Microsoft が脅威アクターに名前を付けする方法
Microsoft では、気象のテーマに合わせて脅威アクターに名前付け分類を使用します。 私たちは、この分類性を持つ顧客や他のセキュリティ研究者に、より明確な情報を提供する予定です。 組織がより優先順位を付け、保護できるように、脅威アクターを参照するための、より整理された明確で簡単な方法を提供します。 また、膨大な量の脅威インテリジェンス データに既に直面しているセキュリティ研究者の支援も目指しています。
Microsoft では、脅威アクターを 5 つのキー グループに分類します。
国家のアクター: スパイ、金銭的利益、または報復の有無に関係なく、国家/国家連携プログラムの代理または監督を行うサイバーオペレーター。 Microsoft は、ほとんどの国の州のアクターが、政府機関、政府間組織、非政府組織、伝統的なスパイや監視の目的のためのシンク タンクに対する運用と攻撃に焦点を当て続けていると観察しました。
財務上動機付けられたアクター: 犯罪organization/財務上の利益の動機を持ち、既知の非国家または商業エンティティに高い信頼と関連付けられていないサイバー キャンペーン/グループ。 このカテゴリには、ランサムウェアオペレーター、ビジネスメールの侵害、フィッシング、純粋な金銭的または強要的な動機を持つその他のグループが含まれます。
民間部門の攻撃的アクター (PSOA): 既知または正当な法人である商用アクターが主導するサイバーアクティビティ。サイバー攻撃を作成して販売し、ターゲットを選択してサイバーウィーポンを運用する顧客に提供します。 これらのツールは、反体制派、人権擁護者、ジャーナリスト、市民社会の支持者、その他の民間人を標的にして監視され、多くの世界的な人権活動を脅かしていました。
影響操作: オンラインまたはオフラインでコミュニケーションを取る情報キャンペーンを操作的に行い、対象ユーザーによる認識、行動、または決定を、グループまたは国の利益と目標をさらに向上させます。
開発中のグループ: 未知の脅威アクティビティ、新興アクティビティ、または開発アクティビティに対する一時的な指定。 この指定により、Microsoft は、操作の背後にあるアクターの配信元または ID について高い信頼を得ることができるまで、グループを個別の情報セットとして追跡できます。 条件が満たされると、開発中のグループが名前付きアクターに変換されるか、既存の名前にマージされます。
この分類では、気象イベントまたは ファミリ名 は、上記のカテゴリのいずれかを表します。 国家のアクターの場合、属性に関連付けられている原産国/地域に姓を割り当てしました。 たとえば、台風は中国への起源または属性を示します。 他のアクターの場合、ファミリ名は動機を表します。 たとえば、Tempest は、財務上動機付けられたアクターを示します。
同じ気象ファミリ内の脅威アクターには、異なる戦術、手法、手順 (TCP)、インフラストラクチャ、目的、またはその他の識別されたパターンを持つアクター グループを区別するための形容詞が与えられる。 開発中のグループでは、Storm の一時的な指定と、新たに検出された、不明な、新たに発生した、または脅威アクティビティのクラスターを開発する 4 桁の番号を使用します。
次の表は、ファミリ名が追跡する脅威アクターにどのようにマップされるかを示しています。
| 脅威アクター カテゴリ | 型 | 名字 |
|---|---|---|
| 國 | 中国 イラン レバノン 北朝鮮 ロシア 韓国 トルコ ベトナム |
台風 砂嵐 雨 霙 ブリザード 雹 塵 サイクロン |
| 財務上の動機付け | 財務上の動機付け | 嵐 |
| 民間部門の攻撃的アクター | PSOA | 津波 |
| 影響操作 | 影響操作 | 洪水 |
| 開発中のグループ | 開発中のグループ | 嵐 |
次の表に、公開されている脅威アクター名とその配信元または脅威アクター カテゴリ、以前の名前、および他のセキュリティ ベンダーが使用する対応する名前 (使用可能な場合) を示します。 このページは、他のベンダーの名前に関する詳細情報が利用可能になると更新されます。
| 脅威アクター名 | 配信元/脅威アクター カテゴリ | その他の名前 |
|---|---|---|
| アメジスト雨 | レバノン | 揮発性杉 |
| アンティーク台風 | 中国 | Storm-0558 |
| アクア ブリザード | ロシア | ACTINIUM、Gamaredon、Armageddon、UNC530、shuckworm、SectorC08、Primitive Bear |
| 青い津波 | イスラエル、民間部門の攻撃的アクター | |
| 真鍮台風 | 中国 | BARIUM、APT41 |
| ブロケード台風 | 中国 | ボロン、UPS、ゴシックパンダ、APT3、OLDCARP、TG-0110、レッドシルバン、CYBRAN |
| バーガンディ・サンドストーム | イラン | カデル、シェーファー |
| Cadet Blizzard | ロシア | DEV-0586 |
| カナリア台風 | 中国 | 回線 PANDA、APT24、Palmerworm、BlackTech |
| キャンバス サイクロン | ベトナム | BISMUTH、OceanLotus、APT32 |
| キャラメル津波 | イスラエル、民間部門の攻撃的アクター | DEV-0236 |
| カルミネ津波 | 民間部門の攻撃的なアクター | |
| 炭台風 | 中国 | CHROMIUM、ControlX、アクアティックパンダ、レッドホテル、ブロンズ大学 |
| チェッカー台風 | 中国 | 塩素、ATG50、APT19、TG-3551、DEEP PANDA、レッド ガーゴイル |
| シナモン テンペスト | 中国、財務意欲 | DEV-0401 |
| 円台風 | 中国 | DEV-0322, APT6, APT27 |
| Citrine Sleet | 北朝鮮 | DEV-0139、Storm-0139、Storm-1222、DEV-1222 |
