere CURIUM) -aktører har blitt observert å utnytte et nettverk av fiktive sosiale mediekontoer for å bygge tillit hos målene og levere skadelig programvare for å til syvende og sist eksfiltrere data.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe forbundet med effektiv distribusjon av løsepengevirus. Microsoft har observert at Pistachio Tempest bruker en rekke ulike løsepengevirusnyttelaster over tid, etter hvert som gruppen eksperimenterer med nye løsepengevirus som tjeneste (RaaS) -tilbud, fra Ryuk og Conti til Hive, Nokoyawa, og Agenda og Mindware nå nylig.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for utvikling, distribusjon og administrasjon av mange forskjellige nyttelaster, blant annet Trickbot, Bazaloader og AnchorDNS.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselaktør som er en del av løsepengevirus som tjeneste (RaaS) -økonomien, som går sammen med andre trusselaktører for å gi tilpassede Cobalt Strike-lastere.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterte e-postkontoer i et IT-integrasjonsselskap basert i Bahrain i september 2021. Dette selskapet jobber med IT-integrasjon med klienter hos bahrainske myndigheter, som sannsynligvis var Smoke Sandstorms ultimate mål.
Storm-0530
En gruppe aktører med opprinnelse i Nord-Korea, som Microsoft følger som Storm-0530 (tidligere DEV-0530), har utviklet og brukt løsepengevirus i angrep siden juni 2021.
Mint Sandstorm
Mint Sandstorm (tidligere PHOSPHORUS) prøver vanligvis å kompromittere personlige kontoer til enkeltpersoner gjennom målrettet phishing og bruk av sosial manipulering, for å skape en relasjon med ofrene før de retter seg mot dem
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruker utnyttelser mot systemer som ikke er sikkerhetskopiert, for å kompromittere tjenester og utstyr med ekstern tilgang. Etter en vellykket inntrenging hadde de brukt legitimasjonsdumper eller -tyver til å få tak i legitimasjonen, som de deretter brukte til å få tilgang til offerkontoer og for å få tilgang til systemer med høyere verdi.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselaktør som gjennomfører globale aktiviteter på vegne nordkoreanske myndigheter. Diamond Sleet har vært aktiv siden minst 2009, og er kjent for å rette seg mot bransjer innen media, forsvar, informasjonsteknologi og vitenskapelig forskning, samt sikkerhetsforskere med fokus på spionasje, datatyveri, økonomisk vinning og ødeleggelse av nettverk.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Cadet Blizzard
Microsoft følger Cadet Blizzard (tidligere DEV-0586) som en russisk statssponset trusselaktør som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022.
Crimson Sandstorm
Crimson Sandstorm (tidligere CURIUM) -aktører har blitt observert å utnytte et nettverk av fiktive sosiale mediekontoer for å bygge tillit hos målene og levere skadelig programvare for å til syvende og sist eksfiltrere data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselaktør som gjennomfører globale aktiviteter på vegne nordkoreanske myndigheter. Diamond Sleet har vært aktiv siden minst 2009, og er kjent for å rette seg mot bransjer innen media, forsvar, informasjonsteknologi og vitenskapelig forskning, samt sikkerhetsforskere med fokus på spionasje, datatyveri, økonomisk vinning og ødeleggelse av nettverk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselaktør som gjennomfører globale aktiviteter på vegne nordkoreanske myndigheter. Diamond Sleet har vært aktiv siden minst 2009, og er kjent for å rette seg mot bransjer innen media, forsvar, informasjonsteknologi og vitenskapelig forskning, samt sikkerhetsforskere med fokus på spionasje, datatyveri, økonomisk vinning og ødeleggelse av nettverk.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger.
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterte e-postkontoer i et IT-integrasjonsselskap basert i Bahrain i september 2021. Dette selskapet jobber med IT-integrasjon med klienter hos bahrainske myndigheter, som sannsynligvis var Smoke Sandstorms ultimate mål.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Forest Blizzard
Forest Blizzard (tidligere STRONTIUM) bruker en rekke teknikker for å få tilgang i første omgang, blant annet utnytter de programmer som er sårbare på Internett-siden, og bruker målrettet phishing og utrulling av et automatisert verktøy for passordspray / rå kraft som drives via TOR, for å få tak i påloggingsinformasjon
Midnight Blizzard
Aktøren som Microsoft følger som Midnight Blizzard (NOBELIUM) er trusselaktør med base i Russland, tilskrevet av amerikanske og britiske myndigheter som Foreign Intelligence Service of the Russian Federation, også kjent som SVR.
Volt Typhoon
Aktøren som Microsoft følger som Volt Typhoon, er en statlig aktivitetsgruppe med base i Kina. Volt Typhoon fokuserer på spionasje, datatyveri, og legitimasjonstilgang.
Plaid Rain
Siden februar 2022 har Plaid Rain (tidligere POLONIUM) blitt observert å hovedsakelig rette seg mot organisasjoner i Israel med fokus på kritisk produksjon, IT og Israels forsvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidligere EUROPIUM) har vært offentlig koblet til Etterretningsministeriet i Iran (MOIS). Microsoft mener med stor sikkerhet at aktører sponset av iranske myndigheter gjennomførte et destruktivt cyberangrep mot albanske myndigheter 15. juli 2022, og forstyrret statlige nettsteder og offentlige tjenester.
Cadet Blizzard
Microsoft følger Cadet Blizzard (tidligere DEV-0586) som en russisk statssponset trusselaktør som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022.
