รับข้อมูลเชิงลึกจากผู้เชี่ยวชาญโดยตรงในพ็อดแคสต์ Microsoft Threat Intelligence ฟังเลย
Security Insider
ข่าวกรองเกี่ยวกับภัยคุกคามและข้อมูลเชิงลึกที่สามารถดำเนินการได้เพื่อเตรียมความพร้อม
ภัยคุกคามที่กำลังเกิดขึ้น
การทบทวนเรื่องราวตลอดทั้งปี 2023 ของ Threat Intelligence: ข้อมูลเชิงลึกและการพัฒนาที่สำคัญ
Microsoft Threat Intelligence รวบรวมแนวโน้มของผู้ดำเนินการภัยคุกคามอันดับต้นๆ ในด้านเทคนิค กลยุทธ์ และกระบวนการ (TTP) ตั้งแต่ปี 2023
ข่าวล่าสุด
รายงานข่าวกรอง
การจัดการภัยคุกคามทางไซเบอร์และการเสริมสร้างการป้องกันในยุคของ AI
รายงานข่าวกรอง
อิหร่านเพิ่มการดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์เพื่อสนับสนุนกลุ่มฮามาส
ภัยคุกคามที่กำลังเกิดขึ้น
การใช้ประโยชน์จากระบบเศรษฐกิจที่ขับเคลื่อนด้วยความน่าเชื่อถือ: การปลอมแปลงด้วยการโจมตีแบบวิศวกรรมสังคม
ข้อมูลเชิงลึกของผู้ดำเนินการภัยคุกคาม
Microsoft Security ติดตามผู้ดำเนินการภัยคุกคามทั่วทั้งรัฐชาติ แรนซัมแวร์ และกิจกรรมอาชญากรที่สังเกตการณ์อย่างสม่ำเสมอ ข้อมูลเชิงลึกเหล่านี้แสดงถึงกิจกรรมที่เผยแพร่ต่อสาธารณะจากนักวิจัยด้านภัยคุกคามของ Microsoft Security และมีแค็ตตาล็อกส่วนกลางของโปรไฟล์ผู้ดำเนินการจากบล็อกที่มีการอ้างอิง
Mint Sandstorm
Mint Sandstorm (ชื่อเดิม PHOSPHORUS) มักจะพยายามโจมตีบัญชีส่วนตัวของบุคคลผ่านสเปียร์ฟิชชิ่งและการใช้การโจมตีแบบวิศวกรรมสังคมเพื่อสร้างสายสัมพันธ์กับเหยื่อก่อนที่จะมุ่งเป้าโจมตีพวกเขา
Manatee Tempest
Manatee Tempest (ชื่อเดิม DEV-0243) เป็นผู้ดำเนินการภัยคุกคามที่เป็นส่วนหนึ่งของระบบเศรษฐกิจแรนซัมแวร์ในรูปแบบบริการ (RaaS) โดยร่วมมือกับผู้ดำเนินการภัยคุกคามรายอื่นเพื่อจัดทำตัวโหลด Cobalt Strike แบบกำหนดเอง
Wine Tempest
Wine Tempest (ชื่อเดิม PARINACOTA) มักใช้แรนซัมแวร์ที่ดำเนินการโดยมนุษย์ในการโจมตี โดยส่วนใหญ่จะปรับใช้แรนซัมแวร์ Wadhrama กลุ่มดังกล่าวมีความรอบรู้และเปลี่ยนกลยุทธ์เพื่อให้ตรงกับความต้องการของตน และได้ใช้อุปกรณ์ที่มีช่องโหว่เพื่อวัตถุประสงค์ต่างๆ รวมถึงการขุดเหมืองสกุลเงินดิจิทัล การส่งอีเมลสแปม หรือการเป็นตัวแทนสำหรับการโจมตีอื่นๆ
Smoke Sandstorm
Smoke Sandstorm (ชื่อเดิม BOHRIUM/DEV-0056) โจมตีบัญชีอีเมลที่บริษัทบูรณาการด้าน IT ในบาห์เรนในเดือนกันยายน 2021 บริษัทนี้ทำงานเกี่ยวกับบูรณาการด้าน IT กับลูกค้าภาครัฐบาลของบาห์เรน ซึ่งน่าจะเป็นเป้าหมายสูงสุดของ Smoke Sandstorm
Storm-0530
กลุ่มผู้ดำเนินการที่มาจากเกาหลีเหนือซึ่ง Microsoft ติดตามในชื่อ Storm-0530 (ชื่อเดิม DEV-0530) ได้พัฒนาและใช้แรนซัมแวร์ในการโจมตีตั้งแต่เดือนมิถุนายน 2021
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Hazel Sandstorm
Hazel Sandstorm (ชื่อเดิม EUROPIUM) มีความเชื่อมโยงอย่างเปิดเผยกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) Microsoft ประเมินด้วยความเชื่อมั่นระดับสูงว่าในวันที่ 15 กรกฎาคม 2022 ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านได้ลงมือโจมตีทางไซเบอร์แบบทำลายล้างต่อรัฐบาลแอลเบเนีย ซึ่งขัดขวางการทำงานของเว็บไซต์ภาครัฐและบริการสาธารณะ
Cadet Blizzard
Microsoft ติดตาม Cadet Blizzard (ชื่อเดิม DEV-0586) ในฐานะผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่ง Microsoft เริ่มติดตามหลังจากเหตุการณ์ก่อกวนและทำลายล้างที่เกิดขึ้นในหน่วยงานภาครัฐหลายแห่งในยูเครนในช่วงกลางเดือนมกราคม 2022
Pistachio Tempest
Pistachio Tempest (ชื่อเดิม DEV-0237) เป็นกลุ่มที่เกี่ยวข้องกับการกระจายแรนซัมแวร์ที่ส่งผลกระทบในวงกว้าง Microsoft สังเกตพบว่า Pistachio Tempest ใช้ส่วนข้อมูลแรนซัมแวร์ที่หลากหลายในช่วงเวลาหนึ่ง ในขณะที่กลุ่มทดลองใช้แรนซัมแวร์ในรูปแบบบริการ (RaaS) ต่างๆ ตั้งแต่ Ryuk และ Conti ไปจนถึง Hive, Nokoyawa และล่าสุดคือ Agenda และ Mindware
Periwinkle Tempest
Periwinkle Tempest (ชื่อเดิม DEV-0193) มีหน้าที่รับผิดชอบในการพัฒนา เผยแพร่ และจัดการส่วนข้อมูลต่างๆ จำนวนมาก รวมถึง Trickbot, Bazaloader และ AnchorDNS
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Nylon Typhoon
Nylon Typhoon (ชื่อเดิม NICKEL) ใช้การเจาะระบบที่ไม่ได้รับการติดตั้งโปรแกรมแก้ไขเพื่อโจมตีบริการและอุปกรณ์ในการเข้าถึงจากระยะไกล เมื่อการบุกรุกประสบความสำเร็จ พวกเขาได้ใช้โปรแกรมสร้างสำเนาและโปรแกรมขโมยข้อมูลประจำตัวเพื่อให้ได้รับข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย ซึ่งพวกเขาใช้เพื่อเข้าถึงบัญชีของเหยื่อและเพื่อเข้าถึงระบบที่มีมูลค่าสูงขึ้น
Crimson Sandstorm
มีการสังเกตพบว่าผู้ดำเนินการ Crimson Sandstorm (ชื่อเดิม CURIUM) ใช้ประโยชน์จากเครือข่ายบัญชีโซเชียลมีเดียปลอมเพื่อสร้างความไว้วางใจกับเป้าหมายและส่งมัลแวร์เพื่อลักลอบถ่ายโอนข้อมูลในท้ายที่สุด
Diamond Sleet
Diamond Sleet (ชื่อเดิม ZINC) เป็นผู้ดำเนินการภัยคุกคามที่ดำเนินกิจกรรมทั่วโลกในนามของรัฐบาลเกาหลีเหนือ Diamond Sleet ที่ดำเนินกิจกรรมมาตั้งแต่ปี 2009 เป็นอย่างน้อย เป็นที่ทราบกันดีว่ามุ่งเป้าโจมตีอุตสาหกรรมสื่อ กลาโหม เทคโนโลยีสารสนเทศ การวิจัยทางวิทยาศาสตร์ รวมถึงนักวิจัยด้านการรักษาความปลอดภัยที่มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล ผลประโยชน์ทางการเงิน และการทำลายเครือข่าย
Gray Sandstorm
Grey Sandstorm (ชื่อเดิม DEV-0343) ดำเนินการเดารหัสผ่านด้วยรหัสผ่านยอดนิยมในวงกว้างเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งโดยขึ้นอยู่กับขนาด และแจกแจงแต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Mint Sandstorm
Mint Sandstorm (ชื่อเดิม PHOSPHORUS) มักจะพยายามโจมตีบัญชีส่วนตัวของบุคคลผ่านสเปียร์ฟิชชิ่งและการใช้การโจมตีแบบวิศวกรรมสังคมเพื่อสร้างสายสัมพันธ์กับเหยื่อก่อนที่จะมุ่งเป้าโจมตีพวกเขา
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Crimson Sandstorm
มีการสังเกตพบว่าผู้ดำเนินการ Crimson Sandstorm (ชื่อเดิม CURIUM) ใช้ประโยชน์จากเครือข่ายบัญชีโซเชียลมีเดียปลอมเพื่อสร้างความไว้วางใจกับเป้าหมายและส่งมัลแวร์เพื่อลักลอบถ่ายโอนข้อมูลในท้ายที่สุด
Gray Sandstorm
Grey Sandstorm (ชื่อเดิม DEV-0343) ดำเนินการเดารหัสผ่านด้วยรหัสผ่านยอดนิยมในวงกว้างเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งโดยขึ้นอยู่กับขนาด และแจกแจงแต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Periwinkle Tempest
Periwinkle Tempest (ชื่อเดิม DEV-0193) มีหน้าที่รับผิดชอบในการพัฒนา เผยแพร่ และจัดการส่วนข้อมูลต่างๆ จำนวนมาก รวมถึง Trickbot, Bazaloader และ AnchorDNS
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Cadet Blizzard
Microsoft ติดตาม Cadet Blizzard (ชื่อเดิม DEV-0586) ในฐานะผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่ง Microsoft เริ่มติดตามหลังจากเหตุการณ์ก่อกวนและทำลายล้างที่เกิดขึ้นในหน่วยงานภาครัฐหลายแห่งในยูเครนในช่วงกลางเดือนมกราคม 2022
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Mint Sandstorm
Mint Sandstorm (ชื่อเดิม PHOSPHORUS) มักจะพยายามโจมตีบัญชีส่วนตัวของบุคคลผ่านสเปียร์ฟิชชิ่งและการใช้การโจมตีแบบวิศวกรรมสังคมเพื่อสร้างสายสัมพันธ์กับเหยื่อก่อนที่จะมุ่งเป้าโจมตีพวกเขา
Smoke Sandstorm
Smoke Sandstorm (ชื่อเดิม BOHRIUM/DEV-0056) โจมตีบัญชีอีเมลที่บริษัทบูรณาการด้าน IT ในบาห์เรนในเดือนกันยายน 2021 บริษัทนี้ทำงานเกี่ยวกับบูรณาการด้าน IT กับลูกค้าภาครัฐบาลของบาห์เรน ซึ่งน่าจะเป็นเป้าหมายสูงสุดของ Smoke Sandstorm
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Hazel Sandstorm
Hazel Sandstorm (ชื่อเดิม EUROPIUM) มีความเชื่อมโยงอย่างเปิดเผยกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) Microsoft ประเมินด้วยความเชื่อมั่นระดับสูงว่าในวันที่ 15 กรกฎาคม 2022 ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านได้ลงมือโจมตีทางไซเบอร์แบบทำลายล้างต่อรัฐบาลแอลเบเนีย ซึ่งขัดขวางการทำงานของเว็บไซต์ภาครัฐและบริการสาธารณะ
Cadet Blizzard
Microsoft ติดตาม Cadet Blizzard (ชื่อเดิม DEV-0586) ในฐานะผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่ง Microsoft เริ่มติดตามหลังจากเหตุการณ์ก่อกวนและทำลายล้างที่เกิดขึ้นในหน่วยงานภาครัฐหลายแห่งในยูเครนในช่วงกลางเดือนมกราคม 2022
