Jak Microsoft pojmenuje aktéry hrozeb
Microsoft používá taxonomii pojmenování pro aktéry hrozeb, kteří jsou v souladu s motivem počasí. S touto taxonomií chceme zákazníkům a dalším pracovníkům v oblasti zabezpečení lépe vyjasnit. Nabízíme organizovanější, srozumitelnější a snadný způsob, jak odkazovat na aktéry hrozeb, aby organizace mohly lépe určovat priority a chránit se. Naším cílem je také pomoct výzkumníkům v oblasti zabezpečení, kteří se už potýkají s obrovským množstvím dat analýzy hrozeb.
Microsoft rozděluje aktéry hrozeb do pěti klíčových skupin:
Aktéři národního státu: kybernetickí operátoři jednající jménem nebo řízeného národním/státem sladěným programem, bez ohledu na to, zda se jedná o špionáž, finanční zisk nebo odplatu. Microsoft zjistil, že většina národních státních činitelů se nadále zaměřuje na operace a útoky na vládní agentury, mezivládní organizace, nevládní organizace a think-tanky zaměřené na tradiční špionáž nebo cíle sledování.
Finančně motivovaní aktéři: kybernetické kampaně/skupiny řízené zločineckou organizací/osobou s motivací k finančnímu zisku a nejsou spojeny s vysokou důvěrou ke známému nenárodnímu státu nebo komerčnímu subjektu. Tato kategorie zahrnuje operátory ransomwaru, ohrožení zabezpečení podnikových e-mailů, phishing a další skupiny s čistě finanční motivací nebo motivací k vydírání.
Útoční aktéři soukromého sektoru( PSOA): kybernetická aktivita vedená komerčními aktéry, kteří jsou známými nebo legitimními právními subjekty, kteří vytvářejí a prodávají kybernetické zbraně zákazníkům, kteří pak vyberou cíle a provozují kybernetické zbraně. Tyto nástroje byly pozorovány cílené na disidenty, obránce lidských práv, novináře, advokáty občanské společnosti a další soukromé občany, což ohrozilo mnoho globálních snah o lidská práva.
Vlivové operace: informační kampaně komunikované online nebo offline manipulativním způsobem, aby se vnímání, chování nebo rozhodnutí cílových skupin přesunulo na podporu zájmů a cílů skupiny nebo státu.
Skupiny ve vývoji: dočasné označení pro neznámou, vznikající nebo vyvíjející se aktivitu hrozby. Toto označení umožňuje Microsoftu sledovat skupinu jako samostatnou sadu informací, dokud nedosáhneme vysoké jistoty o původu nebo identitě aktéra, který je za operací. Po splnění kritérií se skupina ve vývoji převede na pojmenovaného aktéra nebo se sloučí do existujících názvů.
V této taxonomii představuje událost počasí nebo název rodiny jednu z výše uvedených kategorií. Pro aktéry národního státu jsme přiřadili jméno rodiny zemi/oblasti původu svázané s přisouzením. Typhoon například označuje původ nebo přiřazení k Číně. Pro ostatní aktéry představuje název rodiny motivaci. Například Tempest označuje finančně motivované aktéry.
Aktéři hrozeb v rámci stejné rodiny počasí mají přiřazené jméno, které odliší skupiny aktérů s odlišnými taktikami, technikami a postupy (TTP), infrastrukturou, cíli nebo jinými identifikovanými vzory. Pro skupiny ve vývoji používáme dočasné označení Storm a čtyřmístné číslo, kde je nově zjištěný, neznámý, vznikající nebo vyvíjející se shluk hrozeb.
Následující tabulka ukazuje, jak se názvy rodin mapuje na aktéry hrozeb, které sledujeme.
| Kategorie aktér hrozby | Typ | Příjmení |
|---|---|---|
| Národní stát | Čína Írán Libanon Severní Korea Rusko Jižní Korea Turecko Vietnam |
Tajfun Písečná bouře Déšť Plískanice Vánice Krupobití Prach Cyklón |
| Finančně motivované | Finančně motivované | Bouře |
| Útoční aktéři soukromého sektoru | PSOA | Tsunami |
| Vliv na operace | Vliv na operace | Povodeň |
| Skupiny ve vývoji | Skupiny ve vývoji | Bouře |
Následující tabulka obsahuje seznam veřejně zveřejněných jmen aktérů hrozeb s jejich původem nebo kategorií aktéra hrozby, předchozími jmény a odpovídajícími názvy používanými jinými dodavateli zabezpečení, pokud jsou k dispozici. Tato stránka bude aktualizována, jakmile budou k dispozici další informace o názvech jiných dodavatelů.
| Název aktéra hrozby | Kategorie původu nebo hrozby | Další názvy |
|---|---|---|
| Ametyst déšť | Libanon | Těkavý cedr |
| Starožitný tajfun | Čína | Storm-0558 |
| Aqua Blizzard | Rusko | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Modré Tsunami | Izrael, urážlivý aktér soukromého sektoru | |
| Mosazný typhoon | Čína | BARIUM, APT41 |
| Brocade Typhoon | Čína | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Burgundy Sandstorm | Írán | Cadelle, Chafer |
| Kadet Blizzard | Rusko | DEV-0586 |
| Tajfun kanárů | Čína | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Plátno cyklon | Vietnam | BISMUTH, OceanLotus, APT32 |
| Karamelové Tsunami | Izrael, urážlivý aktér soukromého sektoru | DEV-0236 |
| Carmine Tsunami | Urážlivý aktér soukromého sektoru | |
| Uhlový tajfun | Čína | CHROMIUM, ControlX, Vodní Panda, RedHotel, BRONZOVÁ UNIVERZITA |
| Checkered Typhoon | Čína | CHLOR, ATG50, APT19, TG-3551, DEEP PANDA, Červený Chrlič |
| Vichřice | Čína, finančně motivované | DEV-0401 |
| Kruhový tajfun | Čína | DEV-0322, APT6, APT27 |
| Citrin sleet | Severní Korea | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Bavlněná písečná bouře | Írán | NEPTUNIUM, Vice Leaker, Haywire Kotě |
| Půlměsíc Tajfun | Čína | CESIUM |
| Crimson Sandstorm | Írán | CURIUM, Želva, HOUSEBLEND, TA456 |
| Kuboid Sandstorm | Írán | DEV-0228 |
| Denim Tsunami | Rakousko, útočný aktér soukromého sektoru | DEV-0291 |
| Diamantová sleet | Severní Korea | ZINC, Černá Artemis, Chollima labyrint, Lazarus |
| Smaragdový sleet | Severní Korea | THALLIUM, RGB-D5, Černá Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapur | PLATINA, PARAZIT, RUBYVINE, GINGERSNAP |
| Len typhoon | Čína | Storm-0919, ETHEREAL PANDA |
| Lesní vánice | Rusko | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Stínová vánice | Rusko | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Modrý Kraken, Přikrčený Yeti, Vážka |
| Gingham Tajfun | Čína | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Žula tajfun | Čína | GALLIUM |
| Šedá písečná bouře | Írán | DEV-0343 |
| Hazel Sandstorm | Írán | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Srdeční tajfun | Čína | HELIUM, APT17, Skrytý rys, ATG3, Červený Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Šestiúhelník Tajfun | Čína | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, ČÍSLOVÁNÍ PANDA |
| Houndstooth Tajfun | Čína | HASSIUM, isoon, deepclif |
| Jade Sleet | Severní Korea | Storm-0954 |
| Krajková tempest | Finančně motivované | DEV-0950 |
| Citronová písčitá bouře | Írán | RUBIDIUM |
| Leopardí tajfun | Čína | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Šeřík Tajfun | Čína | DEV-0234 |
| Lněné tajfuny | Čína | JOD, Červený Phoenix, Hroch, Myš štěstí, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Finančně motivované | |
| Purpurový prach | Turecko | PROMETHIUM, StrongPity, SmallPity |
| Tempest pro chloubce | Rusko | |
| Mango Sandstorm | Írán | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros, MuddyWater |
| Mramorovaný prach | Turecko | SILICON, Mořské želvy, UNC1326 |
| Marigold Sandstorm | Írán | DEV-500 |
| Půlnoční blizzard | Rusko | NOBELIUM, UNC2452, APT29, Útulný medvěd |
| Mátová písčitá bouře | Írán | FOSFOR, Parastoo, Newscaster, APT35, Okouzlující kotě |
| Měsíční kámen sleet | Severní Korea | Storm-1789 |
| Moruše typhoon | Čína | MANGANESE, Zadní vrátka-DPD, COVENANT, CYSERVICE, Láhev, Červený Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Hořčice Tempest | Finančně motivované | DEV-0206 |
| Noční tsunami | Izrael | DEV-0336 |
| Nylon Tajfun | Čína | NICKEL, Hravý drak, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Finančně motivované | 0ktapus, Rozptýlený pavouk |
| Onyx Sleet | Severní Korea | NIUM, StoneFly, Tdrop2 kampaň, DarkSeoul, Černá Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opálová sleet | Severní Korea | OSMIUM, Planedown, Konni, APT43 |
| Broskev písečná bouře | Írán | HOLMIUM, APT33, Elfin, RAFINOVANÉ KOTĚ |
| Perlová sleet | Severní Korea | LAWRENCIUM |
| Bouře v brčálu | Rusko | DEV-0193 |
| Phlox Tempest | Izrael, finančně motivovaný | DEV-0796 |
| Růžová písčitá bouře | Írán | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Blesk Pinstripe | NIOBIUM, Pouštní sokoli, Scimitar, Vyprahlé zmije | |
| Pistácie Tempest | Finančně motivované | DEV-0237 |
| Plaid Déšť | Libanon | POLONIUM |
| Dýňová písečná bouře | Írán | DEV-0146 |
| Fialový tajfun | Čína | POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Malinový typhoon | Čína | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Severní Korea | CER |
| Povodeň v Ruze | Rusko, vlivové operace | |
| Tajfun lososa | Čína | SODIUM, APT4, MAVERICK PANDA |
| Solný tajfun | Čína | GhostEmperor, SlavnýSparrow |
| Sangria Tempest | Ukrajina, finančně motivované | ELBRUS |
| Safírový sleet | Severní Korea | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Saténový tajfun | Čína | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Blizzard mušle | Rusko | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Tajná vánice | Rusko | KRYPTON, JEDOVATÝ MEDVĚD, Uroburos, Had, Python modrý, Turla, WRAITH, ATG26 |
| Sefid Flood | Írán, vlivové operace | |
| Stínový tajfun | Čína | DarkShadow, Oro0lxy |
| Hedvábí tajfun | Čína | HAFNIUM, timmy |
| Kouřová písečná bouře | Írán | UNC1549 |
| Spandex Tempest | Finančně motivované | TA505 |
| Písčitá bouře s tečkovanými tečkami | NEODYMIUM, BlackOasis | |
| Hvězdná vánice | Rusko | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Finančně motivované | Kroucený pavouk, UNC2198 |
| Storm-0230 | Skupina ve vývoji | Conti Team 1, DEV-0230 |
| Storm-0247 | Čína | ToddyCat, Websiic |
| Storm-0288 | Skupina ve vývoji | FIN8 |
| Storm-0302 | Skupina ve vývoji | Narwhal Spider, TA544 |
| Storm-0501 | Finančně motivované | DEV-0501 |
| Storm-0538 | Skupina ve vývoji | FIN6 |
| Storm-0539 | Finančně motivované | |
| Storm-0569 | Finančně motivované | DEV-0569 |
| Storm-0671 | Skupina ve vývoji | UNC2596, Tropicalscorpius |
| Storm-0940 | Čína | |
| Storm-0978 | Rusko | RomCom, Underground Team |
| Storm-1101 | Skupina ve vývoji | |
| Storm-1113 | Finančně motivované | |
| Storm-1152 | Finančně motivované | |
| Storm-1175 | Čína, finančně motivované | |
| Storm-1194 | Skupina ve vývoji | MONTI |
| Storm-1516 | Rusko, vlivové operace | |
| Storm-1567 | Finančně motivované | |
| Storm-1674 | Finančně motivované | |
| Storm-1679 | Vliv na operace | |
| Storm-1811 | Finančně motivované | |
| Storm-1982 | Čína | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Írán, vlivové operace | |
| Storm-2077 | Čína | ZNAČKA-100 |
| Jahodová bouře | Finančně motivované | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Vírový tajfun | Čína | TELLURIUM, Klíště, Bronzový komorník, REDBALDKNIGHT |
| Taffeta Tajfun | Čína | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Povodeň Taizi | Čína, vlivové operace | Dragonbridge, Spamouflage |
| Tumbleweed Tajfun | Čína | THORIUM, Kras |
| Twill Typhoon | Čína | TANTÁLUM, BRONZOVÝ PREZIDENT, Luminiscenčnímoth, MUSTANG PANDA |
| Vanilková tempest | Finančně motivované | DEV-0832, Vice Society |
| Sametová bouře | Finančně motivované | DEV-0504 |
| Fialový tajfun | Čína | ZIRCONIUM, Chameleon, APT31, WebFans |
| Povodeň Volhy | Rusko, vlivové operace | Storm-1841, Rybar |
| Volt Tajfun | Čína | BRONZOVÁ SILUETA, VANGUARD PANDA |
| Pšenice tempest | Finančně motivované | GOLD, Gatak |
| Wisteria Tsunami | Indie, urážlivý aktér soukromého sektoru | DEV-0605 |
| Klikatý zákusek | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Další informace najdete v našem oznámení o této taxonomii: https://aka.ms/threatactorsblog
Vkládání informací do rukou odborníků na zabezpečení
Profily Společnosti Intel v Analýza hrozeb v programu Microsoft Defender přinášejí zásadní poznatky o aktérech hrozeb. Tyto přehledy umožňují bezpečnostním týmům získat kontext, který potřebují při přípravě na hrozby a reagovat na ně.
Rozhraní ANALÝZA HROZEB V PROGRAMU MICROSOFT DEFENDER Intel Profiles API navíc poskytuje nejaktuálnější přehled o infrastruktuře aktérů hrozeb v dnešním odvětví. Aktualizované informace jsou zásadní pro to, aby týmy pro analýzu hrozeb a operace zabezpečení (SecOps) zjednodušily své pokročilé pracovní postupy proaktivního proaktivního proaktivního vyhledávání a analýzy hrozeb. Další informace o tomto rozhraní API najdete v dokumentaci: Použití rozhraní API analýzy hrozeb v Microsoft Graphu (Preview).
Zdroje
Pomocí následujícího dotazu na Microsoft Defender XDR a další bezpečnostní produkty Microsoftu podporující dotazovací jazyk Kusto (KQL) získejte informace o aktérovi hrozby pomocí starého jména, nového názvu nebo názvu odvětví:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
K dispozici jsou také následující soubory, které obsahují komplexní mapování starých jmen aktérů hrozeb na jejich nové názvy: