Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
Security Insider
Veille des menaces et informations analytiques actionnables pour garder une longueur d’avance
Menaces émergentes
Bilan de l’année 2023 de la veille des menaces : Informations et développements clés
La veille des menaces Microsoft dresse un panorama des principales tendances des acteurs de la menace en matière de techniques, tactiques et procédures (TTP) depuis 2023.
Dernières actualités
Rapport de veille
Explorer les cybermenaces et renforcer les moyens de défense à l’ère de l’IA
Rapport de veille
L’Iran multiplie les opérations de cyberinfluence pour soutenir le Hamas
Menaces émergentes
Elle se nourrit de l’économie de la confiance : la fraude par piratage psychologique
Insights de l’acteur de la menace
Microsoft Security suit activement les acteurs de la menace à travers les activités observées des États-nations, des rançongiciels et des activités criminelles. Ces informations représentent les activités publiées par les chercheurs en menaces de Microsoft Security et fournissent un catalogue centralisé de profils d’acteurs provenant des blogs référencés.
Mint Sandstorm
Mint Sandstorm (anciennement PHOSPHORUS) tente généralement de compromettre les comptes personnels des individus par le biais du harponnage et en ayant recours au piratage psychologique pour établir une relation avec les victimes avant de les cibler
Manatee Tempest
Manatee Tempest (anciennement DEV-0243) est un acteur de la menace qui fait partie de l’économie de rançongiciel en tant que service (RaaS), en partenariat avec d’autres acteurs de la menace pour fournir des chargeurs Cobalt Strike personnalisés.
Wine Tempest
Wine Tempest (anciennement PARINACOTA) a généralement recours à des rançongiciels exploités par des humains, principalement Wadhrama, pour mener ses attaques. L’ingéniosité de ces pirates informatiques leur permet d’adapter leurs tactiques en fonction de leurs besoins et d’utiliser des machines compromises à diverses fins, telles que le minage de cryptomonnaies, l’envoi de courriers indésirables ou servir de proxy pour d’autres attaques.
Smoke Sandstorm
Smoke Sandstorm (anciennement BOHRIUM/DEV-0056) a compromis des comptes de messagerie d’une société d’intégration informatique basée à Bahreïn en septembre 2021. Cette société travaille sur l’intégration informatique avec des clients du secteur public bahreïnien, qui étaient probablement la cible principale de Smoke Sandstorm.
Storm-0530
Un groupe d’acteurs venant de la Corée du Nord, que Microsoft suit sous le nom de Storm-0530 (anciennement DEV-0530), développe et utilise un rançongiciel dans des attaques depuis juin 2021.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Hazel Sandstorm
Il a été révélé publiquement que Hazel Sandstorm (autrefois EUROPIUM) était lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). Selon Microsoft, il est très probable que le 15 juillet 2022, des acteurs commandités par le gouvernement iranien ont mené une cyberattaque destructrice contre le gouvernement albanais, perturbant ainsi les sites web gouvernementaux et les services publics.
Cadet Blizzard
Microsoft surveille Cadet Blizzard (anciennement DEV-0586), un acteur de la menace commandité par le GRU russe, depuis des événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022.
Pistachio Tempest
Pistachio Tempest (anciennement DEV-0237) est un groupe associé à la distribution de rançongiciels à fort impact. Microsoft a observé que Pistachio Tempest utilisait des charges utiles de rançongiciel variées au fil du temps, car le groupe expérimente de nouvelles solutions de rançongiciel en tant que service (RaaS), de Ryuk et Conti à Hive, Nokoyawa et, plus récemment, Agenda et Mindware.
Periwinkle Tempest
Periwinkle Tempest (anciennement DEV-0193) est responsable du développement, de la distribution et de la gestion de nombreuses charges utiles différentes, notamment Trickbot, Bazaloader et AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Nylon Typhoon
Nylon Typhoon (anciennement NICKEL) utilise du code malveillant exploitant les failles de sécurité des systèmes non corrigés afin de compromettre des services d’accès à distance et des appareils. Après avoir réussi à s’introduire dans le système, les pirates se servent d’outils permettant de voler ou d’extraire des identifiants légitimes, qu’ils utilisent ensuite pour accéder aux comptes des victimes et à des systèmes de niveau supérieur.
