Security Insider
脅威インテリジェンスと実用的な分析情報で、常に先を行く
新しい Security Insider の発表: 今月後半に公開予定の CISO 向けの分析、インサイト、パースペクティブをより詳しくご覧ください。
AI
AI を活用する企業のセキュリティに関する Microsoft ガイド: はじめに
AI アプリケーションに潜在するリスク (データ漏洩、新たな脅威、コンプライアンス上の課題) と、エージェント型 AI 特有のリスクにも焦点を当てた、新しいガイド シリーズの第 1 弾です。段階的なアプローチで AI 向けの安全な基盤を構築するための実践的なアドバイスを得ることができます。
脅威アクターに関する分析情報
Microsoft 脅威インテリジェンスは、観測された国家主導型アクター、ランサムウェア、犯罪活動を含めた幅広い脅威アクターを視野に入れ、積極的な追跡活動を展開しています。その分析情報の内容は、Microsoft の脅威リサーチャーによって公開されているアクティビティをまとめたものであり、参照元ブログのアクター プロファイル情報を集約したカタログとなっています。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は、イランと関係がある活動グループであり、少なくとも 2013 年から活動しています。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Wine Tempest
Wine Tempest (旧称 PARINACOTA) は通常、人手によるランサムウェアを攻撃に使用し、主に Wadhrama ランサムウェアを展開します。豊富なリソースを擁しており、ニーズに合わせて戦術を変更しながら、侵害したマシンをさまざまな目的 (暗号通貨マイニング、スパム メール送信、その他の攻撃のプロキシなど) に使用してきました。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Storm-0530
Microsoft が Storm-0530 (旧称 DEV-0530) と呼んで追跡している、北朝鮮から発生した攻撃者グループは、2021 年 6 月からランサムウェアを開発し、攻撃に使用しています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Cadet Blizzard (旧称 DEV-0586) はロシア軍事情報部 (GRU) が関与する脅威グループです。Microsoft では、2022 年 1 月中旬にウクライナの複数の政府機関で破壊的かつ崩壊的な事態が発生したことを受け、このグループの追跡を始めました。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Microsoft が Diamond Sleet として追跡しているアクターは、北朝鮮を拠点とする活動グループであり、世界中のメディア、防衛、情報技術 (IT) 業界を標的としていることが知られています。Diamond Sleet は、スパイ活動、個人および企業データの窃盗、金銭的利益、企業ネットワークの破壊に主眼をおいた行動を取っています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は、イランと関係がある活動グループであり、少なくとも 2013 年から活動しています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Cadet Blizzard
Cadet Blizzard (旧称 DEV-0586) はロシア軍事情報部 (GRU) が関与する脅威グループです。Microsoft では、2022 年 1 月中旬にウクライナの複数の政府機関で破壊的かつ崩壊的な事態が発生したことを受け、このグループの追跡を始めました。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は、イランと関係がある活動グループであり、少なくとも 2013 年から活動しています。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Cadet Blizzard (旧称 DEV-0586) はロシア軍事情報部 (GRU) が関与する脅威グループです。Microsoft では、2022 年 1 月中旬にウクライナの複数の政府機関で破壊的かつ崩壊的な事態が発生したことを受け、このグループの追跡を始めました。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家関与型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Storm-0530
Microsoft が Storm-0530 (旧称 DEV-0530) と呼んで追跡している、北朝鮮から発生した攻撃者グループは、2021 年 6 月からランサムウェアを開発し、攻撃に使用しています。
Mint Sandstorm
Mint Sandstorm (旧称 PHOSPHORUS) は、イランと関係がある活動グループであり、少なくとも 2013 年から活動しています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Diamond Sleet
Microsoft が Diamond Sleet として追跡しているアクターは、北朝鮮を拠点とする活動グループであり、世界中のメディア、防衛、情報技術 (IT) 業界を標的としていることが知られています。Diamond Sleet は、スパイ活動、個人および企業データの窃盗、金銭的利益、企業ネットワークの破壊に主眼をおいた行動を取っています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Cadet Blizzard
Cadet Blizzard (旧称 DEV-0586) はロシア軍事情報部 (GRU) が関与する脅威グループです。Microsoft では、2022 年 1 月中旬にウクライナの複数の政府機関で破壊的かつ崩壊的な事態が発生したことを受け、このグループの追跡を始めました。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Microsoft が Diamond Sleet として追跡しているアクターは、北朝鮮を拠点とする活動グループであり、世界中のメディア、防衛、情報技術 (IT) 業界を標的としていることが知られています。Diamond Sleet は、スパイ活動、個人および企業データの窃盗、金銭的利益、企業ネットワークの破壊に主眼をおいた行動を取っています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Diamond Sleet
Microsoft が Diamond Sleet として追跡しているアクターは、北朝鮮を拠点とする活動グループであり、世界中のメディア、防衛、情報技術 (IT) 業界を標的としていることが知られています。Diamond Sleet は、スパイ活動、個人および企業データの窃盗、金銭的利益、企業ネットワークの破壊に主眼をおいた行動を取っています。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
Forest Blizzard
Forest Blizzard (旧称 STRONTIUM) は、Web に公開されたアプリケーションの脆弱性の悪用などの、さまざまな初回アクセス テクニックを使用して、認証情報の取得、スピア フィッシング、TOR を介して動作する自動パスワード スプレー/ブルート フォース ツールのデプロイなどを行っています
Midnight Blizzard
Microsoft が Midnight Blizzard (NOBELIUM) として追跡しているアクターは、米国および英国政府によってロシア連邦対外情報庁 (SVR) に所属するとされる、ロシアを拠点とする脅威アクターです。
Volt Typhoon
Microsoft が Volt Typhoon と呼んで追跡しているアクターは、中国から発生した国家主導型の活動グループです。行動の主眼は、スパイ活動、データ窃盗、資格情報へのアクセスを得ることにあります。
Plaid Rain
2022 年 2 月以降、Plaid Rain (旧称 POLONIUM) は、主にイスラエルの重要な製造業、IT、イスラエルの防衛産業を中心とした組織を標的として確認されています。
Hazel Sandstorm
Hazel Sandstorm (旧称 EUROPIUM) は、イラン情報安全保障省 (MOIS) とのつながりが公然と確認されているアクターです。Microsoft では、"高" 確度の推定として、イラン政府の支援を受ける複数のアクターがアルバニア政府に対し、2022 年 7 月 15 日に破壊的なサイバー攻撃を仕掛け、政府の Web サイトや公共サービスを妨害したとの評価を下しています。
Cadet Blizzard
Cadet Blizzard (旧称 DEV-0586) はロシア軍事情報部 (GRU) が関与する脅威グループです。Microsoft では、2022 年 1 月中旬にウクライナの複数の政府機関で破壊的かつ崩壊的な事態が発生したことを受け、このグループの追跡を始めました。
Aqua Blizzard
Aqua Blizzard (旧称 ACTINIUM) は、ロシアから発生した国家関与型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。
Nylon Typhoon
Nylon Typhoon (旧称 NICKEL) は、パッチ未適用のシステムを悪用してリモート アクセス サービスやアプライアンスを侵害します。侵入に成功した後は、資格情報ダンプ ツールや資格情報窃取ツールで正規の資格情報を入手し、それらを使用して、被害者のアカウントへのアクセスや、より価値が高いシステムへのアクセスを実行します。
Crimson Sandstorm
Crimson Sandstorm (旧称 CURIUM) アクターについては、架空のソーシャル メディア アカウント群から成るネットワークによって標的との信頼関係を築き、マルウェアを送り込んで最終的にデータを盗み出す行動が観測されています。
Diamond Sleet
Microsoft が Diamond Sleet として追跡しているアクターは、北朝鮮を拠点とする活動グループであり、世界中のメディア、防衛、情報技術 (IT) 業界を標的としていることが知られています。Diamond Sleet は、スパイ活動、個人および企業データの窃盗、金銭的利益、企業ネットワークの破壊に主眼をおいた行動を取っています。
Gray Sandstorm
Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。
Manatee Tempest
Manatee Tempest (旧称 DEV-0243) は、RaaS (サービスとしてのランサムウェア) 産業の一翼を担っている脅威アクターであり、他の脅威アクターと協力してカスタム Cobalt Strike ローダーを提供しています。
Wine Tempest
Wine Tempest (旧称 PARINACOTA) は通常、人手によるランサムウェアを攻撃に使用し、主に Wadhrama ランサムウェアを展開します。豊富なリソースを擁しており、ニーズに合わせて戦術を変更しながら、侵害したマシンをさまざまな目的 (暗号通貨マイニング、スパム メール送信、その他の攻撃のプロキシなど) に使用してきました。
Smoke Sandstorm
Smoke Sandstorm (旧称 BOHRIUM/DEV-0056) は、2021 年 9 月、バーレーンを拠点とする IT 統合企業のメール アカウントを侵害しました。同社はバーレーンの政府機関顧客から IT 統合案件を受注しており、おそらく、Smoke Sandstorm は最終的にそちらを標的にしていたものと見られます。
Pistachio Tempest
Pistachio Tempest (旧称 DEV-0237) は影響力のあるランサムウェア配布に関連のあるグループです。Microsoft の観測によると、Pistachio Tempest は長期にわたりさまざまなランサムウェア ペイロードを使用しながら、Ryuk や Conti、Hive や Nokoyawa、最近では Agenda や Mindware など、サービスとしての新しいランサムウェア (RaaS) を試しています。
Periwinkle Tempest
Periwinkle Tempest (旧称 DEV-0193) は、さまざまなペイロード (Trickbot、Bazaloader、AnchorDNS など) を開発、配布、管理してきたグループです。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Caramel Tsunami
Caramel Tsunami (旧称 SOURGUM) は、サイバー兵器 (マルウェア、ゼロデイ脆弱性悪用ツールなど) を販売しています。それらは、政府機関や他の悪意あるアクター向けに販売される "サービスとしてのハッキング" パッケージの一部です。
Silk Typhoon
Silk Typhoon (旧称 HAFNIUM) は中国から発生した国家関与型グループで、2021 年から追跡されています。
エキスパートの話を聞く
Microsoft 脅威インテリジェンス ポッドキャスト
Microsoft 脅威インテリジェンス コミュニティが、変化し続ける脅威情勢を解説します。APT、サイバー犯罪組織、マルウェア、脆弱性の話題や、サイバー脅威の世界にまつわるその他のエピソードを聞くことができます。
Microsoft Security をフォロー