Wie Microsoft Bedrohungsakteure benennt
Microsoft verwendet eine Namenstaxonomie für Bedrohungsakteure, die auf das Thema Wetter abgestimmt ist. Wir beabsichtigen, kunden und anderen Sicherheitsforschern mit dieser Taxonomie mehr Klarheit zu bringen. Wir bieten eine besser organisierte, artikulierte und einfache Möglichkeit, auf Bedrohungsakteure zu verweisen, damit Organisationen sich selbst besser priorisieren und schützen können. Wir wollen auch Sicherheitsforschern helfen, die bereits mit einer überwältigenden Menge an Threat Intelligence-Daten konfrontiert sind.
Microsoft kategorisiert Bedrohungsakteure in fünf Schlüsselgruppen:
Nationalstaatliche Akteure: Cyber-Operatoren, die im Auftrag oder unter der Leitung eines nationalen/staatsorientierten Programms handeln, unabhängig davon, ob es sich um Spionage, finanzielle Gewinne oder Vergeltung handelt. Microsoft hat festgestellt, dass die meisten nationalen Staatlichen Akteure weiterhin Operationen und Angriffe auf Regierungsbehörden, zwischenstaatliche Organisationen, Nichtregierungsorganisationen und Think Tanks für traditionelle Spionage- oder Überwachungsziele konzentrieren.
Finanziell motivierte Akteure: Cyberkampagnen/Gruppen, die von einer kriminellen organization/Person mit Beweggründen finanzieller Gewinne geleitet werden und nicht mit großem Vertrauen zu einem bekannten Nicht-Nationalstaat oder einer kommerziellen Entität verbunden sind. Diese Kategorie umfasst Ransomware-Betreiber, Geschäftliche E-Mail-Kompromittierung, Phishing und andere Gruppen mit rein finanziellen oder Erpressungsmotiven.
Private Sector Offensive Actors (PSOAs): Cyberaktivitäten, die von kommerziellen Akteuren geleitet werden, die bekannte/legitime juristische Personen sind, die Cyber-Geräte erstellen und an Kunden verkaufen, die dann Ziele auswählen und die Cyber-Geräte betreiben. Diese Instrumente wurden beobachtet, die auf Regimekritiker, Menschenrechtsverteidiger, Journalisten, Anwälte der Zivilgesellschaft und andere Privatpersonen abzielten und diese überwachten, was viele globale Menschenrechtsbemühungen bedrohte.
Beeinflussen von Vorgängen: Informationskampagnen, die auf manipulative Weise online oder offline kommuniziert werden, um Wahrnehmungen, Verhaltensweisen oder Entscheidungen von Zielgruppen zu verschieben, um die Interessen und Ziele einer Gruppe oder Nation zu fördern.
Gruppen in der Entwicklung: eine vorübergehende Bezeichnung für eine unbekannte, sich entwickelnde oder sich entwickelnde Bedrohungsaktivität. Diese Bezeichnung ermöglicht Es Microsoft, eine Gruppe als diskreten Satz von Informationen nachzuverfolgen, bis wir eine hohe Zuverlässigkeit hinsichtlich des Ursprungs oder der Identität des Akteurs hinter dem Vorgang erreichen können. Sobald die Kriterien erfüllt sind, wird eine Gruppe in der Entwicklung in einen benannten Akteur konvertiert oder in vorhandene Namen zusammengeführt.
In dieser Taxonomie stellt ein Wetterereignis oder familienname eine der oben genannten Kategorien dar. Für nationalstaatliche Akteure haben wir einen Familiennamen einem Land/einer Herkunftsregion zugewiesen, die an die Zuordnung gebunden ist. Beispielsweise gibt Typhoon den Ursprung oder die Zuordnung zu China an. Für andere Akteure stellt der Familienname eine Motivation dar. Tempest weist beispielsweise auf finanziell motivierte Akteure hin.
Bedrohungsakteure innerhalb derselben Wetterfamilie erhalten ein Adjektiv, um Akteurgruppen mit unterschiedlichen Taktiken, Techniken und Verfahren (TTPs), Infrastruktur, Zielen oder anderen identifizierten Mustern zu unterscheiden. Für Gruppen, die sich in der Entwicklung befinden, verwenden wir die temporäre Bezeichnung Storm und eine vierstellige Zahl, bei der ein neu entdeckter, unbekannter, sich entwickelnder Cluster mit Bedrohungsaktivitäten vorhanden ist.
