Come Microsoft chiama gli attori delle minacce
Microsoft è passata a una nuova tassonomia di denominazione per gli attori delle minacce allineata al tema del meteo. Intendiamo offrire maggiore chiarezza ai clienti e ad altri ricercatori di sicurezza con la nuova tassonomia. Offriamo un modo più organizzato, articolato e semplice per fare riferimento agli attori delle minacce, in modo che le organizzazioni possano definire meglio le priorità e proteggersi e aiutare i ricercatori di sicurezza già confrontati con una quantità enorme di dati di intelligence sulle minacce.
Microsoft classifica gli attori delle minacce in cinque gruppi chiave:
Attori nazione-stato: operatori informatici che agiscono per conto o diretti da un programma nazionale/allineato allo stato, indipendentemente dal fatto che per spionaggio, guadagno finanziario o punizione. Microsoft ha osservato che la maggior parte degli attori dello stato nazionale continua a concentrare le operazioni e gli attacchi contro agenzie governative, organizzazioni governative, organizzazioni non governative e think tank per obiettivi di spionaggio o sorveglianza tradizionali.
Attori motivati dal punto di vista finanziario: campagne informatiche/gruppi diretti da un'organizzazione/persona criminale con motivazioni di guadagno finanziario e non sono associati con alta fiducia a un noto stato non nazionale o entità commerciale. Questa categoria include operatori ransomware, compromissione della posta elettronica aziendale, phishing e altri gruppi con motivazioni puramente finanziarie o estorsione.
Attori offensivi del settore privato(PSOA): attività informatica guidata da attori commerciali noti/legittimi, che creano e vendono cyberweapons ai clienti che quindi selezionano obiettivi e gestiscono le cyberweapons. Questi strumenti sono stati osservati per colpire e sorvegliare dissidenti, difensori dei diritti umani, giornalisti, sostenitori della società civile e altri privati cittadini, minacciando molti sforzi globali per i diritti umani.
Operazioni di influenza: campagne informative comunicate online o offline in modo manipolativo per spostare percezioni, comportamenti o decisioni da parte del pubblico di destinazione per promuovere gli interessi e gli obiettivi di un gruppo o di una nazione.
Gruppi in fase di sviluppo: una designazione temporanea data a un'attività di minaccia sconosciuta, emergente o in via di sviluppo. Questa designazione consente a Microsoft di tenere traccia di un gruppo come set discreto di informazioni fino a raggiungere un'elevata attendibilità sull'origine o sull'identità dell'attore dietro l'operazione. Una volta soddisfatti i criteri, un gruppo in fase di sviluppo viene convertito in un attore denominato o unito in nomi esistenti.
Nella nuova tassonomia, un evento meteorologico o un nome di famiglia rappresenta una delle categorie precedenti. Per gli attori stato-nazione, abbiamo assegnato un nome di famiglia a un paese/area geografica di origine legato all'attribuzione, come tifone indica l'origine o l'attribuzione alla Cina. Per altri attori, il nome della famiglia rappresenta una motivazione. Ad esempio, Tempest indica attori motivati finanziariamente.
Agli attori delle minacce all'interno della stessa famiglia meteorologica viene dato un aggettivo per distinguere i gruppi di attori con tattiche, tecniche e procedure distinte , infrastruttura, obiettivi o altri modelli identificati. Per i gruppi in fase di sviluppo, viene usata una designazione temporanea di Storm e un numero a quattro cifre in cui è presente un cluster di attività di minaccia appena scoperto, sconosciuto, emergente o in fase di sviluppo.
La tabella mostra come i nuovi nomi di famiglia vengono mappati agli attori delle minacce rilevati.
| Categoria attore | Tipo | Cognome |
|---|---|---|
| Stato-nazione | Cina Iran Libano Corea del Nord Russia Corea del Sud Turchia Vietnam |
Tifone Tempesta di sabbia Pioggia Nevischio Tormenta Grandine Polvere Ciclone |
| Motivati dal punto di vista finanziario | Motivati dal punto di vista finanziario | Tempesta |
| Attori offensivi del settore privato | PSOA | Tsunami |
| Operazioni di influenza | Operazioni di influenza | Inondazione |
| Gruppi in sviluppo | Gruppi in sviluppo | Tempesta |
Usare la tabella di riferimento seguente per comprendere in che modo i nomi degli attori di minacce precedenti divulgati pubblicamente si traducono nella nuova tassonomia.
| Nome dell'attore di minacce | Nome precedente | Origine/minaccia | Altri nomi |
|---|---|---|---|
| Tifone antico | Storm-0558 | Cina | |
| Aqua Blizzard | ATTINIO | Russia | UNC530, Orso primitivo, Gamaredon |
| Tsunami blu | Attore offensivo del settore privato | Cubo nero | |
| Tifone in ottone | BARIO | Cina | APT41 |
| Bufera di neve cadetti | DEV-0586 | Russia | |
| Camouflage Tempest | TAAL | Motivati dal punto di vista finanziario | FIN6, Skeleton Spider |
| Ciclone canvas | BISMUTO | Vietnam | APT32, OceanLotus |
| Tsunami caramello | SOURGUM | Attore offensivo del settore privato | Candiru |
| Carmine Tsunami | DEV-0196 | Attore offensivo del settore privato | QuaDream |
| Tifone a carbone | CROMO | Cina | ControlX |
| Tempesta di cannella | DEV-0401 | Motivati dal punto di vista finanziario | Imperatore Libellula, Luce stellata di bronzo |
| Tifone circolare | DEV-0322 | Cina | |
| Citrine Sleet | DEV-0139, DEV-1222 | Corea del Nord | AppleJeus, Labyrinth Chollima, UNC4736 |
| Tempesta di sabbia di cotone | DEV-0198 (NEPTUNIUM) | Iran | Vice Leaker |
| Tempesta di sabbia cremisi | CURIO | Iran | TA456, Tartaruga Shell |
| Cuboide Tempesta di sabbia | DEV-0228 | Iran | |
| Tsunami di jeans | KNOTWEED | Attore offensivo del settore privato | DSIRF |
| Sleet a rombo | ZINCO | Corea del Nord | Labirinto Chollima, Lazzari |
| Sleet di smeraldo | TALLIO | Corea del Nord | Kimsuky, Chollima di velluto |
| Tifone del lino | Storm-0919 | Cina | Panda etereo |
| Bufera di neve della foresta | STRONZIO | Russia | APT28, Orso fantasia |
| Tormenta fantasma | BROMO | Russia | Orso energetico, Yeti accovacciato |
| Tifone Gingham | GADOLINIO | Cina | APT40, Leviatano, TEMP. Periscope, Kryptonite Panda |
| Tifone di granito | GALLIO | Cina | |
| Tempesta di sabbia grigia | DEV-0343 | Iran | |
| Hazel Sandstorm | EUROPIO | Iran | Cobalt Gypsy, APT34, OilRig |
| Set di giada | Storm-0954 | Corea del Nord | TraderTraitor, UNC4899 |
| Lace Tempest | DEV-0950 | Motivati dal punto di vista finanziario | FIN11, TA505 |
| Lemon Sandstorm | RUBIDIO | Iran | Fox Kitten, UNC757, PioneerKitten |
| Tifone leopardo | PIOMBO | Cina | KAOS, Mana, Winnti, Red Diablo |
| Tifone lilla | DEV-0234 | Cina | |
| Luna Tempest | Storm-0744 | Motivati dal punto di vista finanziario | |
| Lamantino Tempest | DEV-0243 | Motivati dal punto di vista finanziario | EvilCorp, UNC2165, Ragno Indrik |
| Mango Sandstorm | MERCURIO | Iran | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Polvere marmorzzata | SILICIO | Turchia | Tartaruga marina |
| Marigold Sandstorm | DEV-0500 | Iran | Mosè Staff |
| Bufera di mezzanotte | NOBELIO | Russia | APT29, Orso accogliente |
| Tempesta di sabbia alla menta | FOSFORO | Iran | APT35, gattino affascinante |
| Sleet di Pietra lunare | Storm-1789 | Corea del Nord | |
| Tifone gelso | MANGANESE | Cina | APT5, Keyhole Panda, TABCTENG |
| Tempesta di senape | DEV-0206 | Motivati dal punto di vista finanziario | Viola Vallhund |
| Tsunami notturno | DEV-0336 | Attore offensivo del settore privato | Gruppo NSO |
| Nylon Typhoon | NICHEL | Cina | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Motivati dal punto di vista finanziario | 0ktapus, Ragno sparsi, UNC3944 |
| Set di dati Onyx | PLUTONIO | Corea del Nord | APT45, Silent Chollima, Andariel, DarkSeoul |
| Opal Sleet | OSMIO | Corea del Nord | Konni |
| Peach Sandstorm | OLMIO | Iran | APT33, gattino raffinato |
| Set di perle | DEV-0215 (LAWRENCIUM) | Corea del Nord | |
| Periwinkle Tempest | DEV-0193 | Motivati dal punto di vista finanziario | Ragno mago, UNC2053 |
| Phlox Tempest | DEV-0796 | Motivati dal punto di vista finanziario | ClickPirate, Chrome Loader, Choziosi loader |
| Tempesta di sabbia rosa | AMERICIO | Iran | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistacchio Tempest | DEV-0237 | Motivati dal punto di vista finanziario | FIN12 |
| Plaid Rain | POLONIO | Libano | |
| Tempesta di sabbia di zucca | DEV-0146 | Iran | ZeroCleare |
| Tifone viola | POTASSIO | Cina | APT10, Cloudhopper, MenuPass |
| Tifone lampone | RADIO | Cina | APT30, LotusBlossom |
| Set di rubini | CERIO | Corea del Nord | |
| Diluvio di Ruza | Storm-1099 | Russia, Operazioni di influenza | |
| Tifone di salmone | SODIO | Cina | APT4, Maverick Panda |
| Tifone salato | Cina | GhostEmperor, FamousSparrow | |
| Sangria Tempest | ELBRUS | Motivati dal punto di vista finanziario | Carbon Spider, FIN7 |
| Zaffiro Sleet | COPERNICIUM | Corea del Nord | Genie Spider, BlueNoroff |
| Seashell Blizzard | IRIDIO | Russia | APT44, Sandworm |
| Secret Blizzard | KRIPTON | Russia | Orso velenoso, Turla, Serpente |
| Diluvio sefido | Storm-1364 | Iran, Operazioni di influenza | |
| Tifone di seta | AFNIO | Cina | |
| Smoke Sandstorm | BOHRIO | Iran | UNC1549 |
| Spandex Tempest | CHIMBORAZO | Motivati dal punto di vista finanziario | TA505 |
| Tormenta stellare | SEABORGIO | Russia | Callisto, Riutilizza team |
| Storm-0062 | Cina | DarkShadow, Oro0lxy | |
| Storm-0133 | Iran | LYCEUM, HEXANE | |
| Storm-0216 | Motivati dal punto di vista finanziario | Ragno contorto, UNC2198 | |
| Storm-0257 | Gruppo in sviluppo | UNC1151 | |
| Storm-0324 | Motivati dal punto di vista finanziario | TA543, Sagrid | |
| Storm-0381 | Motivati dal punto di vista finanziario | ||
| Storm-0501 | Gruppo in sviluppo | ||
| Storm-0506 | Gruppo in sviluppo | ||
| Storm-0530 | Corea del Nord | H0lyGh0st | |
| Storm-0539 | Motivati dal punto di vista finanziario | Leone berbero | |
| Storm-0569 | Motivati dal punto di vista finanziario | ||
| Storm-0587 | Russia | SaintBot, Saint Bear, TA471 | |
| Storm-0744 | Motivati dal punto di vista finanziario | ||
| Storm-0784 | Iran | ||
| Storm-0829 | Gruppo in sviluppo | Nwgen Team | |
| Storm-0835 | Gruppo in sviluppo | EvilProxy | |
| Storm-0842 | Iran | ||
| Storm-0844 | Gruppo in sviluppo | ||
| Storm-0861 | Iran | ||
| Storm-0867 | Egitto | Caffeina | |
| Storm-0971 | Motivati dal punto di vista finanziario | (Unito a Octo Tempest) | |
| Storm-0978 | Gruppo in sviluppo | RomCom, Underground Team | |