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Nylon Typhoon
Nylon Typhoon (ชื่อเดิม NICKEL) ใช้การเจาะระบบที่ไม่ได้รับการติดตั้งโปรแกรมแก้ไขเพื่อโจมตีบริการและอุปกรณ์ในการเข้าถึงจากระยะไกล เมื่อการบุกรุกประสบความสำเร็จ พวกเขาได้ใช้โปรแกรมสร้างสำเนาและโปรแกรมขโมยข้อมูลประจำตัวเพื่อให้ได้รับข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย ซึ่งพวกเขาใช้เพื่อเข้าถึงบัญชีของเหยื่อและเพื่อเข้าถึงระบบที่มีมูลค่าสูงขึ้น
Crimson Sandstorm
มีการสังเกตพบว่าผู้ดำเนินการ Crimson Sandstorm (ชื่อเดิม CURIUM) ใช้ประโยชน์จากเครือข่ายบัญชีโซเชียลมีเดียปลอมเพื่อสร้างความไว้วางใจกับเป้าหมายและส่งมัลแวร์เพื่อลักลอบถ่ายโอนข้อมูลในท้ายที่สุด
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Pistachio Tempest
Pistachio Tempest (ชื่อเดิม DEV-0237) เป็นกลุ่มที่เกี่ยวข้องกับการกระจายแรนซัมแวร์ที่ส่งผลกระทบในวงกว้าง Microsoft สังเกตพบว่า Pistachio Tempest ใช้ส่วนข้อมูลแรนซัมแวร์ที่หลากหลายในช่วงเวลาหนึ่ง ในขณะที่กลุ่มทดลองใช้แรนซัมแวร์ในรูปแบบบริการ (RaaS) ต่างๆ ตั้งแต่ Ryuk และ Conti ไปจนถึง Hive, Nokoyawa และล่าสุดคือ Agenda และ Mindware
Periwinkle Tempest
Periwinkle Tempest (ชื่อเดิม DEV-0193) มีหน้าที่รับผิดชอบในการพัฒนา เผยแพร่ และจัดการส่วนข้อมูลต่างๆ จำนวนมาก รวมถึง Trickbot, Bazaloader และ AnchorDNS
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Manatee Tempest
Manatee Tempest (ชื่อเดิม DEV-0243) เป็นผู้ดำเนินการภัยคุกคามที่เป็นส่วนหนึ่งของระบบเศรษฐกิจแรนซัมแวร์ในรูปแบบบริการ (RaaS) โดยร่วมมือกับผู้ดำเนินการภัยคุกคามรายอื่นเพื่อจัดทำตัวโหลด Cobalt Strike แบบกำหนดเอง
Smoke Sandstorm
Smoke Sandstorm (ชื่อเดิม BOHRIUM/DEV-0056) โจมตีบัญชีอีเมลที่บริษัทบูรณาการด้าน IT ในบาห์เรนในเดือนกันยายน 2021 บริษัทนี้ทำงานเกี่ยวกับบูรณาการด้าน IT กับลูกค้าภาครัฐบาลของบาห์เรน ซึ่งน่าจะเป็นเป้าหมายสูงสุดของ Smoke Sandstorm
Storm-0530
กลุ่มผู้ดำเนินการที่มาจากเกาหลีเหนือซึ่ง Microsoft ติดตามในชื่อ Storm-0530 (ชื่อเดิม DEV-0530) ได้พัฒนาและใช้แรนซัมแวร์ในการโจมตีตั้งแต่เดือนมิถุนายน 2021
Mint Sandstorm
Mint Sandstorm (ชื่อเดิม PHOSPHORUS) มักจะพยายามโจมตีบัญชีส่วนตัวของบุคคลผ่านสเปียร์ฟิชชิ่งและการใช้การโจมตีแบบวิศวกรรมสังคมเพื่อสร้างสายสัมพันธ์กับเหยื่อก่อนที่จะมุ่งเป้าโจมตีพวกเขา
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Nylon Typhoon
Nylon Typhoon (ชื่อเดิม NICKEL) ใช้การเจาะระบบที่ไม่ได้รับการติดตั้งโปรแกรมแก้ไขเพื่อโจมตีบริการและอุปกรณ์ในการเข้าถึงจากระยะไกล เมื่อการบุกรุกประสบความสำเร็จ พวกเขาได้ใช้โปรแกรมสร้างสำเนาและโปรแกรมขโมยข้อมูลประจำตัวเพื่อให้ได้รับข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย ซึ่งพวกเขาใช้เพื่อเข้าถึงบัญชีของเหยื่อและเพื่อเข้าถึงระบบที่มีมูลค่าสูงขึ้น
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Diamond Sleet
Diamond Sleet (ชื่อเดิม ZINC) เป็นผู้ดำเนินการภัยคุกคามที่ดำเนินกิจกรรมทั่วโลกในนามของรัฐบาลเกาหลีเหนือ Diamond Sleet ที่ดำเนินกิจกรรมมาตั้งแต่ปี 2009 เป็นอย่างน้อย เป็นที่ทราบกันดีว่ามุ่งเป้าโจมตีอุตสาหกรรมสื่อ กลาโหม เทคโนโลยีสารสนเทศ การวิจัยทางวิทยาศาสตร์ รวมถึงนักวิจัยด้านการรักษาความปลอดภัยที่มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล ผลประโยชน์ทางการเงิน และการทำลายเครือข่าย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Cadet Blizzard
Microsoft ติดตาม Cadet Blizzard (ชื่อเดิม DEV-0586) ในฐานะผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่ง Microsoft เริ่มติดตามหลังจากเหตุการณ์ก่อกวนและทำลายล้างที่เกิดขึ้นในหน่วยงานภาครัฐหลายแห่งในยูเครนในช่วงกลางเดือนมกราคม 2022
Crimson Sandstorm
มีการสังเกตพบว่าผู้ดำเนินการ Crimson Sandstorm (ชื่อเดิม CURIUM) ใช้ประโยชน์จากเครือข่ายบัญชีโซเชียลมีเดียปลอมเพื่อสร้างความไว้วางใจกับเป้าหมายและส่งมัลแวร์เพื่อลักลอบถ่ายโอนข้อมูลในท้ายที่สุด
Diamond Sleet
Diamond Sleet (ชื่อเดิม ZINC) เป็นผู้ดำเนินการภัยคุกคามที่ดำเนินกิจกรรมทั่วโลกในนามของรัฐบาลเกาหลีเหนือ Diamond Sleet ที่ดำเนินกิจกรรมมาตั้งแต่ปี 2009 เป็นอย่างน้อย เป็นที่ทราบกันดีว่ามุ่งเป้าโจมตีอุตสาหกรรมสื่อ กลาโหม เทคโนโลยีสารสนเทศ การวิจัยทางวิทยาศาสตร์ รวมถึงนักวิจัยด้านการรักษาความปลอดภัยที่มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล ผลประโยชน์ทางการเงิน และการทำลายเครือข่าย
Gray Sandstorm
Grey Sandstorm (ชื่อเดิม DEV-0343) ดำเนินการเดารหัสผ่านด้วยรหัสผ่านยอดนิยมในวงกว้างเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งโดยขึ้นอยู่กับขนาด และแจกแจงแต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Diamond Sleet
Diamond Sleet (ชื่อเดิม ZINC) เป็นผู้ดำเนินการภัยคุกคามที่ดำเนินกิจกรรมทั่วโลกในนามของรัฐบาลเกาหลีเหนือ Diamond Sleet ที่ดำเนินกิจกรรมมาตั้งแต่ปี 2009 เป็นอย่างน้อย เป็นที่ทราบกันดีว่ามุ่งเป้าโจมตีอุตสาหกรรมสื่อ กลาโหม เทคโนโลยีสารสนเทศ การวิจัยทางวิทยาศาสตร์ รวมถึงนักวิจัยด้านการรักษาความปลอดภัยที่มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล ผลประโยชน์ทางการเงิน และการทำลายเครือข่าย
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Gray Sandstorm
Grey Sandstorm (ชื่อเดิม DEV-0343) ดำเนินการเดารหัสผ่านด้วยรหัสผ่านยอดนิยมในวงกว้างเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งโดยขึ้นอยู่กับขนาด และแจกแจงแต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Smoke Sandstorm
Smoke Sandstorm (ชื่อเดิม BOHRIUM/DEV-0056) โจมตีบัญชีอีเมลที่บริษัทบูรณาการด้าน IT ในบาห์เรนในเดือนกันยายน 2021 บริษัทนี้ทำงานเกี่ยวกับบูรณาการด้าน IT กับลูกค้าภาครัฐบาลของบาห์เรน ซึ่งน่าจะเป็นเป้าหมายสูงสุดของ Smoke Sandstorm
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
Forest Blizzard
Forest Blizzard (ชื่อเดิม SRONTIUM) ใช้เทคนิคการเข้าถึงเบื้องต้นที่หลากหลาย รวมถึงการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันที่ใช้งานอินเทอร์เน็ตและเพื่อรับข้อมูลประจำตัว สเปียร์ฟิชชิ่ง และการปรับใช้เครื่องมือเดารหัสผ่านด้วยรหัสผ่านยอดนิยม/แบบสุ่มโดยอัตโนมัติที่ดำเนินการผ่าน TOR
Midnight Blizzard
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Midnight Blizzard (NOBELIUM) คือผู้ดำเนินการภัยคุกคามในรัสเซีย ซึ่งรัฐบาลสหรัฐอเมริกาและสหราชอาณาจักรอ้างว่าเป็นหน่วยข่าวกรองต่างประเทศของสหพันธรัฐรัสเซีย หรือที่รู้จักในชื่อ SVR
Volt Typhoon
ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Volt Typhoon เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกประเทศจีน Volt Typhoon มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล และการเข้าถึงข้อมูลประจำตัว
Plaid Rain
ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นมา มีการสังเกตพบว่า Plaid Rain (ชื่อเดิม POLONIUM) มุ่งเป้าโจมตีองค์กรต่างๆ ในอิสราเอลเป็นหลัก โดยมุ่งเน้นไปที่อุตสาหกรรมการผลิต, IT และกลาโหมที่สำคัญของอิสราเอล
Hazel Sandstorm
Hazel Sandstorm (ชื่อเดิม EUROPIUM) มีความเชื่อมโยงอย่างเปิดเผยกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) Microsoft ประเมินด้วยความเชื่อมั่นระดับสูงว่าในวันที่ 15 กรกฎาคม 2022 ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านได้ลงมือโจมตีทางไซเบอร์แบบทำลายล้างต่อรัฐบาลแอลเบเนีย ซึ่งขัดขวางการทำงานของเว็บไซต์ภาครัฐและบริการสาธารณะ
Cadet Blizzard
Microsoft ติดตาม Cadet Blizzard (ชื่อเดิม DEV-0586) ในฐานะผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่ง Microsoft เริ่มติดตามหลังจากเหตุการณ์ก่อกวนและทำลายล้างที่เกิดขึ้นในหน่วยงานภาครัฐหลายแห่งในยูเครนในช่วงกลางเดือนมกราคม 2022
Aqua Blizzard
Aqua Blizzard (ชื่อเดิม ACTINIUM) ใช้อีเมลแบบสเปียร์ฟิชชิ่งพร้อมไฟล์แนบแมโครที่เป็นอันตรายซึ่งใช้เทมเพลตจากระยะไกล จุดมุ่งหมายหลักของกิจกรรมจาก Aqua Blizzard คือการเข้าถึงเครือข่ายที่กำหนดเป้าหมายอย่างต่อเนื่อง ผ่านการปรับใช้มัลแวร์แบบกำหนดเองและเครื่องมือเชิงพาณิชย์ เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง
Nylon Typhoon
Nylon Typhoon (ชื่อเดิม NICKEL) ใช้การเจาะระบบที่ไม่ได้รับการติดตั้งโปรแกรมแก้ไขเพื่อโจมตีบริการและอุปกรณ์ในการเข้าถึงจากระยะไกล เมื่อการบุกรุกประสบความสำเร็จ พวกเขาได้ใช้โปรแกรมสร้างสำเนาและโปรแกรมขโมยข้อมูลประจำตัวเพื่อให้ได้รับข้อมูลประจำตัวที่ถูกต้องตามกฎหมาย ซึ่งพวกเขาใช้เพื่อเข้าถึงบัญชีของเหยื่อและเพื่อเข้าถึงระบบที่มีมูลค่าสูงขึ้น
Crimson Sandstorm
มีการสังเกตพบว่าผู้ดำเนินการ Crimson Sandstorm (ชื่อเดิม CURIUM) ใช้ประโยชน์จากเครือข่ายบัญชีโซเชียลมีเดียปลอมเพื่อสร้างความไว้วางใจกับเป้าหมายและส่งมัลแวร์เพื่อลักลอบถ่ายโอนข้อมูลในท้ายที่สุด
Diamond Sleet
Diamond Sleet (ชื่อเดิม ZINC) เป็นผู้ดำเนินการภัยคุกคามที่ดำเนินกิจกรรมทั่วโลกในนามของรัฐบาลเกาหลีเหนือ Diamond Sleet ที่ดำเนินกิจกรรมมาตั้งแต่ปี 2009 เป็นอย่างน้อย เป็นที่ทราบกันดีว่ามุ่งเป้าโจมตีอุตสาหกรรมสื่อ กลาโหม เทคโนโลยีสารสนเทศ การวิจัยทางวิทยาศาสตร์ รวมถึงนักวิจัยด้านการรักษาความปลอดภัยที่มุ่งเน้นไปที่การจารกรรม การโจรกรรมข้อมูล ผลประโยชน์ทางการเงิน และการทำลายเครือข่าย
Gray Sandstorm
Grey Sandstorm (ชื่อเดิม DEV-0343) ดำเนินการเดารหัสผ่านด้วยรหัสผ่านยอดนิยมในวงกว้างเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งโดยขึ้นอยู่กับขนาด และแจกแจงแต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง
Manatee Tempest
Manatee Tempest (ชื่อเดิม DEV-0243) เป็นผู้ดำเนินการภัยคุกคามที่เป็นส่วนหนึ่งของระบบเศรษฐกิจแรนซัมแวร์ในรูปแบบบริการ (RaaS) โดยร่วมมือกับผู้ดำเนินการภัยคุกคามรายอื่นเพื่อจัดทำตัวโหลด Cobalt Strike แบบกำหนดเอง
Wine Tempest
Wine Tempest (ชื่อเดิม PARINACOTA) มักใช้แรนซัมแวร์ที่ดำเนินการโดยมนุษย์ในการโจมตี โดยส่วนใหญ่จะปรับใช้แรนซัมแวร์ Wadhrama กลุ่มดังกล่าวมีความรอบรู้และเปลี่ยนกลยุทธ์เพื่อให้ตรงกับความต้องการของตน และได้ใช้อุปกรณ์ที่มีช่องโหว่เพื่อวัตถุประสงค์ต่างๆ รวมถึงการขุดเหมืองสกุลเงินดิจิทัล การส่งอีเมลสแปม หรือการเป็นตัวแทนสำหรับการโจมตีอื่นๆ
Smoke Sandstorm
Smoke Sandstorm (ชื่อเดิม BOHRIUM/DEV-0056) โจมตีบัญชีอีเมลที่บริษัทบูรณาการด้าน IT ในบาห์เรนในเดือนกันยายน 2021 บริษัทนี้ทำงานเกี่ยวกับบูรณาการด้าน IT กับลูกค้าภาครัฐบาลของบาห์เรน ซึ่งน่าจะเป็นเป้าหมายสูงสุดของ Smoke Sandstorm
Pistachio Tempest
Pistachio Tempest (ชื่อเดิม DEV-0237) เป็นกลุ่มที่เกี่ยวข้องกับการกระจายแรนซัมแวร์ที่ส่งผลกระทบในวงกว้าง Microsoft สังเกตพบว่า Pistachio Tempest ใช้ส่วนข้อมูลแรนซัมแวร์ที่หลากหลายในช่วงเวลาหนึ่ง ในขณะที่กลุ่มทดลองใช้แรนซัมแวร์ในรูปแบบบริการ (RaaS) ต่างๆ ตั้งแต่ Ryuk และ Conti ไปจนถึง Hive, Nokoyawa และล่าสุดคือ Agenda และ Mindware
Periwinkle Tempest
Periwinkle Tempest (ชื่อเดิม DEV-0193) มีหน้าที่รับผิดชอบในการพัฒนา เผยแพร่ และจัดการส่วนข้อมูลต่างๆ จำนวนมาก รวมถึง Trickbot, Bazaloader และ AnchorDNS
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Caramel Tsunami
โดยทั่วไปแล้ว Caramel Tsunami (ชื่อเดิม SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานภาครัฐและผู้ไม่ประสงค์ดีรายอื่นๆ
Silk Typhoon
ในปี 2021 Silk Typhoon (ชื่อเดิม HAFNIUM) ใช้ช่องโหว่แบบ 0-day เพื่อโจมตี Microsoft Exchange Server เวอร์ชันในองค์กรด้วยการโจมตีแบบจำกัดและกำหนดเป้าหมาย
เรียกดูตามหัวข้อ
AI
การรักษาความปลอดภัยจะดีเทียบเท่ากับข่าวกรองเกี่ยวกับภัยคุกคามของคุณเท่านั้น
การโจมตีอีเมลระดับธุรกิจ
การแจกแจงรายละเอียดเกี่ยวกับการโจมตีอีเมลระดับธุรกิจ
แรนซัมแวร์
ปกป้ององค์กรของคุณจากแรนซัมแวร์
พบกับผู้เชี่ยวชาญ
โปรไฟล์ผู้เชี่ยวชาญ: Homa Hayatyfar
ผู้จัดการฝ่ายข้อมูลและวิทยาศาสตร์ประยุกต์หลัก Homa Hayatyfar อธิบายถึงการใช้แบบจำลองการเรียนรู้ของเครื่องเพื่อเสริมสร้างการป้องกัน ซึ่งเป็นเพียงหนึ่งในหลายๆ วิธีการที่ AI พร้อมพลิกโฉมแวดวงการรักษาความปลอดภัย
พบกับผู้เชี่ยวชาญ
โปรไฟล์ผู้เชี่ยวชาญ
การนำข่าวกรองเกี่ยวกับภัยคุกคามไซเบอร์มาใช้ในบริบททางภูมิรัฐศาสตร์
โปรไฟล์ผู้เชี่ยวชาญ
คำแนะนำจากผู้เชี่ยวชาญเกี่ยวกับความท้าทายด้านการรักษาความปลอดภัยทางไซเบอร์สามประการที่เกิดขึ้นอย่างต่อเนื่อง
โปรไฟล์ผู้เชี่ยวชาญ
ทรรศนะจากนักวิจัยด้านการรักษาความปลอดภัย Dustin Duran เกี่ยวกับวิธีการคิดแบบผู้โจมตี
สำรวจรายงานข่าวกรอง
รายงาน Microsoft Digital Defense Report ปี 2023
Microsoft Digital Defense Report ฉบับล่าสุดสำรวจภูมิทัศน์ด้านภัยคุกคามที่พัฒนาอยู่ตลอดเวลา และแนะนำโอกาสและความท้าทายในขณะที่เรามีความสามารถในการตอบสนองต่อภัยคุกคามทางไซเบอร์
รักษาการป้องกันทางไซเบอร์ในทางปฏิบัติ
การรักษาความมั่นคงปลอดภัยทางไซเบอร์
การรักษาความมั่นคงปลอดภัยทางไซเบอร์ขั้นพื้นฐานป้องกันการโจมตีได้ถึง 99%
การไล่ล่าภัยคุกคาม
เรียนรู้ข้อมูลเบื้องต้นเกี่ยวกับการไล่ล่าภัยคุกคาม
อาชญากรรมไซเบอร์
การหยุดยั้งอาชญากรไซเบอร์จากการใช้เครื่องมือรักษาความปลอดภัยในทางที่ผิด
เริ่มต้นใช้งาน
เข้าร่วม Microsoft Events
ต่อยอดความเชี่ยวชาญของคุณ เรียนรู้ทักษะใหม่ และสร้างชุมชนด้วยกิจกรรมและโอกาสในการเรียนรู้ของ Microsoft
พูดคุยกับเรา
ติดตาม Microsoft