Lazarus Group

שם קבוצה: Lazarus Group
שמות נוספים: Whois Team, Zinc ,Hidden Cobra.
קוד: APT38
מדינת מקור: צפון קוריאה
מועד תחילת פעילות: 2009
שיטת פעולה: פישינג ממוקד, מניעת שירות והפצת נוזקות
קורבנות: ארצות הברית, יפן, טאיוואן ודרום קוריאה.
מגזר תקיפה: חברות פיננסיות, מסחריות וחברות תקשורת.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים, נתמכת על ידי ממשלת צפון קוריאה.
חברי הקבוצה תוקפים ארגונים שונים, במטרה לגנוב מידע רגיש, לסחוט את הקורבנות ובכך להכניס כסף למדינה המבודדת וממשלת צפון קוריאה.

קמפיינים:
* בשנת 2016, הונו התוקפים את מערך ה-SWIFT העולמי והצליחו להעביר כ-81 מיליון דולר אל סניף בנק במנילה, בירת הפיליפינים ועוד כ-20 מיליון דולר לבנק בסרי לנקה.
* בשנת 2017, מתקפת סייבר מסיבית של תוכנת כופר בשם WannaCry שפגעה בכ-200 אלף מחשבים ברחבי העולם.

נוזקות וכלים:
* WannaCry
* Dozer
* Mydoom
* Electricfish

Sandworm

 שם קבוצה: Sandworm
שמות נוספים: Telebots, Voodoo Bear, Iron Viking.
קוד: אין
מדינת מקור: רוסיה
מועד תחילת פעילות: 2010
שיטת פעולה: פישינג ממוקד והפצת נוזקות.
קורבנות: ארצות הברית, אוקראינה ומדינות אירופאיות מערביות.
מגזר תקיפה: אתרים ממשלתיים וחברות מסחריות.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים נחשבת לחלק מגוף הביון הרוסי ומבצעת תקיפות במטרה לאסוף ולגנוב מידע רגיש ולמטרת העברה של מסרים פוליטים וגרימת נזק.

קמפיינים:
* בשנת 2015, השביתה הקבוצה את רשת החשמל באוקראינה באמצעות נוזקה בשם Petya.

נוזקות וכלים:
* BlackEnergy
* EternalPetya 
* Gameover P2P 
* Zeus
* Stuxnet

Rocket Kitten

שם קבוצה: Rocket Kitten
שמות נוספים: Ajax Team Security.
קוד: אין
מדינת מקור: איראן
מועד תחילת פעילות: 2013
שיטת פעולה: פישינג ממוקד והפצת נוזקות
קורבנות: ארצות הברית, ישראל וערב הסעודית.
מגזר תקיפה: אתרים ממשלתיים וחברות מסחריות.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים נתמכת על ידי הממשלה האיראנית ותוקפת במטרה לאסוף ולגנוב מידע רגיש ולמטרת העברה של מסרים פוליטים באמצעות התקפות פישינג ממוקדות, התקפות מניעת שירות והשתחתת אתרים.

קמפיינים:
* קמפיין פישינג ממוקד - בשנת 2015, ביצעה הקבוצה קמפיין נרחב של פישינג ממוקד נגד גורמים שונים, טרנד מיקרו נתנה לקמפיין את שמו Woolen-Goldfish.

נוזקות וכלים:
* MiniDuke
* PolyglotDuke
* PowerRatankba
* Rising Sun
* SDBbot
* ServHelper
* Snatch
* Stuxnet
* TinyMet
* tRat
* Maze 
* METALJACK 
* Nefilim 
* Oblique RAT 
* Pay2Key 
* PlugX 
* QakBot 
* REvil 
* Ryuk 
* StoneDrill 
* StrongPity 
* SUNBURST 
* SUPERNOVA 
* TrickBot 
* TurlaRPC 
* Turla 
* SilentMoon 
* WastedLocker 
* WellMess 
* Winnti 
* ZeroCleare

Leviathan

שם קבוצה: Leviathan
שמות נוספים: GreenCrash, Gadolinium, Bronze Mohawk, Feverdream, Kryptonite Panda.
קוד: APT40
מדינת מקור: סין
מועד תחילת פעילות: 2009
שיטת פעולה: פישינג ממוקד, הפצת נוזקות ו-Webshell.
קורבנות: ארצות הברית, קנדה, אירופה ומדינות במזרח התיכון.
מגזר תקיפה: אוניברסיטאות החוקרות כימיה, רפואה וביוטכנולוגיה, חברות מסחריות ואתרים ממשלתיים.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים, נתמכת על ידי ממשלת סין.
מטרתה העיקרית של הקבוצה איסוף מידע אשר באמצעותו יפתחו הסינים את יכולותיהם בתחום האזרחי והצבאי.

קמפיינים:

* בחודש יולי 2021, האשימה בריטניה את סין בכך שביצעה פעולות התקפיות נגדה באמצעות APT40.

נוזקות וכלים:
* Jumpkick
* JspSpy
* China Chopper
* Grillmark
* Fieldgoal
* Airbreak 

Kimsuky

שם קבוצה: Kimsuky
שמות נוספים: Black Banshee ,Velvet Chollima.
קוד: אין
מדינת מקור: צפון קוריאה
מועד תחילת פעילות: 2012
שיטת פעולה: פישינג ממוקד והפצת נוזקות
קורבנות: ארצות הברית, יפן וייטנאם, ומדינות במזרח התיכון.
מגזר תקיפה: חברות פיננסיות, מסחריות ואתרים ממשלתיים.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים, נתמכת על ידי ממשלת צפון קוריאה.
חברי הקבוצה תוקפים ארגונים שונים, במטרה לגנוב מידע רגיש, לסחוט את הקורבנות ובכך להכניס כסף למדינה המבודדת וממשלת צפון קוריאה.

קמפיינים:
* בשנת 2019, תקפה הקבוצה את דיפלומטים דרום קוריאנים בדימוס באמצעות התקפות דיוג ממוקד.
* בשנת 2020, ניסתה הקבוצה לתקוף 11 פקידים במועצת הביטחון של האו"ם.

נוזקות וכלים:
* BabyShark
* NavRAT
* GoldDragon
* DogCall

Ricochet Chollima

שם קבוצה: Ricochet Chollima
שמות נוספים: Reaper ,ScarCruft.
קוד: APT37
מדינת מקור: צפון קוריאה
מועד תחילת פעילות: 2012
שיטת פעולה: פישינג ממוקד והפצת נוזקות
קורבנות: ארצות הברית, יפן וייטנאם, ומדינות במזרח התיכון.
מגזר תקיפה: חברות פיננסיות, מסחריות ואתרים ממשלתיים.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים, נתמכת על ידי ממשלת צפון קוריאה.
חברי הקבוצה תוקפים ארגונים שונים, במטרה לגנוב מידע רגיש, לסחוט את הקורבנות ובכך להכניס כסף למדינה המבודדת וממשלת צפון קוריאה.

קמפיינים:

* בשנת 2021, תקפה הקבוצה את ממשלת דרום קוריאה באמצעות התקפות דיוג ממוקד.

נוזקות וכלים:
* RokRAT
* NavRAT
* RUHappy
* DogCall

Red Apollo (APT10)

שם קבוצה: Red Apollo
שמות נוספים: Potassium (ניתן על ידי Microsoft), MenuPress ,Stone Panda.
קוד: APT10
מדינת מקור: סין
מועד תחילת פעילות: 2006
שיטת פעולה: פישינג והפצת RAT
קורבנות: ארצות הברית, יפן ומדינות אירופאיות מערביות
מגזר תקיפה: חברות ביטחוניות ואתרים ממשלתיים, חברות תעופה, טלקום והנדסה.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים, נתמכת על ידי משרד ההגנה הסיני וזאת במטרה לאסוף ולגנוב מידע רגיש באמצעות התקפות פישינג ממוקדות ו-RAT.
מיד לאחר החדירה אל מערכות הארגון, התוקפים מנסים לגנוב כמה שיותר מידע ולאחר מכן סוחטים את הקורבנות.

בשנת 2014, תקפה הקבוצה חברות רבות המספקות שירותים מנוהלים הממוקמות ב-17 מדינות שונות.
בשנת 2016, הדליפה הקבוצה את פרטיהם של 130,000 אנשי חיל הים האמריקאי.
בשנת 2018, תקפה הקבוצה חברות ממשלתיות ופרטיות בפיליפינים.
בשנת 2019, תקפה הקבוצה מספר ארגונים ביפן.
בשנת 2021, תקפה הקבוצה את חברת הביוטכנולוגיה ואת יצרנית החיסונים ההודית SII.

קמפיינים:
* Cloud Hopper

נוזקות וכלים:
* Poison Ivy
* FakeMicrosoft Scam
* PlugX
* ArtIEF
* Graftor
* ChChes
* Ryuk

Wicked Panda

Viceroy Tiger

Twisted Spider

Remix Kitten

Pinchy Spider

Mythic Leopard

Doppel Spider

Carbon Spider

Wizard Spider

שם קבוצה: Wizard Spider
שמות נוספים: אין
קוד: אין
מדינת מקור: רוסיה
מועד תחילת פעילות: 2017
שיטת פעולה: הפצת נוזקות ורוגלות
קורבנות: ארצות הברית ומדינות אירופאיות מערביות
מגזר תקיפה: מוסדות פיננסים
מיפוי באתר Mitre: לחץ כאן

תיאור:
קבוצת תקיפה שעל פי גורמים בריטים, פועלת מרוסיה ואוקראינה ונתמכת על ידי ממשלת רוסיה וזאת במטרה לאסוף ולגנוב מידע רגיש באמצעות הפצת נוזקות ורוגלות.
מיד לאחר החדירה אל מערכות הארגון, התוקפים מנסים לגנוב כמה שיותר מידע אך לא מציעים אותו למכירה ברשת הדארקנט מחשש להיחשף ולהיעצר.

בשנת 2018, תקפה הקבוצה מוסדות פיננסיים רבים ועשתה שימוש ב-Trickbot ו-Conti.
בשנת 2021, תקפה באמצעות כופרה את מערכת הבריאות באירלנד וגרמה נזק של מיליוני דולרים.

קמפיינים:
* קמפיין Trickbot ברחבי העולם
* תקיפת מערכת הבריאות באירלנד באמצעות כופרה

נוזקות וכלים:
* Ryuk
* Trickbot
* Sidoh
* Dyre
* Conti
* BokBot - IcedID
* BazarLoader

Cozy Bear (APT29)

שם קבוצה: Cozy Bear
שמות נוספים: CozyCar (ניתן על ידי Volexity), CozyDuke (ניתן על ידי חברת F-Secure), Nobelium.
קוד: APT29
מדינת מקור: רוסיה
מועד תחילת פעילות: 2008
שיטת פעולה: פישינג והפצת נוזקות
קורבנות: ארצות הברית, דרום קוריאה ומדינות אירופאיות מערביות
מגזר תקיפה: חברות ביטחוניות, תעשיית האנרגיה והתקשורת, אתרים ממשלתיים וחברות תרופות.

תיאור:
קבוצת תקיפה שעל פי גורמים אמריקאים והולנדים, נתמכת על ידי המודיעין הרוסי וזאת במטרה לאסוף ולגנוב מידע רגיש באמצעות התקפות פישינג ממוקדות.
מיד לאחר החדירה אל מערכות הארגון, התוקפים מנסים לגנוב כמה שיותר מידע ולאחר מכן סוחטים את הקורבנות.

בשנת 2014, תקפה הקבוצה את מערכות משרד החוץ האמריקאי והבית הלבן.
בשנת 2015, תקפה הקבוצה את עובדי המטה של משרד ההגנה האמריקאי בפנטגון.
בשנת 2021, תקפה הקבוצה את חברת Fireye וגנבה ממנה כלי מחקר ותקיפה ועל פי פרסומים שונים, השתמשה בהם כדי לתקוף את חברת Solarwinds.

קמפיינים:
* Sunburst

נוזקות וכלים:
* MiniDuke
* SeaDuke
* CloudDuke
* CozyDuke / Cozy.Trojan
* OnionDuke
* CosmicDuke
* PinchDuke
* HammerDuke / Hammertoss
* GeminiDuke
* RegDuke
* PolyglotDuke
* FatDuke
* Chopstick
* Coreshell
* Poshspy 

ZINC

Cloud Atlas (Hive0097)

Zirconium (APT31)