Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
Security Insider
Threat Intelligence und verwertbare Informationen, um an der Spitze zu bleiben
Aufkommende Bedrohungen
Threat Intelligence Review – das Jahr 2023: Zentrale Erkenntnisse und Entwicklungen
Microsoft Threat Intelligence fasst die wichtigsten Trends bei Bedrohungsakteuren in Bezug auf Techniken, Taktiken und Verfahren (TTPs) ab 2023 zusammen.
Aktuelle Neuigkeiten
Business Intelligence-Berichte
Cyberbedrohungen verstehen und Ausbau der Abwehrmaßnahmen im Zeitalter der KI
Business Intelligence-Berichte
Der Iran setzt vermehrt Cyberdesinformationskampagnen zur Unterstützung der Hamas ein
Aufkommende Bedrohungen
Nutzung der Vertrauensökonomie: Social Engineering-Betrug
Erkenntnisse zum Bedrohungsakteur
Microsoft Security verfolgt aktiv Bedrohungsakteure im Hinblick auf ihre Aktivitäten innerhalb beobachteter Nationalstaaten, im Bereich Ransomware und dem kriminellen Milieu. Die angeführten Erkenntnisse stellen die öffentlich zugänglichen Threat Intelligence-Forschungsbemühungen von Microsoft Security dar und fungieren als zentrales Verzeichnis für detaillierte Akteurprofile in den dazugehörigen Blogs.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) versucht in der Regel, die persönlichen Konten von Einzelpersonen durch Spear-Phishing und Social Engineering zu kompromittieren, um eine Beziehung zu den Opfern aufzubauen, bevor sie sie ins Visier nehmen
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Wine Tempest
Wine Tempest (ehemals PARINACOTA) verwendet für seine Angriffe üblicherweise menschlich gesteuerte Ransomware, meist die Ransomware Wadhrama. Die Hackergruppe ist erfinderisch, ändert ihre Taktiken nach Bedarf und nutzt kompromittierte Computer für verschiedene Zwecke wie z. B. Cryptomining, den Versand von Spam oder als Proxy für weitere Angriffe.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Storm-0530
Eine aus Nordkorea stammende Gruppe von Akteuren, die von Microsoft als Storm-0530 (früher DEV-0530) bezeichnet wird, entwickelt und benutzt seit Juni 2021 Ransomware für Angriffe.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als einen vom russischen Staat geförderten Bedrohungsakteur, den Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Diamond Sleet (ehemals ZINC) ist ein Bedrohungsakteur, der im Auftrag der nordkoreanischen Regierung globale Aktivitäten durchführt. Diamond Sleet ist seit mindestens 2009 aktiv und zielt bekanntermaßen auf Medien, Verteidigung, Informationstechnologie, wissenschaftliche Forschungsindustrien sowie Sicherheitsforscher ab, wobei der Schwerpunkt auf Spionage, Datendiebstahl, finanziellem Gewinn und Netzwerkzerstörung liegt.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) versucht in der Regel, die persönlichen Konten von Einzelpersonen durch Spear-Phishing und Social Engineering zu kompromittieren, um eine Beziehung zu den Opfern aufzubauen, bevor sie sie ins Visier nehmen
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als einen vom russischen Staat geförderten Bedrohungsakteur, den Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) versucht in der Regel, die persönlichen Konten von Einzelpersonen durch Spear-Phishing und Social Engineering zu kompromittieren, um eine Beziehung zu den Opfern aufzubauen, bevor sie sie ins Visier nehmen
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als einen vom russischen Staat geförderten Bedrohungsakteur, den Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Storm-0530
Eine aus Nordkorea stammende Gruppe von Akteuren, die von Microsoft als Storm-0530 (früher DEV-0530) bezeichnet wird, entwickelt und benutzt seit Juni 2021 Ransomware für Angriffe.
Mint Sandstorm
Mint Sandstorm (ehemals PHOSPHORUS) versucht in der Regel, die persönlichen Konten von Einzelpersonen durch Spear-Phishing und Social Engineering zu kompromittieren, um eine Beziehung zu den Opfern aufzubauen, bevor sie sie ins Visier nehmen
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Diamond Sleet
Diamond Sleet (ehemals ZINC) ist ein Bedrohungsakteur, der im Auftrag der nordkoreanischen Regierung globale Aktivitäten durchführt. Diamond Sleet ist seit mindestens 2009 aktiv und zielt bekanntermaßen auf Medien, Verteidigung, Informationstechnologie, wissenschaftliche Forschungsindustrien sowie Sicherheitsforscher ab, wobei der Schwerpunkt auf Spionage, Datendiebstahl, finanziellem Gewinn und Netzwerkzerstörung liegt.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als einen vom russischen Staat geförderten Bedrohungsakteur, den Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Diamond Sleet (ehemals ZINC) ist ein Bedrohungsakteur, der im Auftrag der nordkoreanischen Regierung globale Aktivitäten durchführt. Diamond Sleet ist seit mindestens 2009 aktiv und zielt bekanntermaßen auf Medien, Verteidigung, Informationstechnologie, wissenschaftliche Forschungsindustrien sowie Sicherheitsforscher ab, wobei der Schwerpunkt auf Spionage, Datendiebstahl, finanziellem Gewinn und Netzwerkzerstörung liegt.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Diamond Sleet
Diamond Sleet (ehemals ZINC) ist ein Bedrohungsakteur, der im Auftrag der nordkoreanischen Regierung globale Aktivitäten durchführt. Diamond Sleet ist seit mindestens 2009 aktiv und zielt bekanntermaßen auf Medien, Verteidigung, Informationstechnologie, wissenschaftliche Forschungsindustrien sowie Sicherheitsforscher ab, wobei der Schwerpunkt auf Spionage, Datendiebstahl, finanziellem Gewinn und Netzwerkzerstörung liegt.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Forest Blizzard
Forest Blizzard (ehemals STRONTIUM) nutzt eine Vielzahl von Erstzugriffstechniken, darunter die Ausnutzung von Sicherheitslücken bei webbasierten Anwendungen sowie Spear-Phishing und den Einsatz eines automatisierten Passwort-Spray-/Brute-Force-Tools, das über TOR läuft, um Zugangsdaten zu erhalten
Midnight Blizzard
Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet.
Volt Typhoon
Der Akteur, den Microsoft als Volt Typhoon verfolgt, ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Volt Typhoon konzentriert sich auf Spionage, Datenklau und Anmeldeinformationszugriff.
Plaid Rain
Es wurde beobachtet, dass Plaid Rain (vormals POLONIUM) seit Februar 2022 vorwiegend Organisationen in Israel ins Visier nimmt. Sein Schwerpunkt liegt dabei auf den Bereichen Fertigung, IT und der Rüstungsgüterindustrie Israels.
Hazel Sandstorm
Hazel Sandstorm (ehemals EUROPIUM) wurde öffentlich mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht. Microsoft hat mit hoher Wahrscheinlichkeit festgestellt, dass am 15. Juli 2022 von der iranischen Regierung gesponserte Akteure einen zerstörerischen Cyberangriff auf die albanische Regierung durchgeführt haben, der die Websites der Regierung und öffentliche Dienste gestört hat.
Cadet Blizzard
Microsoft verfolgt Cadet Blizzard (ehemals DEV-0586) als einen vom russischen Staat geförderten Bedrohungsakteur, den Microsoft nach störenden und zerstörerischen Ereignissen in mehreren Regierungsbehörden in der Ukraine Mitte Januar 2022 zu verfolgen begann.
Aqua Blizzard
Aqua Blizzard (ehemals ACTINIUM) verwendet Spear-Phishing-E-Mails mit bösartigen Makroanhängen, die Remote-Vorlagen verwenden. Das Hauptziel der Aktivitäten von Aqua Blizzard besteht darin, durch den Einsatz maßgeschneiderter Malware und kommerzieller Tools dauerhaften Zugriff auf Zielnetzwerke zu erhalten, um Informationen zu sammeln.
Nylon Typhoon
Nylon Typhoon (ehemals NICKEL) nutzt Exploits gegen ungeschützte Systeme, um Fernzugriffsdienste und -geräte zu kompromittieren. Nach erfolgreichem Eindringen haben sie mit Hilfe von Credential Dumpers oder Stealers legitime Zugangsdaten erlangt, mit denen sie sich Zugang zu den Konten der Opfer und zu höherwertigen Systemen verschafft haben.
Crimson Sandstorm
Die Akteure von Crimson Sandstorm (ehemals CURIUM) wurden dabei beobachtet, wie sie ein Netzwerk aus fiktiven Social-Media-Konten nutzen, um Vertrauen bei den Zielpersonen aufzubauen und Malware zu verbreiten, um letztendlich Daten zu exfiltrieren.
Diamond Sleet
Diamond Sleet (ehemals ZINC) ist ein Bedrohungsakteur, der im Auftrag der nordkoreanischen Regierung globale Aktivitäten durchführt. Diamond Sleet ist seit mindestens 2009 aktiv und zielt bekanntermaßen auf Medien, Verteidigung, Informationstechnologie, wissenschaftliche Forschungsindustrien sowie Sicherheitsforscher ab, wobei der Schwerpunkt auf Spionage, Datendiebstahl, finanziellem Gewinn und Netzwerkzerstörung liegt.
Gray Sandstorm
Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf.
Manatee Tempest
Manatee Tempest (ehemals DEV-0243) ist ein Bedrohungsakteur, der zur Ransomware-as-a-Service-Ökonomie (RaaS) gehört und sich mit anderen Bedrohungsakteuren zusammenschließt, um maßgeschneiderte Cobalt Strike-Loader bereitzustellen.
Wine Tempest
Wine Tempest (ehemals PARINACOTA) verwendet für seine Angriffe üblicherweise menschlich gesteuerte Ransomware, meist die Ransomware Wadhrama. Die Hackergruppe ist erfinderisch, ändert ihre Taktiken nach Bedarf und nutzt kompromittierte Computer für verschiedene Zwecke wie z. B. Cryptomining, den Versand von Spam oder als Proxy für weitere Angriffe.
Smoke Sandstorm
Smoke Sandorm (ehemals BOHRIUM/DEV-0056) kompromittierte im September 2021 E-Mail-Konten eines IT-Integrationsunternehmens in Bahrain. Dieses Unternehmen führt IT-Integrationen für bahrainische Regierungskunden durch, und es ist wahrscheinlich, dass diese das eigentliche Ziel von Smoke Sandstorm waren.
Pistachio Tempest
Pistachio Tempest (ehemals DEV-0237) ist eine Gruppe, die starke Ransomware verbreitet. Microsoft hat beobachtet, dass Pistachio Tempest im Laufe der Zeit verschiedene Ransomware-Nutzdaten verwendet, da die Gruppe mit neuen Ransomware-as-a-Service-Angeboten (RaaS) experimentiert, von Ryuk und Conti über Hive und Nokoyawa bis hin zu Agenda und Mindware.
Periwinkle Tempest
Periwinkle Tempest (ehemals DEV-0193) ist verantwortlich für die Entwicklung, Verteilung und Verwaltung von verschiedenen Nutzdaten, inklusive Trickbot, Bazaloader und AnchorDNS.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Caramel Tsunami
Caramel Tsunami (ehemals SOURGUM) verkauft im Allgemeinen Cyberwaffen, in der Regel Malware und Zero-Day-Exploits, als Teil eines Hacking-as-a-Service-Pakets an Regierungsbehörden und andere böswillige Akteure.
Silk Typhoon
Im Jahr 2021 nutzte Silk Typhoon (ehemals HAFNIUM) 0-Day-Exploits, um in begrenzten und gezielten Angriffen lokale Versionen von Microsoft Exchange Server anzugreifen.
Nach Thema suchen
KI
Sicherheit ist nur so gut wie Ihre Threat Intelligence
Betrügerische Business-E-Mails
Betrügerische Business-E-Mails im Überblick
Ransomware
Schützen Sie Ihr Unternehmen vor Ransomware
Experten treffen
Expertenprofil: Homa Hayatyfar
Homa Hayatyfar, Principal Data and Applied Science Manager, beschreibt die Verwendung von Machine Learning-Modellen zur Stärkung der Verteidigung – eine von vielen Möglichkeiten, die Sicherheit mit KI zu verbessern.
Die Experten treffen
Expertenprofil
Cyber Threat Intelligence im geopolitischen Kontext
Expertenprofil
Expertentipps zu den drei hartnäckigsten Herausforderungen im Bereich Cybersicherheit
Expertenprofil
Der Sicherheitsforscher Dustin Duran erklärt, wie man wie ein Angreifer denkt
Intelligence-Berichte erkunden
Microsoft-Bericht über digitale Abwehr 2023
In der neuesten Ausgabe des Microsoft-Berichts über digitale Abwehr wird die sich ständig verändernde Bedrohungslandschaft beleuchtet. Zudem werden Chancen und Herausforderungen auf dem Weg zur Cyberresilienz aufgezeigt.
Cyberabwehr in der Praxis beibehalten
Cyberhygiene
99 % aller Angriffe sind durch grundlegende Cyberhygiene vermeidbar
Bedrohungssuche
Mehr zum ABC der Bedrohungssuche
Cyberverbrechen
Cyberkriminelle davon abhalten, Sicherheitstools zu missbrauchen
Jetzt loslegen
An Microsoft Events teilnehmen
Erweitern Sie Ihre Kompetenzen, lernen Sie neue Fertigkeiten, und schaffen Sie eine Gemeinschaft mithilfe von Microsoft-Veranstaltungen und Lernmöglichkeiten.
Sprechen Sie mit uns
Microsoft folgen