Aqua Blizzard
Aqua Blizzard (tidligere ACTINIUM) bruker målrettet phishing-e-post med skadelige makrovedlegg som bruker eksterne maler. Hovedmålet til Aqua Blizzards aktiviteter er å oppnå vedvarende tilgang til målrettede nettverk, via distribusjon av tilpasset skadelig programvare og kommersielle verktøy, med den hensikt å hente inn informasjon.
Nylon Typhoon
Nylon Typhoon (tidligere NICKEL) bruker utnyttelser mot systemer som ikke er sikkerhetskopiert, for å kompromittere tjenester og utstyr med ekstern tilgang. Etter en vellykket inntrenging hadde de brukt legitimasjonsdumper eller -tyver til å få tak i legitimasjonen, som de deretter brukte til å få tilgang til offerkontoer og for å få tilgang til systemer med høyere verdi.
Crimson Sandstorm
Crimson Sandstorm (tidligere CURIUM) -aktører har blitt observert å utnytte et nettverk av fiktive sosiale mediekontoer for å bygge tillit hos målene og levere skadelig programvare for å til syvende og sist eksfiltrere data.
Diamond Sleet
Diamond Sleet (tidligere ZINC) er en trusselaktør som gjennomfører globale aktiviteter på vegne nordkoreanske myndigheter. Diamond Sleet har vært aktiv siden minst 2009, og er kjent for å rette seg mot bransjer innen media, forsvar, informasjonsteknologi og vitenskapelig forskning, samt sikkerhetsforskere med fokus på spionasje, datatyveri, økonomisk vinning og ødeleggelse av nettverk.
Gray Sandstorm
Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger.
Manatee Tempest
Manatee Tempest (tidligere DEV-0243) er en trusselaktør som er en del av løsepengevirus som tjeneste (RaaS) -økonomien, som går sammen med andre trusselaktører for å gi tilpassede Cobalt Strike-lastere.
Wine Tempest
Wine Tempest (tidligere PARINACOTA) bruker vanligvis menneskestyrt løsepengevirus for angrep, og distribuerer hovedsakelig Wadhrama-løsepengevirus. De er ressursrike, og endrer taktikk som samsvarer med behovene, og har brukt kompromitterte maskiner til ulike formål, inkludert kryptovaluta-utvinning, sending av søppelpost, eller vært proxy for andre angrep.
Smoke Sandstorm
Smoke Sandstorm (tidligere BOHRIUM/DEV-0056) kompromitterte e-postkontoer i et IT-integrasjonsselskap basert i Bahrain i september 2021. Dette selskapet jobber med IT-integrasjon med klienter hos bahrainske myndigheter, som sannsynligvis var Smoke Sandstorms ultimate mål.
Pistachio Tempest
Pistachio Tempest (tidligere DEV-0237) er en gruppe forbundet med effektiv distribusjon av løsepengevirus. Microsoft har observert at Pistachio Tempest bruker en rekke ulike løsepengevirusnyttelaster over tid, etter hvert som gruppen eksperimenterer med nye løsepengevirus som tjeneste (RaaS) -tilbud, fra Ryuk og Conti til Hive, Nokoyawa, og Agenda og Mindware nå nylig.
Periwinkle Tempest
Periwinkle Tempest (tidligere DEV-0193) er ansvarlig for utvikling, distribusjon og administrasjon av mange forskjellige nyttelaster, blant annet Trickbot, Bazaloader og AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Caramel Tsunami
Caramel Tsunami (tidligere SOURGUM) selger vanligvis cybervåpen, vanligvis skadelig programvare og nulldagsutnyttelser, som en del av en hacking-som-tjeneste-pakke, som selges til offentlige etater og andre ondsinnede aktører.
Silk Typhoon
I 2021 brukte Silk Typhoon (tidligere HAFNIUM) nulldagsutnyttelse for å angripe lokale versjoner av Microsoft Exchange Server i begrensede og målrettede angrep.
Bla gjennom etter emne
Kunstig intelligens
Sikkerheten er ikke bedre enn trusselinformasjonen
Kompromittering av forretnings-e-post
Analyse av kompromittering av e-post
Løsepengevirus
Beskytt organisasjonen mot løsepengevirus
Møt ekspertene
Ekspertprofil: Homa Hayatyfar
Leder for data og anvendt vitenskap, Homa Hayatyfar, beskriver bruken av maskinlæringsmodeller til å forsterke forsvaret, bare én av mange måter kunstig intelligens endrer sikkerhetslandskapet på.
Møt ekspertene
Ekspertprofil
Datatrusselinformasjon i en geopolitisk kontekst
Ekspertprofil
Ekspertråd om de tre mest vedvarende utfordringene innen cybersikkerhet
Ekspertprofil
Sikkerhetsforsker Dustin Duran forteller hvordan man tenker som en angriper
Utforsk innsiktsrapporter
Microsoft-rapport om digitalt forsvar fra 2023
Den siste utgaven av Microsoft-rapporten om digitalt forsvar utforsker det fremvoksende trussellandskapet og går gjennom muligheter og utfordringer etter hvert som vi blir cybermotstandsdyktige.
Oppretthold praktisk cyberforsvar
Cyberhygiene
Grunnleggende cyberhygiene forhindrer 99 % av angrepene
Trusseljakt
Lær det grunnleggende om jakten på datatrusler
Cyberkriminalitet
Stoppe nettkriminelle fra å misbruke sikkerhetsverktøy
Kom i gang
Bli med på Microsoft-arrangementer
Utvid ekspertisen din, lær nye ferdigheter, og bygg fellesskap med Microsoft-arrangementer og læringsmuligheter.
Snakk med oss
Følg Microsoft