Ottieni informazioni dettagliate dagli esperti su Microsoft Threat Intelligence Podcast. Ascolta adesso.
Security Insider
Intelligence sulle minacce e informazioni di utilità pratica per essere un passo avanti
Minacce emergenti
Sintesi dell'intelligence sulle minacce per il 2023: informazioni dettagliate e sviluppi chiave
Microsoft Threat Intelligence raccoglie le tendenze dei principali attori di minacce in relazione a tecniche, tattiche e procedure (TTP) del 2023.
Ultime novità
Report sull'intelligence
Alla scoperta delle minacce informatiche per rafforzare le difese nell'era dell'IA
Report sull'intelligence
L'Iran intensifica le operazioni informatiche di influenza a sostegno di Hamas
Minacce emergenti
Approfittare dell'economia della fiducia: la frode dell'ingegneria sociale
Informazioni dettagliate sugli attori di minacce
Microsoft Security segue attivamente gli attori di minacce tra stati-nazioni, ransomware e attività criminali sotto osservazione. Queste informazioni dettagliate rappresentano le attività edite pubblicamente dai ricercatori di minacce di Microsoft Security e forniscono un catalogo centralizzato dei profili degli attori partendo dai blog di riferimento.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) cerca in genere di compromettere gli account personali tramite spear phishing e l'utilizzo dell'ingegneria sociale per creare un rapporto con le vittime prima di attaccarle.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Wine Tempest
Wine Tempest (in precedenza PARINACOTA) in genere usa ransomware con intervento umano per gli attacchi, distribuendo soprattutto il ransomware Wadhrama. Oltre a tattiche ingegnose e in evoluzione per soddisfare le sue esigenze, ha usato computer compromessi per vari scopi, tra cui il mining di criptovalute, l'invio di posta indesiderata o l'uso di proxy per altri attacchi.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Storm-0530
Un gruppo di attori originari della Corea del Nord che Microsoft monitora come Storm-0530 (in precedenza DEV-0530) ha iniziato a sviluppare e usare ransomware negli attacchi a partire da giugno 2021.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dalla Russia in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
Diamond Sleet (in precedenza ZINC) è un attore di minacce che opera a livello globale per conto del governo della Corea del Nord. Attivo almeno dal 2009, Diamond Sleet è noto per i suoi attacchi contro il settore dei media, della difesa, dell'IT, della ricerca scientifica, nonché contro i ricercatori nel campo della sicurezza e per il suo focus su spionaggio, furto di dati, guadagno economico e distruzione delle reti.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) cerca in genere di compromettere gli account personali tramite spear phishing e l'utilizzo dell'ingegneria sociale per creare un rapporto con le vittime prima di attaccarle.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dalla Russia in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) cerca in genere di compromettere gli account personali tramite spear phishing e l'utilizzo dell'ingegneria sociale per creare un rapporto con le vittime prima di attaccarle.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dalla Russia in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Storm-0530
Un gruppo di attori originari della Corea del Nord che Microsoft monitora come Storm-0530 (in precedenza DEV-0530) ha iniziato a sviluppare e usare ransomware negli attacchi a partire da giugno 2021.
Mint Sandstorm
Mint Sandstorm (in precedenza PHOSPHORUS) cerca in genere di compromettere gli account personali tramite spear phishing e l'utilizzo dell'ingegneria sociale per creare un rapporto con le vittime prima di attaccarle.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Diamond Sleet
Diamond Sleet (in precedenza ZINC) è un attore di minacce che opera a livello globale per conto del governo della Corea del Nord. Attivo almeno dal 2009, Diamond Sleet è noto per i suoi attacchi contro il settore dei media, della difesa, dell'IT, della ricerca scientifica, nonché contro i ricercatori nel campo della sicurezza e per il suo focus su spionaggio, furto di dati, guadagno economico e distruzione delle reti.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dalla Russia in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
Diamond Sleet (in precedenza ZINC) è un attore di minacce che opera a livello globale per conto del governo della Corea del Nord. Attivo almeno dal 2009, Diamond Sleet è noto per i suoi attacchi contro il settore dei media, della difesa, dell'IT, della ricerca scientifica, nonché contro i ricercatori nel campo della sicurezza e per il suo focus su spionaggio, furto di dati, guadagno economico e distruzione delle reti.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Diamond Sleet
Diamond Sleet (in precedenza ZINC) è un attore di minacce che opera a livello globale per conto del governo della Corea del Nord. Attivo almeno dal 2009, Diamond Sleet è noto per i suoi attacchi contro il settore dei media, della difesa, dell'IT, della ricerca scientifica, nonché contro i ricercatori nel campo della sicurezza e per il suo focus su spionaggio, furto di dati, guadagno economico e distruzione delle reti.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Forest Blizzard
Forest Blizzard (in precedenza STRONTIUM) usa diverse tecniche di accesso iniziale, tra cui l'uso di applicazioni con accesso Web vulnerabili e, per ottenere le credenziali, spear phishing e distribuzione di uno strumento password spraying/brute force automatizzato che opera tramite Tor.
Midnight Blizzard
L'attore di minacce che Microsoft traccia con il nome di Midnight Blizzard (NOBELIUM) ha sede in Russia ed è stato identificato dai governi degli Stati Uniti e del Regno Unito come servizio di intelligence estero della Federazione Russa, anche noto come SVR.
Volt Typhoon
L'attore che Microsoft traccia come Volt Typhoon è un gruppo di attività stato-nazione con sede in Cina. Volt Typhoon si concentra sullo spionaggio, sul furto di dati e credenziali di accesso.
Plaid Rain
Da febbraio 2022, è stato rilevato che Plaid Rain (in precedenza POLONIUM) colpisce principalmente le organizzazioni in Israele, in particolare quelle nei settori critici della produzione, dell'IT e della difesa di Israele.
Hazel Sandstorm
Hazel Sandstorm (in precedenza EUROPIUM) è stato pubblicamente collegato al Ministero delle informazioni e della sicurezza nazionale (MOIS) dell'Iran. Microsoft ha constatato con grande sicurezza che il 15 luglio 2022 attori sponsorizzati dal governo iraniano hanno condotto un cyberattacco distruttivo contro il governo albanese, danneggiando siti Web governativi e servizi pubblici.
Cadet Blizzard
Microsoft traccia Cadet Blizzard (in precedenza DEV-0586) in quanto gruppo di minacce sponsorizzato dalla Russia in seguito agli eventi destabilizzanti e distruttivi che si sono verificati in diverse agenzie governative in Ucraina a metà gennaio del 2022.
Aqua Blizzard
Aqua Blizzard (in precedenza ACTINIUM) usa e-mail di spear-phishing con allegati macro dannosi che impiegano modelli remoti. L'obiettivo principale delle attività di Aqua Blizzard è ottenere l'accesso persistente a reti mirate, attraverso la distribuzione di malware personalizzato e strumenti commerciali, allo scopo di raccogliere informazioni di intelligence.
Nylon Typhoon
Nylon Typhoon (in precedenza NICKEL) usa gli exploit contro i sistemi non aggiornati per compromettere appliance e servizi di accesso remoto. Subito dopo l'intrusione, questo gruppo usa dumper o stealer per ottenere credenziali legittime, che vengono poi utilizzate per accedere agli account delle vittime e a sistemi di maggior valore.
Crimson Sandstorm
È stato constatato che gli attori di Crimson Sandstorm (in precedenza CURIUM) sfruttano una rete di falsi account di social media per costruire rapporti di fiducia con le vittime e distribuire malware per esfiltrare i dati.
Diamond Sleet
Diamond Sleet (in precedenza ZINC) è un attore di minacce che opera a livello globale per conto del governo della Corea del Nord. Attivo almeno dal 2009, Diamond Sleet è noto per i suoi attacchi contro il settore dei media, della difesa, dell'IT, della ricerca scientifica, nonché contro i ricercatori nel campo della sicurezza e per il suo focus su spionaggio, furto di dati, guadagno economico e distruzione delle reti.
Gray Sandstorm
Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpisce da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni, ed enumera ogni account da decine a migliaia di volte.
Manatee Tempest
Manatee Tempest (in precedenza DEV-0243) è un attore di minacce che fa parte dell'economia Ransomware-as-a-Service (RaaS) e collabora con altri attori di minacce per fornire caricatori Cobalt Strike personalizzati.
Wine Tempest
Wine Tempest (in precedenza PARINACOTA) in genere usa ransomware con intervento umano per gli attacchi, distribuendo soprattutto il ransomware Wadhrama. Oltre a tattiche ingegnose e in evoluzione per soddisfare le sue esigenze, ha usato computer compromessi per vari scopi, tra cui il mining di criptovalute, l'invio di posta indesiderata o l'uso di proxy per altri attacchi.
Smoke Sandstorm
Smoke Sandstorm (in precedenza BOHRIUM/DEV-0056) ha compromesso account di posta elettronica di un'azienda di integrazione IT con sede in Bahrain nel settembre del 2021. Questa azienda lavora all'integrazione IT con client del governo del Bahrain, che rappresentavano presumibilmente le vere vittime che Smoke Sandstorm aspira a colpire.
Pistachio Tempest
Pistachio Tempest (in precedenza DEV-0237) è un gruppo associato a un'importante distribuzione di ransomware. Microsoft ha osservato l'uso da parte di Pistachio Tempest di diversi payload ransomware nel tempo man mano che il gruppo sperimenta le nuove offerte Ransomware-as-a-Service (RaaS), da Ryuk e Conti a Hive, Nokoyawa e, più recentemente, Agenda e Mindware.
Periwinkle Tempest
Periwinkle Tempest (in precedenza DEV-0193) sviluppa, distribuisce e gestisce molti payload diversi, tra cui Trickbot, Bazaloader e AnchorDNS.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Caramel Tsunami
Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce.
Silk Typhoon
Nel 2021, Silk Typhoon (in precedenza HAFNIUM) ha usato exploit zero-day per attaccare le versioni locali di Microsoft Exchange Server con attacchi limitati e mirati.
Sfoglia per argomento
IA
La sicurezza è importante tanto quanto l'intelligence sulle minacce
Compromissione della posta elettronica aziendale
Analisi della compromissione della posta elettronica aziendale
Ransomware
Proteggi la tua organizzazione dal ransomware
Ti presentiamo gli esperti
Profilo dell'esperto: Homa Hayatyfar
Homa Hayatyfar, Principal Data & Applied Science Manager, descrive l'uso dei modelli di Machine Learning per rafforzare le difese come solo uno dei molti modi in cui l'intelligenza artificiale sta cambiando il volto della sicurezza.
Ti presentiamo gli esperti
Profilo dell'esperto
L'intelligence sulle minacce informatiche nel contesto geopolitico
Profilo dell'esperto
Consigli dell'esperto sulle tre sfide più incalzanti nell'ambito della cybersecurity
Profilo dell'esperto
Il punto di vista del Security Researcher Dustin Duran su come pensare come un utente malintenzionato
Consulta il report sull'intelligence
Report sulla difesa digitale Microsoft 2023
L'ultima edizione del Report sulla difesa digitale Microsoft esplora il panorama delle minacce in evoluzione e analizza le opportunità e le sfide derivanti dall'implementazione della resilienza informatica.
Applicazione di una difesa pratica dagli attacchi informatici
Igiene informatica
L'igiene informatica di base previene il 99% degli attacchi
Rilevazione delle minacce
Scopri i fondamenti della rilevazione delle minacce
Crimine informatico
Lotta ai criminali informatici per impedire loro di usare in modo improprio gli strumenti di sicurezza
Inizia
Partecipa agli eventi Microsoft
Espandi le tue competenze, acquisiscine di nuove e rafforza la community con eventi e opportunità di apprendimento Microsoft.
Parla con noi
Segui Microsoft