Die folgende Tabelle zeigt, wie die Familiennamen den von uns nachverfolgten Bedrohungsakteuren zugeordnet werden.
| Kategorie "Bedrohungsakteur" | Typ | Familienname |
|---|---|---|
| Nationalstaat | China Iran Libanon Nordkorea Russland Südkorea Türkei Vietnam |
Taifun Sandsturm Regen Schneeregen Blizzard Hagel Staub Zyklon |
| Finanziell motiviert | Finanziell motiviert | Sturm |
| Offensive Akteure des Privatsektors | PSOAs | Tsunami |
| Beeinflussen von Vorgängen | Beeinflussen von Vorgängen | Flut |
| Gruppen in entwicklung | Gruppen in entwicklung | Sturm |
In der folgenden Tabelle sind die Namen öffentlich bekannt gegebener Bedrohungsakteur mit ihrer Herkunfts- oder Bedrohungsakteurkategorie, früheren Namen und entsprechenden Namen aufgeführt, die von anderen Sicherheitsanbietern verwendet werden, sofern verfügbar. Diese Seite wird aktualisiert, sobald weitere Informationen zu den Namen anderer Anbieter verfügbar sind.
| Name des Bedrohungsakteurs | Kategorie "Ursprung/Bedrohungsakteur" | Andere Namen |
|---|---|---|
| Amethyst Regen | Libanon | Flüchtige zedern |
| Antiker Taifun | China | Storm-0558 |
| Aqua Blizzard | Russland | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Blauer Tsunami | Israel, Offensivakteur des Privatsektors | |
| Messing-Taifun | China | BARIUM, APT41 |
| Brocade Typhoon | China | BOR, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Burgunder Sandsturm | Iran | Cadelle, Chafer |
| Cadet Blizzard | Russland | DEV-0586 |
| Canary-Typhoon | China | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Canvas Cyclone | Vietnam | BISMUTH, OceanLotus, APT32 |
| Karamell-Tsunami | Israel, Offensivakteur des Privatsektors | DEV-0236 |
| Carmine Tsunami | Offensivakteur des Privatsektors | |
| Holzkohle-Typhoon | China | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| Überprüfter Typhoon | China | CHLOR, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Zimt-Sturm | China, finanziell motiviert | DEV-0401 |
| Kreistyphoon | China | DEV-0322, APT6, APT27 |
| Citrin-Süss | Nordkorea | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Baumwollsandsturm | Iran | NEPTUNIUM, Vice Leaker, Haywire Kätzchen |
| Crescent Typhoon | China | CÄSIUM |
| Crimson Sandstorm | Iran | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| Kuboider Sandsturm | Iran | DEV-0228 |
| Denim Tsunami | Österreich, Offensivakteur des Privatsektors | DEV-0291 |
| Diamantleet | Nordkorea | ZINK, Schwarze Artemis, Labyrinth Chollima, Lazarus |
| Smaragdleet | Nordkorea | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapur | PLATIN, PARASITE, RUBYVINE, GINGERSNAP |
| Flax-Typhoon | China | Storm-0919, ETHEREAL PANDA |
| Wald-Schneesturm | Russland | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Russland | BROMIN, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Libelle |
| Gingham Typhoon | China | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Granit-Typhoon | China | GALLIUM |
| Grauer Sandsturm | Iran | DEV-0343 |
| Haszel Sandsturm | Iran | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Herzfehler | China | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Hexagon Typhoon | China | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| Houndstooth Typhoon | China | HASSIUM, isoon, deepclif |
| Jade Sleet | Nordkorea | Storm-0954 |
| Spitze Tempest | Finanziell motiviert | DEV-0950 |
| Zitronensandsturm | Iran | RUBIDIUM |
| Leoparden-Taifun | China | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lilac Typhoon | China | DEV-0234 |
| Leinen-Typhoon | China | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Finanziell motiviert | |
| Magenta-Staub | Türkei | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Russland | |
| Mango Sandsturm | Iran | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros, MuddyWater |
| Marmorierter Staub | Türkei | SILICON, Meeresschildkröte, UNC1326 |
| Ringelblume Sandsturm | Iran | DEV-500 |
| Midnight Blizzard | Russland | NOBELIUM, UNC2452, APT29, Gemütlicher Bär |
| Mint Sandstorm | Iran | PHOSPHOR, Parastoo, Newscaster, APT35, Charmantes Kätzchen |
| Moonstone Sleet | Nordkorea | Storm-1789 |
| Maulbeeren-Typhoon | China | MANGAN, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Senf Tempest | Finanziell motiviert | DEV-0206 |
| Nacht-Tsunami | Israel | DEV-0336 |
| Nylon-Typhoon | China | NICKEL, Verspielter Drache, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Finanziell motiviert | 0ktapus, Verstreute Spinne |
| Onyx Sleet | Nordkorea | PLUTONIUM, StoneFly, Tdrop2 Kampagne, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opalleet | Nordkorea | OSMIUM, Planedown, Konni, APT43 |
| Pfirsich Sandsturm | Iran | HOLMIUM, APT33, Elfin, RAFFINIERTES KÄTZCHEN |
| Pearl Sleet | Nordkorea | LAWRENCIUM |
| Periwinkle Tempest | Russland | DEV-0193 |
| Phlox Tempest | Israel, finanziell motiviert | DEV-0796 |
| Rosa Sandsturm | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Wüstenfalken, Scimitar, Aride Viper | |
| Pistazien-Tempest | Finanziell motiviert | DEV-0237 |
| Plaid Rain | Libanon | POLONIUM |
| Kürbissandsturm | Iran | DEV-0146 |
| Violetter Tipphoon | China | KALIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Raspberry-Typhoon | China | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Nordkorea | CER |
| Ruza-Flut | Russland, Einflussoperationen | |
| Lachs-Typhoon | China | NATRIUM, APT4, MAVERICK PANDA |
| Salt-Typhoon | China | GhostEmperor, FamousSparrow |
| Sangria Tempest | Ukraine, Finanziell motiviert | ELBRUS |
| Saphirle | Nordkorea | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satin-Typhoon | China | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Russland | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Geheimer Schneesturm | Russland | KRYPTON, GIFTBÄR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid-Flut | Iran, Einflussoperationen | |
| Schatten-Typhoon | China | DarkShadow, Oro0lxy |
| Seidentyphoon | China | HAFNIUM, timmy |
| Rauchsandsturm | Iran | UNC1549 |
| Spandex Tempest | Finanziell motiviert | TA505 |
| Gefleckter Sandsturm | NEODYM, BlackOasis | |
| Star Blizzard | Russland | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Finanziell motiviert | Verdrehte Spinne, UNC2198 |
| Storm-0230 | Gruppe in Entwicklung | Conti Team 1, DEV-0230 |
| Storm-0247 | China | ToddyCat, Websiic |
| Storm-0288 | Gruppe in Entwicklung | FIN8 |
| Storm-0302 | Gruppe in Entwicklung | Narwhal Spider, TA544 |
| Storm-0501 | Finanziell motiviert | DEV-0501 |
| Storm-0538 | Gruppe in Entwicklung | FIN6 |
| Storm-0539 | Finanziell motiviert | |
| Storm-0569 | Finanziell motiviert | DEV-0569 |
| Storm-0671 | Gruppe in Entwicklung | UNC2596, Tropicalscorpius |
| Storm-0940 | China | |
| Storm-0978 | Russland | RomCom, Underground Team |
| Storm-1101 | Gruppe in Entwicklung | |
| Storm-1113 | Finanziell motiviert | |
| Storm-1152 | Finanziell motiviert | |
| Storm-1175 | China, finanziell motiviert | |
| Storm-1194 | Gruppe in Entwicklung | MONTI |
| Storm-1516 | Russland, Einflussoperationen | |
| Storm-1567 | Finanziell motiviert | |
| Storm-1674 | Finanziell motiviert | |
| Storm-1679 | Beeinflussen von Vorgängen | |
| Storm-1811 | Finanziell motiviert | |
| Storm-1982 | China | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Einflussoperationen | |
| Storm-2077 | China | TAG-100 |
| Erdbeer-Sturm | Finanziell motiviert | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Wirbeltyphoon | China | TELLURIUM, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Typhoon | China | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi-Flut | China, Einfluss auf Operationen | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | China | THORIUM, Karst |
| Twill-Typhoon | China | TANTALUM, BRONZE PRESIDENT, LuminousMoth, MUSTANG PANDA |
| Vanilla Tempest | Finanziell motiviert | DEV-0832, Vice Society |
| Samt-Tempest | Finanziell motiviert | DEV-0504 |
| Violetter Typhoon | China | ZIRCONIUM, Chameleon, APT31, WebFans |
| Wolga-Flut | Russland, Einflussoperationen | Storm-1841, Rybar |
| Volt-Typhoon | China | BRONZE SILHOUETTE, VORHUT PANDA |
| Weizen-Tempest | Finanziell motiviert | GOLD, Gatak |
| Wisteria Tsunami | Indien, Offensivakteur des Privatsektors | DEV-0605 |
| Zickzack-Hagel | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Weitere Informationen finden Sie in unserer Ankündigung zu dieser Taxonomie: https://aka.ms/threatactorsblog
Intelligenz in die Hände von Sicherheitsexperten geben
Intel-Profile in Microsoft Defender Threat Intelligence wichtige Erkenntnisse über Bedrohungsakteure liefern. Diese Erkenntnisse ermöglichen es Sicherheitsteams, den Kontext zu erhalten, den sie benötigen, um sich auf Bedrohungen vorzubereiten und darauf zu reagieren.
Darüber hinaus bietet die Microsoft Defender Threat Intelligence Intel Profiles-API die aktuellste Sichtbarkeit der Infrastruktur von Bedrohungsakteurn in der Branche. Aktualisierte Informationen sind von entscheidender Bedeutung, um Teams für Threat Intelligence und Security Operations (SecOps) zu ermöglichen, ihre Workflows zur erweiterten Bedrohungssuche und -analyse zu optimieren. Weitere Informationen zu dieser API finden Sie in der Dokumentation: Verwenden der Threat Intelligence-APIs in Microsoft Graph (Vorschauversion).
Ressourcen
Verwenden Sie die folgende Abfrage für Microsoft Defender XDR und andere Microsoft-Sicherheitsprodukte, die die Kusto-Abfragesprache (KQL) unterstützen, um Informationen zu einem Bedrohungsakteur unter Verwendung des alten Namens, des neuen Namens oder des Branchennamens abzurufen:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Die folgenden Dateien, die die umfassende Zuordnung alter Bedrohungsakteurnamen mit ihren neuen Namen enthalten, sind ebenfalls verfügbar: