Få insikter direkt från experterna i Microsoft Threat Intelligence-podden. Lyssna nu.
Security Insider
Ligg steget före med hotinformation och handlingsbara insikter
Framväxande hot
En tillbakablick på hotinformationsåret 2023: Viktiga insikter och utveckling
Microsoft Threat Intelligence beskriver de främsta hotaktörstrenderna vad gäller tekniker, taktiker och procedurer under 2023.
De senaste nyheterna
Informationsrapporter
Hantera cyberhot och stärka försvaret i AI-eran
Informationsrapporter
Iran intensifierar cyberbaserade påverkansoperationer i syfte att stödja Hamas
Framväxande hot
Livnär sig på förtroendeekonomin: bedrägeri med social manipulering
Insikter om hotaktörer
Microsoft Security övervakar aktivt hotaktörer inom aktiviteter som observerats från statsaktörer, utpressningstrojaner och brottslig verksamhet. Den här informationen visar aktivitet som publicerats offentligt av Microsoft Securitys hotforskare i form av en centraliserad katalog med aktörsprofiler från de refererade bloggarna.
Mint Sandstorm
Mint Sandstorm (tidigare PHOSPHORUS) försöker normalt kompromettera individers personliga konton genom nätfiske och bygga relationer med offren genom social manipulering innan man angriper dem
Manatee Tempest
Manatee Tempest (tidigare kallad DEV-0243) är en hotaktör är en del av RaaS-ekonomin (utpressningstrojaner som en tjänst) där man samarbetar med andra hotaktörer för att tillhandahålla anpassade Cobalt Strike-inläsare.
Wine Tempest
Wine Tempest (tidigare PARINACOTA) använder vanligtvis mänskligt styrda utpressningstrojaner i sina attacker, och oftast utpressningstrojanen Wadhrama. De är påhittiga, ändrar taktik så att den matchar deras behov och använder komprometterade datorer för olika ändamål, inklusive mining av kryptovaluta, spridning av skräppost eller anslutning via proxy för andra attacker.
Smoke Sandstorm
Smoke Sandstorm (tidigare kallad BOHRIUM/DEV-0056) komprometterade e-postkonton hos ett Bahrain-baserat IT-integreringsföretag under september 2021. Detta företag arbetar med IT-integration med kunder bland Bahrains myndigheter, vilka sannolikt var Smoke Sandstorms egentliga mål.
Storm-0530
En grupp aktörer från Nordkorea, som Microsoft följer under namnet Storm-0530 (tidigare DEV-0530), har sedan juni 2021 utvecklat och använt utpressningstrojaner i angrepp.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidigare kallad EUROPIUM) har officiellt länkats till Irans ministerium för underrättelsetjänst (MOIS). Microsoft kunde den 15 juli 2022 med stor tillförsikt konstatera att aktörer som stöds av den iranska regeringen genomförde en destruktiv cyberattack mot den albanska regeringen, som störde många myndighetswebbplatser och offentliga tjänster.
Cadet Blizzard
Microsoft spårar Cadet Blizzard (tidigare DEV-0586) som en rysk hotaktör som Microsoft började spåra efter de skadliga och destruktiva händelser som drabbade flera myndigheter i Ukraina i mitten av januari 2022.
Pistachio Tempest
Pistachio Tempest (tidigare kallad DEV-0237) är en grupp som är förknippad med betydande distribution av utpressningstrojaner. Microsoft har observerat att Pistachio Tempest använder olika utpressningstrojansnyttolaster över tid när man experimenterar med nya erbjudanden för utpressningstrojaner som en tjänst (RaaS), från Ryuk och Conti till Hive, Nokoyawa och, nu senast, Agenda och Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidigare DEV-0193) är ansvarig för utveckling, distribution och hantering av olika typer av nyttolaster, till exempel Trickbot, Bazaloader och AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Nylon Typhoon
Nylon Typhoon (tidigare kallad NICKEL) exploaterar okorrigerade system så att man kan kompromettera fjärråtkomsttjänster och virtuella installationer. När de lyckats med sitt intrång har de använt kopierings- eller stöldverktyg för att få åtkomst till legitima autentiseringsuppgifter, vilka de sedan kan använda för att få tillgång till offrets konton och till system med högre värde.