| Storm-1044 | Motivati dal punto di vista finanziario | Danabot | |
| Storm-1084 | Iran | DarkBit | |
| Storm-1101 | Gruppo in sviluppo | NakedPages | |
| Storm-1113 | Motivati dal punto di vista finanziario | ||
| Storm-1133 | Autorità Palestinese | ||
| Storm-1152 | Motivati dal punto di vista finanziario | ||
| Storm-1167 | Indonesia | ||
| Storm-1175 | Motivati dal punto di vista finanziario | ||
| Storm-1283 | Gruppo in sviluppo | ||
| Storm-1286 | Gruppo in sviluppo | ||
| Storm-1295 | Gruppo in sviluppo | Grandezza | |
| Storm-1516 | Russia, Operazioni di influenza | ||
| Storm-1567 | Motivati dal punto di vista finanziario | Akira | |
| Storm-1575 | Gruppo in sviluppo | Dadsec | |
| Storm-1660 | Iran, Operazioni di influenza | ||
| Storm-1674 | Motivati dal punto di vista finanziario | ||
| Storm-1679 | Russia, Operazioni di influenza | ||
| Storm-1804 | Iran, Operazioni di influenza | ||
| Storm-1805 | Iran, Operazioni di influenza | ||
| Storm-1811 | Motivati dal punto di vista finanziario | ||
| Storm-1841 | Russia, Operazioni di influenza | ||
| Storm-1849 | Cina | UAT4356 | |
| Storm-1852 | Gruppo in sviluppo | ||
| Storm-2035 | Iran, Operazioni di influenza | ||
| Tempesta di fragole | Motivati dal punto di vista finanziario | LAPSUS$ | |
| Sunglow Blizzard | Russia | ||
| Diluvio di Taizi | Storm-1376 | Cina, Operazioni di influenza | Spamouflage, Dragonbridge |
| Tempesta di pomodoro | SPURR | Motivati dal punto di vista finanziario | Vatet |
| Tempesta di vaniglia | DEV-0832 | Motivati dal punto di vista finanziario | |
| Tempesta di velluto | DEV-0504 | Motivati dal punto di vista finanziario | |
| Tifone viola | ZIRCONIO | Cina | APT31 |
| Tifone volt | Cina | SILHOUETTE IN BRONZO, VANGUARD PANDA | |
| Tempesta di vino | PARINACOTA | Motivati dal punto di vista finanziario | Wadhrama |
| Tsunami del glicine | DEV-0605 | Attore offensivo del settore privato | CyberRoot |
| Zigzag Hail | DUBNIO | Corea del Sud | Dark Hotel, Tapaoux |
Per altre informazioni, vedere l'annuncio relativo alla nuova tassonomia: https://aka.ms/threatactorsblog
Mettere l'intelligenza nelle mani dei professionisti della sicurezza
I profili Intel in Microsoft Defender Threat Intelligence forniscono informazioni cruciali sugli attori delle minacce. Queste informazioni dettagliate consentono ai team di sicurezza di ottenere il contesto necessario durante la preparazione e la risposta alle minacce.
Inoltre, l'API Microsoft Defender Threat Intelligence Profili Intel offre la visibilità più aggiornata dell'infrastruttura degli attori di minacce nel settore. Le informazioni aggiornate sono fondamentali per consentire ai team secOps (Threat Intelligence and Security Operations) di semplificare i flussi di lavoro avanzati di ricerca e analisi delle minacce. Altre informazioni su questa API sono disponibili nella documentazione: Usare le API di intelligence sulle minacce in Microsoft Graph (anteprima).
Risorse
Usare la query seguente su Microsoft Defender XDR e altri prodotti di sicurezza Microsoft che supportano il linguaggio di query Kusto (KQL) per ottenere informazioni su un attore di minacce usando il nome precedente, il nuovo nome o il nome del settore:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Sono disponibili anche i file seguenti contenenti il mapping completo dei nomi degli attori di minacce precedenti con i loro nuovi nomi: