安全性測試人員
保持領先的威脅情報與可採取動作的深入解析
宣布全新 Security Insider:本月稍晚將推出更多針對資安長 (CISO) 的分析、見解與觀點。
威脅行為者深入解析
Microsoft 安全性部門正在積極追蹤觀察到的國家/地區、勒索軟體和犯罪活動中的威脅行為者。這些見解反映了 Microsoft 威脅研究人員公開發佈的活動,並提供引用部落格中的行為者設定檔的集中目錄。
Mint Sandstorm
Mint Sandstorm(前身為 PHOSPHORUS)是一個與伊朗有關聯的活動團體,至少自 2013 年以來一直活躍至今。
Manatee Tempest
Manatee Tempest (前身為 DEV-0243) 是威脅行為者屬於勒索軟體即服務 (RaaS) 經濟成員,與其他威脅行為者合作提供訂製的 Cobalt Strike 載入器。
Wine Tempest
Wine Tempest (前身為 PARINACOTA) 通常使用人為操作的勒索軟體進行攻擊,主要部署 Wadhrama 勒索軟體。他們足智多謀,會改變策略以符合需求,並將遭入侵的機器利用於各種目的,包括加密貨幣採礦、發送垃圾郵件或代理其它攻擊。
Smoke Sandstorm
2021 年 9 月,Smoke Sandstorm (前身為 BOHRIUM/DEV-0056) 入侵一家位於巴林的 IT 整合公司的電子郵件帳戶。該公司致力於與巴林政府客戶進行 IT 整合,這些客戶可能是 Smoke Sandstorm 的最終目標。
Storm-0530
自 2021 年 6 月以來,Microsoft 追蹤為 Storm-0530 (前身為 DEV-0530) 的一群北韓行為者不斷地開發和使用勒索軟體進行攻擊。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Hazel Sandstorm
Hazel Sandstorm (前身為EUROPIUM) 已公開與伊朗情報與國家安全部 (MOIS) 有聯繫。Microsoft 非常有信心地確定,2022 年 7 月 15 日,伊朗政府贊助的行為者對阿爾巴尼亞政府進行破壞性網路攻擊,擾亂了政府網站和公共服務。
Cadet Blizzard
Microsoft 追蹤 Cadet Blizzard(前身為 DEV-0586)是俄羅斯 GRU 贊助的威脅組織,Microsoft 在 2022 年 1 月中旬烏克蘭多個政府機構發生破壞性和毀滅性事件後開始跟蹤該組織。
Pistachio Tempest
Pistachio Tempest (前身為 DEV-0237) 是一個與具影響力勒索軟體散布相關的組織。Microsoft 觀察到 Pistachio Tempest 隨著時間的推移使用不同的勒索軟體承載,該組織正在實驗新的勒索軟體即服務 (RaaS) 供應項目,從 Ryuk 和 Conti 到 Hive、Nokoyawa,以及最近的 Agenda 和 Mindware。
Periwinkle Tempest
Periwinkle Tempest (前身為 DEV-0193) 負責開發、發佈和管理許多不同的承載,包括 Trickbot、Bazaloader 和 AnchorDNS。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Nylon Typhoon
Nylon Typhoon (前身為 NICKEL) 惡意探索未修補的系統漏洞來入侵遠端存取服務和設備。成功入侵後,他們使用認證備份程式或竊取程式來獲取合法認證,然後利用這些認證來存取受害者帳戶,並存取更高價值的系統。
Crimson Sandstorm
根據觀察指出,Crimson Sandstorm (前身為 CURIUM) 行為者利用虛構的社交媒體帳戶網路建立與目標的信任,並傳播惡意軟體,最終以竊取資料為目的。
Diamond Sleet
Microsoft 追蹤的行為者 Diamond Sleet 是總部位於北韓的活動組織,以針對全球媒體、國防和資訊技術 (IT) 產業為目標而聞名。Diamond Sleet 專注於間諜活動、個人和公司資料的竊取、財務獲取和公司網路破壞。
Gray Sandstorm
Gray Sandstorm (前身為 DEV-0343) 進行廣泛的密碼噴灑,模擬 Firefox 瀏覽器並使用託管在 Tor Proxy 網路上的 IP。它們通常以組織內的數十到數百個帳戶為目標 (具體取決於組織模規) 並將每個帳戶列舉數十到數千次做為攻擊目標。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Mint Sandstorm
Mint Sandstorm(前身為 PHOSPHORUS)是一個與伊朗有關聯的活動團體,至少自 2013 年以來一直活躍至今。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Crimson Sandstorm
根據觀察指出,Crimson Sandstorm (前身為 CURIUM) 行為者利用虛構的社交媒體帳戶網路建立與目標的信任,並傳播惡意軟體,最終以竊取資料為目的。
Gray Sandstorm
Gray Sandstorm (前身為 DEV-0343) 進行廣泛的密碼噴灑,模擬 Firefox 瀏覽器並使用託管在 Tor Proxy 網路上的 IP。它們通常以組織內的數十到數百個帳戶為目標 (具體取決於組織模規) 並將每個帳戶列舉數十到數千次做為攻擊目標。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Periwinkle Tempest
Periwinkle Tempest (前身為 DEV-0193) 負責開發、發佈和管理許多不同的承載,包括 Trickbot、Bazaloader 和 AnchorDNS。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Cadet Blizzard
Microsoft 追蹤 Cadet Blizzard(前身為 DEV-0586)是俄羅斯 GRU 贊助的威脅組織,Microsoft 在 2022 年 1 月中旬烏克蘭多個政府機構發生破壞性和毀滅性事件後開始跟蹤該組織。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Mint Sandstorm
Mint Sandstorm(前身為 PHOSPHORUS)是一個與伊朗有關聯的活動團體,至少自 2013 年以來一直活躍至今。
Smoke Sandstorm
2021 年 9 月,Smoke Sandstorm (前身為 BOHRIUM/DEV-0056) 入侵一家位於巴林的 IT 整合公司的電子郵件帳戶。該公司致力於與巴林政府客戶進行 IT 整合,這些客戶可能是 Smoke Sandstorm 的最終目標。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Hazel Sandstorm
Hazel Sandstorm (前身為EUROPIUM) 已公開與伊朗情報與國家安全部 (MOIS) 有聯繫。Microsoft 非常有信心地確定,2022 年 7 月 15 日,伊朗政府贊助的行為者對阿爾巴尼亞政府進行破壞性網路攻擊,擾亂了政府網站和公共服務。
Cadet Blizzard
Microsoft 追蹤 Cadet Blizzard(前身為 DEV-0586)是俄羅斯 GRU 贊助的威脅組織,Microsoft 在 2022 年 1 月中旬烏克蘭多個政府機構發生破壞性和毀滅性事件後開始跟蹤該組織。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Nylon Typhoon
Nylon Typhoon (前身為 NICKEL) 惡意探索未修補的系統漏洞來入侵遠端存取服務和設備。成功入侵後,他們使用認證備份程式或竊取程式來獲取合法認證,然後利用這些認證來存取受害者帳戶,並存取更高價值的系統。
Crimson Sandstorm
根據觀察指出,Crimson Sandstorm (前身為 CURIUM) 行為者利用虛構的社交媒體帳戶網路建立與目標的信任,並傳播惡意軟體,最終以竊取資料為目的。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Pistachio Tempest
Pistachio Tempest (前身為 DEV-0237) 是一個與具影響力勒索軟體散布相關的組織。Microsoft 觀察到 Pistachio Tempest 隨著時間的推移使用不同的勒索軟體承載,該組織正在實驗新的勒索軟體即服務 (RaaS) 供應項目,從 Ryuk 和 Conti 到 Hive、Nokoyawa,以及最近的 Agenda 和 Mindware。
Periwinkle Tempest
Periwinkle Tempest (前身為 DEV-0193) 負責開發、發佈和管理許多不同的承載,包括 Trickbot、Bazaloader 和 AnchorDNS。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個位於中國以外的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Manatee Tempest
Manatee Tempest (前身為 DEV-0243) 是威脅行為者屬於勒索軟體即服務 (RaaS) 經濟成員,與其他威脅行為者合作提供訂製的 Cobalt Strike 載入器。
Smoke Sandstorm
2021 年 9 月,Smoke Sandstorm (前身為 BOHRIUM/DEV-0056) 入侵一家位於巴林的 IT 整合公司的電子郵件帳戶。該公司致力於與巴林政府客戶進行 IT 整合,這些客戶可能是 Smoke Sandstorm 的最終目標。
Storm-0530
自 2021 年 6 月以來,Microsoft 追蹤為 Storm-0530 (前身為 DEV-0530) 的一群北韓行為者不斷地開發和使用勒索軟體進行攻擊。
Mint Sandstorm
Mint Sandstorm(前身為 PHOSPHORUS)是一個與伊朗有關聯的活動團體,至少自 2013 年以來一直活躍至今。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Nylon Typhoon
Nylon Typhoon (前身為 NICKEL) 惡意探索未修補的系統漏洞來入侵遠端存取服務和設備。成功入侵後,他們使用認證備份程式或竊取程式來獲取合法認證,然後利用這些認證來存取受害者帳戶,並存取更高價值的系統。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Diamond Sleet
Microsoft 追蹤的行為者 Diamond Sleet 是總部位於北韓的活動組織,以針對全球媒體、國防和資訊技術 (IT) 產業為目標而聞名。Diamond Sleet 專注於間諜活動、個人和公司資料的竊取、財務獲取和公司網路破壞。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Cadet Blizzard
Microsoft 追蹤 Cadet Blizzard(前身為 DEV-0586)是俄羅斯 GRU 贊助的威脅組織,Microsoft 在 2022 年 1 月中旬烏克蘭多個政府機構發生破壞性和毀滅性事件後開始跟蹤該組織。
Crimson Sandstorm
根據觀察指出,Crimson Sandstorm (前身為 CURIUM) 行為者利用虛構的社交媒體帳戶網路建立與目標的信任,並傳播惡意軟體,最終以竊取資料為目的。
Diamond Sleet
Microsoft 追蹤的行為者 Diamond Sleet 是總部位於北韓的活動組織,以針對全球媒體、國防和資訊技術 (IT) 產業為目標而聞名。Diamond Sleet 專注於間諜活動、個人和公司資料的竊取、財務獲取和公司網路破壞。
Gray Sandstorm
Gray Sandstorm (前身為 DEV-0343) 進行廣泛的密碼噴灑,模擬 Firefox 瀏覽器並使用託管在 Tor Proxy 網路上的 IP。它們通常以組織內的數十到數百個帳戶為目標 (具體取決於組織模規) 並將每個帳戶列舉數十到數千次做為攻擊目標。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Diamond Sleet
Microsoft 追蹤的行為者 Diamond Sleet 是總部位於北韓的活動組織,以針對全球媒體、國防和資訊技術 (IT) 產業為目標而聞名。Diamond Sleet 專注於間諜活動、個人和公司資料的竊取、財務獲取和公司網路破壞。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Gray Sandstorm
Gray Sandstorm (前身為 DEV-0343) 進行廣泛的密碼噴灑,模擬 Firefox 瀏覽器並使用託管在 Tor Proxy 網路上的 IP。它們通常以組織內的數十到數百個帳戶為目標 (具體取決於組織模規) 並將每個帳戶列舉數十到數千次做為攻擊目標。
Smoke Sandstorm
2021 年 9 月,Smoke Sandstorm (前身為 BOHRIUM/DEV-0056) 入侵一家位於巴林的 IT 整合公司的電子郵件帳戶。該公司致力於與巴林政府客戶進行 IT 整合,這些客戶可能是 Smoke Sandstorm 的最終目標。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
Forest Blizzard
Forest Blizzard(前身為 STRONTIUM)使用各種初始存取技術,包括利用易受 Web 攻擊的應用程式,以及獲取登入資訊、魚叉式網路釣魚和部署通過 TOR 操作的自動密碼噴灑/暴力強制結束工具
Midnight Blizzard
Microsoft 追蹤的 Midnight Blizzard (NOBELIUM) 執行者是美國和英國政府歸屬為俄羅斯聯邦外國情報局 (也稱為 SVR) 的威脅行為者。
Volt Typhoon
Microsoft 追蹤的行為者 Volt Typhoon 是一個總部位於中國的國家/地區活動組織。Volt Typhoon 專注於間諜活動、資料竊取和認證存取。
Plaid Rain
2022 年 2 月以來,Plaid Rain (前身為 POLONIUM) 主要針對以色列組織,重點是關鍵製造業、IT 和以色列的國防工業。
Hazel Sandstorm
Hazel Sandstorm (前身為EUROPIUM) 已公開與伊朗情報與國家安全部 (MOIS) 有聯繫。Microsoft 非常有信心地確定,2022 年 7 月 15 日,伊朗政府贊助的行為者對阿爾巴尼亞政府進行破壞性網路攻擊,擾亂了政府網站和公共服務。
Cadet Blizzard
Microsoft 追蹤 Cadet Blizzard(前身為 DEV-0586)是俄羅斯 GRU 贊助的威脅組織,Microsoft 在 2022 年 1 月中旬烏克蘭多個政府機構發生破壞性和毀滅性事件後開始跟蹤該組織。
Aqua Blizzard
Microsoft 追蹤的行為者 Aqua Blizzard (前身為 ACTINIUM) 是一個位於俄羅斯以外的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。
Nylon Typhoon
Nylon Typhoon (前身為 NICKEL) 惡意探索未修補的系統漏洞來入侵遠端存取服務和設備。成功入侵後,他們使用認證備份程式或竊取程式來獲取合法認證,然後利用這些認證來存取受害者帳戶,並存取更高價值的系統。
Crimson Sandstorm
根據觀察指出,Crimson Sandstorm (前身為 CURIUM) 行為者利用虛構的社交媒體帳戶網路建立與目標的信任,並傳播惡意軟體,最終以竊取資料為目的。
Diamond Sleet
Microsoft 追蹤的行為者 Diamond Sleet 是總部位於北韓的活動組織,以針對全球媒體、國防和資訊技術 (IT) 產業為目標而聞名。Diamond Sleet 專注於間諜活動、個人和公司資料的竊取、財務獲取和公司網路破壞。
Gray Sandstorm
Gray Sandstorm (前身為 DEV-0343) 進行廣泛的密碼噴灑,模擬 Firefox 瀏覽器並使用託管在 Tor Proxy 網路上的 IP。它們通常以組織內的數十到數百個帳戶為目標 (具體取決於組織模規) 並將每個帳戶列舉數十到數千次做為攻擊目標。
Manatee Tempest
Manatee Tempest (前身為 DEV-0243) 是威脅行為者屬於勒索軟體即服務 (RaaS) 經濟成員,與其他威脅行為者合作提供訂製的 Cobalt Strike 載入器。
Wine Tempest
Wine Tempest (前身為 PARINACOTA) 通常使用人為操作的勒索軟體進行攻擊,主要部署 Wadhrama 勒索軟體。他們足智多謀,會改變策略以符合需求,並將遭入侵的機器利用於各種目的,包括加密貨幣採礦、發送垃圾郵件或代理其它攻擊。
Smoke Sandstorm
2021 年 9 月,Smoke Sandstorm (前身為 BOHRIUM/DEV-0056) 入侵一家位於巴林的 IT 整合公司的電子郵件帳戶。該公司致力於與巴林政府客戶進行 IT 整合,這些客戶可能是 Smoke Sandstorm 的最終目標。
Pistachio Tempest
Pistachio Tempest (前身為 DEV-0237) 是一個與具影響力勒索軟體散布相關的組織。Microsoft 觀察到 Pistachio Tempest 隨著時間的推移使用不同的勒索軟體承載,該組織正在實驗新的勒索軟體即服務 (RaaS) 供應項目,從 Ryuk 和 Conti 到 Hive、Nokoyawa,以及最近的 Agenda 和 Mindware。
Periwinkle Tempest
Periwinkle Tempest (前身為 DEV-0193) 負責開發、發佈和管理許多不同的承載,包括 Trickbot、Bazaloader 和 AnchorDNS。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Caramel Tsunami
Caramel Tsunami (前身為 SOURGUM) 經常販賣網路武器,通常是以惡意程式碼和零時差惡意探索作為駭客服務封裝的一部分,出售給政府機構和其他惡意行為者。
Silk Typhoon
2021 年,Silk Typhoon(前身為 HAFNIUM)是一個總部位於中國以外的國家/地區活動團體。
專家訪談
Microsoft 威脅情報播客
聆聽 Microsoft 威脅情報社區的故事,隨著他們在不斷變化的威脅環境中導航 - 在網路威脅世界中發現 APT、網路犯罪團夥、惡意軟體、漏洞等。
關注 Microsoft 安全性