Crimson Sandstorm
Crimson Sandstorm-aktörer (tidigare kallad CURIUM) har observerats bygga förtroende genom ett nätverk av fiktiva sociala mediekonton med målet att sprida skadlig programvara som ska möjliggöra exfiltrering av data.
Diamond Sleet
Diamond Sleet (tidigare kallad ZINC) är en hotaktör som bedriver global verksamhet på uppdrag av den nordkoreanska regeringen. Diamond Sleet, som har varit verksamt åtminstone sedan 2009, är känt för att fokusera på media, försvar, informationsteknologi, vetenskaplig forskning samt säkerhetsforskare med fokus på spionage, datastöld, ekonomisk vinning och nätverksförstöring.
Gray Sandstorm
Gray Sandstorm (tidigare kallad DEV-0343) utför omfattande attacker via lösenordsattacker i vilka man emulerar en Firefox-webbläsare och använder IP-adresser i ett Tor-proxynätverk. De attackerar vanligtvis allt från dussintals till hundratals konton i en organisation, beroende på dess storlek, och går igenom varje konto dussintals till tusentals gånger.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Mint Sandstorm
Mint Sandstorm (tidigare PHOSPHORUS) försöker normalt kompromettera individers personliga konton genom nätfiske och bygga relationer med offren genom social manipulering innan man angriper dem
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Crimson Sandstorm
Crimson Sandstorm-aktörer (tidigare kallad CURIUM) har observerats bygga förtroende genom ett nätverk av fiktiva sociala mediekonton med målet att sprida skadlig programvara som ska möjliggöra exfiltrering av data.
Gray Sandstorm
Gray Sandstorm (tidigare kallad DEV-0343) utför omfattande attacker via lösenordsattacker i vilka man emulerar en Firefox-webbläsare och använder IP-adresser i ett Tor-proxynätverk. De attackerar vanligtvis allt från dussintals till hundratals konton i en organisation, beroende på dess storlek, och går igenom varje konto dussintals till tusentals gånger.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Periwinkle Tempest
Periwinkle Tempest (tidigare DEV-0193) är ansvarig för utveckling, distribution och hantering av olika typer av nyttolaster, till exempel Trickbot, Bazaloader och AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Cadet Blizzard
Microsoft spårar Cadet Blizzard (tidigare DEV-0586) som en rysk hotaktör som Microsoft började spåra efter de skadliga och destruktiva händelser som drabbade flera myndigheter i Ukraina i mitten av januari 2022.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Mint Sandstorm
Mint Sandstorm (tidigare PHOSPHORUS) försöker normalt kompromettera individers personliga konton genom nätfiske och bygga relationer med offren genom social manipulering innan man angriper dem
Smoke Sandstorm
Smoke Sandstorm (tidigare kallad BOHRIUM/DEV-0056) komprometterade e-postkonton hos ett Bahrain-baserat IT-integreringsföretag under september 2021. Detta företag arbetar med IT-integration med kunder bland Bahrains myndigheter, vilka sannolikt var Smoke Sandstorms egentliga mål.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidigare kallad EUROPIUM) har officiellt länkats till Irans ministerium för underrättelsetjänst (MOIS). Microsoft kunde den 15 juli 2022 med stor tillförsikt konstatera att aktörer som stöds av den iranska regeringen genomförde en destruktiv cyberattack mot den albanska regeringen, som störde många myndighetswebbplatser och offentliga tjänster.
Cadet Blizzard
Microsoft spårar Cadet Blizzard (tidigare DEV-0586) som en rysk hotaktör som Microsoft började spåra efter de skadliga och destruktiva händelser som drabbade flera myndigheter i Ukraina i mitten av januari 2022.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Nylon Typhoon
Nylon Typhoon (tidigare kallad NICKEL) exploaterar okorrigerade system så att man kan kompromettera fjärråtkomsttjänster och virtuella installationer. När de lyckats med sitt intrång har de använt kopierings- eller stöldverktyg för att få åtkomst till legitima autentiseringsuppgifter, vilka de sedan kan använda för att få tillgång till offrets konton och till system med högre värde.
Crimson Sandstorm
Crimson Sandstorm-aktörer (tidigare kallad CURIUM) har observerats bygga förtroende genom ett nätverk av fiktiva sociala mediekonton med målet att sprida skadlig programvara som ska möjliggöra exfiltrering av data.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Pistachio Tempest
Pistachio Tempest (tidigare kallad DEV-0237) är en grupp som är förknippad med betydande distribution av utpressningstrojaner. Microsoft har observerat att Pistachio Tempest använder olika utpressningstrojansnyttolaster över tid när man experimenterar med nya erbjudanden för utpressningstrojaner som en tjänst (RaaS), från Ryuk och Conti till Hive, Nokoyawa och, nu senast, Agenda och Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidigare DEV-0193) är ansvarig för utveckling, distribution och hantering av olika typer av nyttolaster, till exempel Trickbot, Bazaloader och AnchorDNS.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Manatee Tempest
Manatee Tempest (tidigare kallad DEV-0243) är en hotaktör är en del av RaaS-ekonomin (utpressningstrojaner som en tjänst) där man samarbetar med andra hotaktörer för att tillhandahålla anpassade Cobalt Strike-inläsare.
Smoke Sandstorm
Smoke Sandstorm (tidigare kallad BOHRIUM/DEV-0056) komprometterade e-postkonton hos ett Bahrain-baserat IT-integreringsföretag under september 2021. Detta företag arbetar med IT-integration med kunder bland Bahrains myndigheter, vilka sannolikt var Smoke Sandstorms egentliga mål.
Storm-0530
En grupp aktörer från Nordkorea, som Microsoft följer under namnet Storm-0530 (tidigare DEV-0530), har sedan juni 2021 utvecklat och använt utpressningstrojaner i angrepp.
Mint Sandstorm
Mint Sandstorm (tidigare PHOSPHORUS) försöker normalt kompromettera individers personliga konton genom nätfiske och bygga relationer med offren genom social manipulering innan man angriper dem
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Nylon Typhoon
Nylon Typhoon (tidigare kallad NICKEL) exploaterar okorrigerade system så att man kan kompromettera fjärråtkomsttjänster och virtuella installationer. När de lyckats med sitt intrång har de använt kopierings- eller stöldverktyg för att få åtkomst till legitima autentiseringsuppgifter, vilka de sedan kan använda för att få tillgång till offrets konton och till system med högre värde.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Diamond Sleet
Diamond Sleet (tidigare kallad ZINC) är en hotaktör som bedriver global verksamhet på uppdrag av den nordkoreanska regeringen. Diamond Sleet, som har varit verksamt åtminstone sedan 2009, är känt för att fokusera på media, försvar, informationsteknologi, vetenskaplig forskning samt säkerhetsforskare med fokus på spionage, datastöld, ekonomisk vinning och nätverksförstöring.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Cadet Blizzard
Microsoft spårar Cadet Blizzard (tidigare DEV-0586) som en rysk hotaktör som Microsoft började spåra efter de skadliga och destruktiva händelser som drabbade flera myndigheter i Ukraina i mitten av januari 2022.
Crimson Sandstorm
Crimson Sandstorm-aktörer (tidigare kallad CURIUM) har observerats bygga förtroende genom ett nätverk av fiktiva sociala mediekonton med målet att sprida skadlig programvara som ska möjliggöra exfiltrering av data.
Diamond Sleet
Diamond Sleet (tidigare kallad ZINC) är en hotaktör som bedriver global verksamhet på uppdrag av den nordkoreanska regeringen. Diamond Sleet, som har varit verksamt åtminstone sedan 2009, är känt för att fokusera på media, försvar, informationsteknologi, vetenskaplig forskning samt säkerhetsforskare med fokus på spionage, datastöld, ekonomisk vinning och nätverksförstöring.
Gray Sandstorm
Gray Sandstorm (tidigare kallad DEV-0343) utför omfattande attacker via lösenordsattacker i vilka man emulerar en Firefox-webbläsare och använder IP-adresser i ett Tor-proxynätverk. De attackerar vanligtvis allt från dussintals till hundratals konton i en organisation, beroende på dess storlek, och går igenom varje konto dussintals till tusentals gånger.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Diamond Sleet
Diamond Sleet (tidigare kallad ZINC) är en hotaktör som bedriver global verksamhet på uppdrag av den nordkoreanska regeringen. Diamond Sleet, som har varit verksamt åtminstone sedan 2009, är känt för att fokusera på media, försvar, informationsteknologi, vetenskaplig forskning samt säkerhetsforskare med fokus på spionage, datastöld, ekonomisk vinning och nätverksförstöring.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Gray Sandstorm
Gray Sandstorm (tidigare kallad DEV-0343) utför omfattande attacker via lösenordsattacker i vilka man emulerar en Firefox-webbläsare och använder IP-adresser i ett Tor-proxynätverk. De attackerar vanligtvis allt från dussintals till hundratals konton i en organisation, beroende på dess storlek, och går igenom varje konto dussintals till tusentals gånger.
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Smoke Sandstorm
Smoke Sandstorm (tidigare kallad BOHRIUM/DEV-0056) komprometterade e-postkonton hos ett Bahrain-baserat IT-integreringsföretag under september 2021. Detta företag arbetar med IT-integration med kunder bland Bahrains myndigheter, vilka sannolikt var Smoke Sandstorms egentliga mål.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Forest Blizzard
Forest Blizzard (tidigare STRONTIUM) använder olika metoder för att få initial åtkomst, exempelvis genom att utnyttja sårbara internetanslutna program och, för att få tag på autentiseringsuppgifter, nätfiske och distribution av ett automatiserat verktyg för lösenordsattacker/råstyrkeattacker via TOR
Midnight Blizzard
Aktören som Microsoft spårar under namnet Midnight Blizzard (NOBELIUM) är en Rysslandsbaserad hotaktör som USA:s och Storbritanniens regeringar tillskriver Rysslands utrikesunderrättelsetjänst, även kallad SVR.
Volt Typhoon
Aktören som Microsoft spårar under namnet Volt Typhoon är en statsunderstödd aktivitetsgrupp med bas utanför Kina. Volt Typhoons fokus ligger på spioneri, datastöld och åtkomst till autentiseringsuppgifter.
Plaid Rain
Sedan februari 2022 har man observerat att Plaid Rain (tidigare POLONIUM) främst riktar sig mot organisationer i Israel med fokus på samhällsviktig tillverkning, IT och Israels försvarsindustri.
Hazel Sandstorm
Hazel Sandstorm (tidigare kallad EUROPIUM) har officiellt länkats till Irans ministerium för underrättelsetjänst (MOIS). Microsoft kunde den 15 juli 2022 med stor tillförsikt konstatera att aktörer som stöds av den iranska regeringen genomförde en destruktiv cyberattack mot den albanska regeringen, som störde många myndighetswebbplatser och offentliga tjänster.
Cadet Blizzard
Microsoft spårar Cadet Blizzard (tidigare DEV-0586) som en rysk hotaktör som Microsoft började spåra efter de skadliga och destruktiva händelser som drabbade flera myndigheter i Ukraina i mitten av januari 2022.
Aqua Blizzard
Aqua Blizzard (tidigare ACTINIUM) använder e-postmeddelanden för nätfiske med skadliga makrobilagor som använder sig av fjärrmallar. Det primära syftet med Aqua Blizzards aktiviteter är att få kontinuerlig tillgång till de angripna nätverken, via distribution av anpassade skadliga program och kommersiella verktyg, med vilka man samlar in information.
Nylon Typhoon
Nylon Typhoon (tidigare kallad NICKEL) exploaterar okorrigerade system så att man kan kompromettera fjärråtkomsttjänster och virtuella installationer. När de lyckats med sitt intrång har de använt kopierings- eller stöldverktyg för att få åtkomst till legitima autentiseringsuppgifter, vilka de sedan kan använda för att få tillgång till offrets konton och till system med högre värde.
Crimson Sandstorm
Crimson Sandstorm-aktörer (tidigare kallad CURIUM) har observerats bygga förtroende genom ett nätverk av fiktiva sociala mediekonton med målet att sprida skadlig programvara som ska möjliggöra exfiltrering av data.
Diamond Sleet
Diamond Sleet (tidigare kallad ZINC) är en hotaktör som bedriver global verksamhet på uppdrag av den nordkoreanska regeringen. Diamond Sleet, som har varit verksamt åtminstone sedan 2009, är känt för att fokusera på media, försvar, informationsteknologi, vetenskaplig forskning samt säkerhetsforskare med fokus på spionage, datastöld, ekonomisk vinning och nätverksförstöring.
Gray Sandstorm
Gray Sandstorm (tidigare kallad DEV-0343) utför omfattande attacker via lösenordsattacker i vilka man emulerar en Firefox-webbläsare och använder IP-adresser i ett Tor-proxynätverk. De attackerar vanligtvis allt från dussintals till hundratals konton i en organisation, beroende på dess storlek, och går igenom varje konto dussintals till tusentals gånger.
Manatee Tempest
Manatee Tempest (tidigare kallad DEV-0243) är en hotaktör är en del av RaaS-ekonomin (utpressningstrojaner som en tjänst) där man samarbetar med andra hotaktörer för att tillhandahålla anpassade Cobalt Strike-inläsare.
Wine Tempest
Wine Tempest (tidigare PARINACOTA) använder vanligtvis mänskligt styrda utpressningstrojaner i sina attacker, och oftast utpressningstrojanen Wadhrama. De är påhittiga, ändrar taktik så att den matchar deras behov och använder komprometterade datorer för olika ändamål, inklusive mining av kryptovaluta, spridning av skräppost eller anslutning via proxy för andra attacker.
Smoke Sandstorm
Smoke Sandstorm (tidigare kallad BOHRIUM/DEV-0056) komprometterade e-postkonton hos ett Bahrain-baserat IT-integreringsföretag under september 2021. Detta företag arbetar med IT-integration med kunder bland Bahrains myndigheter, vilka sannolikt var Smoke Sandstorms egentliga mål.
Pistachio Tempest
Pistachio Tempest (tidigare kallad DEV-0237) är en grupp som är förknippad med betydande distribution av utpressningstrojaner. Microsoft har observerat att Pistachio Tempest använder olika utpressningstrojansnyttolaster över tid när man experimenterar med nya erbjudanden för utpressningstrojaner som en tjänst (RaaS), från Ryuk och Conti till Hive, Nokoyawa och, nu senast, Agenda och Mindware.
Periwinkle Tempest
Periwinkle Tempest (tidigare DEV-0193) är ansvarig för utveckling, distribution och hantering av olika typer av nyttolaster, till exempel Trickbot, Bazaloader och AnchorDNS.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Caramel Tsunami
Caramel Tsunami (tidigare kallat SOURGUM) säljer i allmänhet cybervapen, oftast skadlig programvara och utnyttjande av dag noll-sårbarheter, som en del av ett hackande som en tjänst-paket som säljs till statliga myndigheter och andra illvilliga aktörer.
Silk Typhoon
2021 utnyttjade Silk Typhoon (tidigare HAFNIUM) dag noll-sårbarheter för att attackera lokala versioner av Microsoft Exchange Server i begränsade och riktade attacker.
Bläddra efter ämne
AI
Säkerheten är aldrig bättre än din hotinformation
Angrepp mot företagets e-post
En närmare titt på e-postintrång hos företag
Utpressningstrojaner
Skydda din organisation mot utpressningstrojaner
Möt experterna
Expertprofil: Homa Hayatyfar
Homa Hayatyfar, Principal Data and Applied Science Manager, beskriver hur användningen av maskininlärningsmodeller för att förstärka försvaret bara är ett av många sätt genom vilka AI förändrar säkerheten.
Möt experterna
Expertprofil
Sätta cyberhotinformationen i ett geopolitiskt sammanhang
Expertprofil
Expertråd om cybersäkerhetens tre mest ihållande utmaningar
Expertprofil
Säkerhetsforskaren Dustin Duran om hur man tänker som en angripare
Utforska hotinformationsrapporter
Microsofts rapport om digitalt försvar 2023
I den senaste utgåvan av Microsofts rapport om digitalt försvar presenteras det framväxande hotlandskapet och de möjligheter och utmaningar vi står inför för att bli mer motståndskraftiga mot cyberhot.
Upprätthålla ett cyberförsvar i praktiken
Cyberhygien
Grundläggande cyberhygien förhindrar 99 procent av alla attacker
Hotjakt
Lär dig hotjaktens ABC
Cyberbrott
Stoppa cyberbrottslingar från att missbruka säkerhetsverktyg
Kom igång
Delta i Microsoft-evenemang
Utöka dina expertkunskaper, lär dig nya saker och bygg upp en community med Microsofts evenemang och utbildningsmöjligheter.
Berätta för oss
Följ Microsoft