Crimson Sandstorm
Les acteurs de Crimson Sandstorm (anciennement CURIUM) ont été observés en train d’exploiter un réseau de comptes fictifs de réseaux sociaux pour établir une relation de confiance avec les cibles et diffuser des logiciels malveillants afin d’exfiltrer des données.
Diamond Sleet
Diamond Sleet (anciennement ZINC) est un acteur de la menace qui mène des activités mondiales pour le compte du gouvernement nord-coréen. Actif depuis au moins 2009, Diamond Sleet est connu pour cibler les médias, la défense, les technologies de l’information, les laboratoires de recherche scientifique ainsi que les chercheurs en sécurité, en mettant l’accent sur l’espionnage, le vol de données, les gains financiers et la destruction de réseaux.
Gray Sandstorm
Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Mint Sandstorm
Mint Sandstorm (anciennement PHOSPHORUS) tente généralement de compromettre les comptes personnels des individus par le biais du harponnage et en ayant recours au piratage psychologique pour établir une relation avec les victimes avant de les cibler
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Crimson Sandstorm
Les acteurs de Crimson Sandstorm (anciennement CURIUM) ont été observés en train d’exploiter un réseau de comptes fictifs de réseaux sociaux pour établir une relation de confiance avec les cibles et diffuser des logiciels malveillants afin d’exfiltrer des données.
Gray Sandstorm
Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Periwinkle Tempest
Periwinkle Tempest (anciennement DEV-0193) est responsable du développement, de la distribution et de la gestion de nombreuses charges utiles différentes, notamment Trickbot, Bazaloader et AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Cadet Blizzard
Microsoft surveille Cadet Blizzard (anciennement DEV-0586), un acteur de la menace commandité par le GRU russe, depuis des événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Mint Sandstorm
Mint Sandstorm (anciennement PHOSPHORUS) tente généralement de compromettre les comptes personnels des individus par le biais du harponnage et en ayant recours au piratage psychologique pour établir une relation avec les victimes avant de les cibler
Smoke Sandstorm
Smoke Sandstorm (anciennement BOHRIUM/DEV-0056) a compromis des comptes de messagerie d’une société d’intégration informatique basée à Bahreïn en septembre 2021. Cette société travaille sur l’intégration informatique avec des clients du secteur public bahreïnien, qui étaient probablement la cible principale de Smoke Sandstorm.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Hazel Sandstorm
Il a été révélé publiquement que Hazel Sandstorm (autrefois EUROPIUM) était lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). Selon Microsoft, il est très probable que le 15 juillet 2022, des acteurs commandités par le gouvernement iranien ont mené une cyberattaque destructrice contre le gouvernement albanais, perturbant ainsi les sites web gouvernementaux et les services publics.
Cadet Blizzard
Microsoft surveille Cadet Blizzard (anciennement DEV-0586), un acteur de la menace commandité par le GRU russe, depuis des événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Nylon Typhoon
Nylon Typhoon (anciennement NICKEL) utilise du code malveillant exploitant les failles de sécurité des systèmes non corrigés afin de compromettre des services d’accès à distance et des appareils. Après avoir réussi à s’introduire dans le système, les pirates se servent d’outils permettant de voler ou d’extraire des identifiants légitimes, qu’ils utilisent ensuite pour accéder aux comptes des victimes et à des systèmes de niveau supérieur.
Crimson Sandstorm
Les acteurs de Crimson Sandstorm (anciennement CURIUM) ont été observés en train d’exploiter un réseau de comptes fictifs de réseaux sociaux pour établir une relation de confiance avec les cibles et diffuser des logiciels malveillants afin d’exfiltrer des données.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Pistachio Tempest
Pistachio Tempest (anciennement DEV-0237) est un groupe associé à la distribution de rançongiciels à fort impact. Microsoft a observé que Pistachio Tempest utilisait des charges utiles de rançongiciel variées au fil du temps, car le groupe expérimente de nouvelles solutions de rançongiciel en tant que service (RaaS), de Ryuk et Conti à Hive, Nokoyawa et, plus récemment, Agenda et Mindware.
Periwinkle Tempest
Periwinkle Tempest (anciennement DEV-0193) est responsable du développement, de la distribution et de la gestion de nombreuses charges utiles différentes, notamment Trickbot, Bazaloader et AnchorDNS.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Manatee Tempest
Manatee Tempest (anciennement DEV-0243) est un acteur de la menace qui fait partie de l’économie de rançongiciel en tant que service (RaaS), en partenariat avec d’autres acteurs de la menace pour fournir des chargeurs Cobalt Strike personnalisés.
Smoke Sandstorm
Smoke Sandstorm (anciennement BOHRIUM/DEV-0056) a compromis des comptes de messagerie d’une société d’intégration informatique basée à Bahreïn en septembre 2021. Cette société travaille sur l’intégration informatique avec des clients du secteur public bahreïnien, qui étaient probablement la cible principale de Smoke Sandstorm.
Storm-0530
Un groupe d’acteurs venant de la Corée du Nord, que Microsoft suit sous le nom de Storm-0530 (anciennement DEV-0530), développe et utilise un rançongiciel dans des attaques depuis juin 2021.
Mint Sandstorm
Mint Sandstorm (anciennement PHOSPHORUS) tente généralement de compromettre les comptes personnels des individus par le biais du harponnage et en ayant recours au piratage psychologique pour établir une relation avec les victimes avant de les cibler
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Nylon Typhoon
Nylon Typhoon (anciennement NICKEL) utilise du code malveillant exploitant les failles de sécurité des systèmes non corrigés afin de compromettre des services d’accès à distance et des appareils. Après avoir réussi à s’introduire dans le système, les pirates se servent d’outils permettant de voler ou d’extraire des identifiants légitimes, qu’ils utilisent ensuite pour accéder aux comptes des victimes et à des systèmes de niveau supérieur.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Diamond Sleet
Diamond Sleet (anciennement ZINC) est un acteur de la menace qui mène des activités mondiales pour le compte du gouvernement nord-coréen. Actif depuis au moins 2009, Diamond Sleet est connu pour cibler les médias, la défense, les technologies de l’information, les laboratoires de recherche scientifique ainsi que les chercheurs en sécurité, en mettant l’accent sur l’espionnage, le vol de données, les gains financiers et la destruction de réseaux.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Cadet Blizzard
Microsoft surveille Cadet Blizzard (anciennement DEV-0586), un acteur de la menace commandité par le GRU russe, depuis des événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022.
Crimson Sandstorm
Les acteurs de Crimson Sandstorm (anciennement CURIUM) ont été observés en train d’exploiter un réseau de comptes fictifs de réseaux sociaux pour établir une relation de confiance avec les cibles et diffuser des logiciels malveillants afin d’exfiltrer des données.
Diamond Sleet
Diamond Sleet (anciennement ZINC) est un acteur de la menace qui mène des activités mondiales pour le compte du gouvernement nord-coréen. Actif depuis au moins 2009, Diamond Sleet est connu pour cibler les médias, la défense, les technologies de l’information, les laboratoires de recherche scientifique ainsi que les chercheurs en sécurité, en mettant l’accent sur l’espionnage, le vol de données, les gains financiers et la destruction de réseaux.
Gray Sandstorm
Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Diamond Sleet
Diamond Sleet (anciennement ZINC) est un acteur de la menace qui mène des activités mondiales pour le compte du gouvernement nord-coréen. Actif depuis au moins 2009, Diamond Sleet est connu pour cibler les médias, la défense, les technologies de l’information, les laboratoires de recherche scientifique ainsi que les chercheurs en sécurité, en mettant l’accent sur l’espionnage, le vol de données, les gains financiers et la destruction de réseaux.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Gray Sandstorm
Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois.
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Smoke Sandstorm
Smoke Sandstorm (anciennement BOHRIUM/DEV-0056) a compromis des comptes de messagerie d’une société d’intégration informatique basée à Bahreïn en septembre 2021. Cette société travaille sur l’intégration informatique avec des clients du secteur public bahreïnien, qui étaient probablement la cible principale de Smoke Sandstorm.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Forest Blizzard
Le groupe Forest Blizzard (auparavant connu sous le nom de STRONTIUM) emploie diverses techniques d’accès initial, parmi lesquelles l’exploitation des vulnérabilités de certaines applications web et, dans le but d’obtenir des identifiants, le harponnage et le déploiement d’un outil de pulvérisation de mots de passe/force brute automatisé fonctionnant via TOR
Midnight Blizzard
L’acteur que Microsoft suit sous le nom de Midnight Blizzard (NOBELIUM) est un acteur de la menace basé en Russie, attribué par les gouvernements américain et britannique au Service de renseignement extérieur de la Fédération de Russie, également connu sous le nom de SVR.
Volt Typhoon
L’acteur que Microsoft suit sous le nom de Volt Typhoon est un groupe d’activité d’État-nation basé en Chine. Volt Typhoon se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification.
Plaid Rain
Depuis février 2022, Plaid Rain (anciennement POLONIUM) a été observé en train de cibler principalement des organisations en Israël, avec un focus sur les secteurs d’activité critiques de l’industrie manufacturière, des technologies de l’information et de l’industrie de la défense israélienne.
Hazel Sandstorm
Il a été révélé publiquement que Hazel Sandstorm (autrefois EUROPIUM) était lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). Selon Microsoft, il est très probable que le 15 juillet 2022, des acteurs commandités par le gouvernement iranien ont mené une cyberattaque destructrice contre le gouvernement albanais, perturbant ainsi les sites web gouvernementaux et les services publics.
Cadet Blizzard
Microsoft surveille Cadet Blizzard (anciennement DEV-0586), un acteur de la menace commandité par le GRU russe, depuis des événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022.
Aqua Blizzard
Aqua Blizzard (anciennement ACTINIUM) utilise des e-mails d’harponnage contenant des macros malveillantes en pièce jointe qui utilisent des modèles à distance. Aqua Blizzard a pour objectif principal d’obtenir un accès permanent à des réseaux ciblés, en déployant des logiciels malveillants personnalisés et des outils commerciaux, à des fins de collecte de renseignements.
Nylon Typhoon
Nylon Typhoon (anciennement NICKEL) utilise du code malveillant exploitant les failles de sécurité des systèmes non corrigés afin de compromettre des services d’accès à distance et des appareils. Après avoir réussi à s’introduire dans le système, les pirates se servent d’outils permettant de voler ou d’extraire des identifiants légitimes, qu’ils utilisent ensuite pour accéder aux comptes des victimes et à des systèmes de niveau supérieur.
Crimson Sandstorm
Les acteurs de Crimson Sandstorm (anciennement CURIUM) ont été observés en train d’exploiter un réseau de comptes fictifs de réseaux sociaux pour établir une relation de confiance avec les cibles et diffuser des logiciels malveillants afin d’exfiltrer des données.
Diamond Sleet
Diamond Sleet (anciennement ZINC) est un acteur de la menace qui mène des activités mondiales pour le compte du gouvernement nord-coréen. Actif depuis au moins 2009, Diamond Sleet est connu pour cibler les médias, la défense, les technologies de l’information, les laboratoires de recherche scientifique ainsi que les chercheurs en sécurité, en mettant l’accent sur l’espionnage, le vol de données, les gains financiers et la destruction de réseaux.
Gray Sandstorm
Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois.
Manatee Tempest
Manatee Tempest (anciennement DEV-0243) est un acteur de la menace qui fait partie de l’économie de rançongiciel en tant que service (RaaS), en partenariat avec d’autres acteurs de la menace pour fournir des chargeurs Cobalt Strike personnalisés.
Wine Tempest
Wine Tempest (anciennement PARINACOTA) a généralement recours à des rançongiciels exploités par des humains, principalement Wadhrama, pour mener ses attaques. L’ingéniosité de ces pirates informatiques leur permet d’adapter leurs tactiques en fonction de leurs besoins et d’utiliser des machines compromises à diverses fins, telles que le minage de cryptomonnaies, l’envoi de courriers indésirables ou servir de proxy pour d’autres attaques.
Smoke Sandstorm
Smoke Sandstorm (anciennement BOHRIUM/DEV-0056) a compromis des comptes de messagerie d’une société d’intégration informatique basée à Bahreïn en septembre 2021. Cette société travaille sur l’intégration informatique avec des clients du secteur public bahreïnien, qui étaient probablement la cible principale de Smoke Sandstorm.
Pistachio Tempest
Pistachio Tempest (anciennement DEV-0237) est un groupe associé à la distribution de rançongiciels à fort impact. Microsoft a observé que Pistachio Tempest utilisait des charges utiles de rançongiciel variées au fil du temps, car le groupe expérimente de nouvelles solutions de rançongiciel en tant que service (RaaS), de Ryuk et Conti à Hive, Nokoyawa et, plus récemment, Agenda et Mindware.
Periwinkle Tempest
Periwinkle Tempest (anciennement DEV-0193) est responsable du développement, de la distribution et de la gestion de nombreuses charges utiles différentes, notamment Trickbot, Bazaloader et AnchorDNS.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Caramel Tsunami
Caramel Tsunami (anciennement SOURGUM) vend généralement des cyberarmes, en général des logiciels malveillants et des attaques zero-day, dans le cadre d’un service de piratage vendu à des agences gouvernementales et à d’autres acteurs malveillants.
Silk Typhoon
En 2021, Silk Typhoon (anciennement HAFNIUM) a exploité des vulnérabilités de type zero-day pour attaquer des versions sur site de Microsoft Exchange Server dans le cadre d’attaques limitées et ciblées.
Parcourir par sujet
IA
Votre sécurité est d’autant plus grande que votre veille des menaces est efficace
Compromission de messagerie d’entreprise
Décryptage de la compromission de messagerie d’entreprise
Rançongiciels
Protégez votre organisation contre les rançongiciels
Rencontrer les experts
Profil d’expert : Homa Hayatyfar
Homa Hayatyfar, responsable principal des données et des sciences appliquées, décrit l’utilisation de modèles de Machine Learning pour renforcer les défenses, l’une des nombreuses façons dont l’IA change le visage de la sécurité.
Rencontrer les experts
Profil d’expert
Mise en contexte géopolitique de la veille des cybermenaces
Profil d’expert
Conseils d’expert sur les trois défis les plus persistants en matière de cybersécurité
Profil d’expert
Dustin Duran, chercheur en sécurité, explique comment penser comme un attaquant
Explorez les rapports de veille des menaces
Rapport de défense numérique Microsoft 2023
La dernière édition du rapport de défense numérique Microsoft explore l’évolution du paysage des menaces, et passe en revue les opportunités et les défis à mesure que nous devenons cyber-résilients.
Maintenir la cyberdéfense en pratique
Cyberhygiène
Une cyberhygiène de base permet d’éviter 99 % des attaques
Repérage des menaces
Découvrez l’ABC du repérage des menaces
Cybercriminalité
Empêcher l’utilisation abusive d’outils de sécurité par les cybercriminels
Démarrage
Participez à des événements Microsoft
Développez votre expertise, acquérez de nouvelles compétences et agrandissez votre communauté grâce aux opportunités d’apprentissage et événements spéciaux Microsoft.
Venez parler avec nous
Suivez Microsoft