| コットンサンドストーム | イラン | ネプトゥニウム、バイスリーカー、ヘイワイヤー子猫 |
| クレセント台風 | 中国 | セシウム |
| 真紅の砂嵐 | イラン | CURIUM、トータス シェル、HOUSEBLEND、TA456 |
| 直方体砂嵐 | イラン | DEV-0228 |
| デニム津波 | オーストリア、民間部門の攻撃的アクター | DEV-0291 |
| ダイヤモンドスレット | 北朝鮮 | ZINC、ブラックアルテミス、ラザロス、ラザロ |
| エメラルドスレット | 北朝鮮 | THALLIUM、RGB-D5、Black Banshee、Kimsuky、Greendinosa、VELVET CHOLLIMA |
| Fallow Squall | シンガポール | プラチナ、パラサイト、ルビビン、ジンジャースナップ |
| 亜麻台風 | 中国 | Storm-0919, ETHEREAL PANDA |
| フォレスト ブリザード | ロシア | STRONTIUM、Sednit、ATG2、Sofacy、FANCY BEAR、Blue Athena、Z-Lom Team、Operation Pawn Storm、Tsar Team、CrisisFour、HELLFIRE、APT28 |
| ゴースト ブリザード | ロシア | BROMINE、TG-4192、コアラチーム、エネルギッシュベア、ブルークラーケン、クラウチン・イエティ、トンボ |
| ギンガム台風 | 中国 | GADOLINIUM、TEMP。Periscope、Leviathan、JJDoor、APT40、Feverdream |
| 花崗岩台風 | 中国 | ガリウム |
| グレー サンドストーム | イラン | DEV-0343 |
| ヘーゼル サンドストーム | イラン | ユーロピウム、COLBALTジプシー、ブランブス、オイルリグ、APT34 |
| ハート台風 | 中国 | HELIUM、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、AURORA PANDA、Tailgater |
| 六角形台風 | 中国 | HYDROGEN、Calc Team、Red Anubis、APT12、DNS-Calc、HORDE、NUMBERED PANDA |
| 千鳥格子台風 | 中国 | HASSIUM、isoon、deepclif |
| 翡翠 | 北朝鮮 | Storm-0954 |
| レーステンペスト | 財務上の動機付け | DEV-0950 |
| レモン サンドストーム | イラン | ルビジウム |
| レオパード台風 | 中国 | LEAD、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti Group |
| ライラック台風 | 中国 | DEV-0234 |
| リネン台風 | 中国 | IODINE、Red Phoenix、カバ、ラッキー マウス、EMISSARY PANDA、BOWSER、APT27、Wekby2、UNC215、TG-3390 |
| Luna Tempest | 財務上の動機付け | |
| マゼンタダスト | トルコ | PROMETHIUM、StrongPity、SmallPity |
| Manatee Tempest | ロシア | |
| マンゴー サンドストーム | イラン | 水星、シードワーム、静的子猫、一時。Zagros、MuddyWater |
| マーブルダスト | トルコ | シリコン、ウミガメ、UNC1326 |
| マリーゴールド・サンズストーム | イラン | DEV-500 |
| ミッドナイト ブリザード | ロシア | NOBELIUM、UNC2452、APT29、居心地の良いクマ |
| ミント サンドストーム | イラン | リン、パラストゥー、ニュースキャスター、APT35、魅力的な子猫 |
| ムーンストーンスレット | 北朝鮮 | Storm-1789 |
| マルベリー台風 | 中国 | マンガン、バックドア DPD、COVENANT、CYSERVICE、ボトル、Red Horus、Red Naga、Auriga、KEYHOLE PANDA、APT5、ATG48、TG-2754、tabcteng |
| マスタード Tempest | 財務上の動機付け | DEV-0206 |
| 夜間津波 | イスラエル | DEV-0336 |
| ナイロン台風 | 中国 | ニッケル、遊び心のあるドラゴン、RedRiver、ke3chang、VIXEN PANDA、APT15、ミラージュ |
| Octo Tempest | 財務上の動機付け | 0ktapus、スキャッタースパイダー |
| Onyx Sleet | 北朝鮮 | PLUTONIUM、StoneFly、Tdrop2 キャンペーン、DarkSeoul、Black Chollima、SILENT CHOLLIMA、Andariel、APT45 |
| Opal Sleet | 北朝鮮 | OSMIUM、Planedown、Konni、APT43 |
| ピーチ・サンドストーム | イラン | ホルミウム、APT33、エルフィン、リファイン子猫 |
| パールスレット | 北朝鮮 | ローレンシウム |
| Periwinkle Tempest | ロシア | DEV-0193 |
| Phlox Tempest | イスラエル、財政的動機 | DEV-0796 |
| ピンク サンドストーム | イラン | AMERICIUM、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、Justice Blade |
| ピンストライプライトニング | ニオブ、デザートファルコン、シミター、乾燥バイパー | |
| ピスタチオテンペスト | 財務上の動機付け | DEV-0237 |
| タータンレイン | レバノン | ポロニウム |
| かぼちゃ砂嵐 | イラン | DEV-0146 |
| 紫台風 | 中国 | カリウム、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、STONE PANDA、Foxtrot、Foxmail、MenuPass、Red Apollo |
| Raspberry Typhoon | 中国 | RADIUM、LotusBlossom、APT30 |
| Ruby Sleet | 北朝鮮 | セリウム |
| ルザフラッド | ロシア、影響を与える操作 | |
| サーモン台風 | 中国 | ナトリウム,APT4,マーベリック・パンダ |
| 塩台風 | 中国 | GhostEmperor, FamousSparrow |
| Sangria Tempest | ウクライナ、財政的動機 | ELBRUS |
| サファイアスレット | 北朝鮮 | COPERNICIUM、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore |
| サテン台風 | 中国 | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | ロシア | IRIDIUM、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44 |
| シークレット ブリザード | ロシア | KRYPTON、VENOMOUS BEAR、Uroburos、Snake、Blue Python、Turla、WRAITH、ATG26 |
| セフィド洪水 | イラン、インフルエンス・オペレーション | |
| 影台風 | 中国 | DarkShadow、Oro0lxy |
| シルク台風 | 中国 | HAFNIUM、timmy |
| 煙砂嵐 | イラン | UNC1549 |
| スパンデックステンペスト | 財務上の動機付け | TA505 |
| スポット砂嵐 | NEODYMIUM, BlackOasis | |
| スター ブリザード | ロシア | SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446 |
| Storm-0216 | 財務上の動機付け | ツイストスパイダー、UNC2198 |
| Storm-0230 | 開発中のグループ | Conti チーム 1、DEV-0230 |
| Storm-0247 | 中国 | ToddyCat、Websiic |
| Storm-0288 | 開発中のグループ | FIN8 |
| Storm-0302 | 開発中のグループ | ナワルスパイダー、TA544 |
| Storm-0501 | 財務上の動機付け | DEV-0501 |
| Storm-0538 | 開発中のグループ | FIN6 |
| Storm-0539 | 財務上の動機付け | |
| Storm-0569 | 財務上の動機付け | DEV-0569 |
| Storm-0671 | 開発中のグループ | UNC2596,トロピカルスコーピウス |
| Storm-0940 | 中国 | |
| Storm-0978 | ロシア | ロムコム地下チーム |
| Storm-1101 | 開発中のグループ | |
| Storm-1113 | 財務上の動機付け | |
| Storm-1152 | 財務上の動機付け | |
| Storm-1175 | 中国、財務意欲 | |
| Storm-1194 | 開発中のグループ | モンティ |
| Storm-1516 | ロシア、影響を与える操作 | |
| Storm-1567 | 財務上の動機付け | |
| Storm-1674 | 財務上の動機付け | |
| Storm-1679 | 影響操作 | |
| Storm-1811 | 財務上の動機付け | |
| Storm-1982 | 中国 | スニーキーシェフ、UNK_SweetSpecter |
| Storm-2035 | イラン、インフルエンス・オペレーション | |
| Storm-2077 | 中国 | TAG-100 |
| ストロベリーテンペスト | 財務上の動機付け | DEV-0537、LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| スワール台風 | 中国 | TELLURIUM、Tick、ブロンズ バトラー、REDBALDKNIGHT |
| タフタ台風 | 中国 | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| 太子洪水 | 中国、影響力の運用 | Dragonbridge、Spamouflage |
| タンブルウィード台風 | 中国 | THORIUM、Karst |
| ツイル台風 | 中国 | タンタル、ブロンズ社長、ルミナスモス、マスタングパンダ |
| Vanilla Tempest | 財務上の動機付け | DEV-0832, 副学会 |
| Velvet Tempest | 財務上の動機付け | DEV-0504 |
| バイオレット台風 | 中国 | ZIRCONIUM、カメレオン、APT31、WebFans |
| ボルガ洪水 | ロシア、影響を与える操作 | Storm-1841、Rybar |
| ボルト台風 | 中国 | ブロンズシルエット、ヴァンガードパンダ |
| 小麦テンペスト | 財務上の動機付け | GOLD、Gatak |
| 藤の津波 | インド、民間部門の攻撃的アクター | DEV-0605 |
| ジグザグ雹 | 韓国 | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
詳細については、この分類に関するお知らせをお読みください。 https://aka.ms/threatactorsblog
セキュリティプロフェッショナルの手にインテリジェンスを取り入れる
Microsoft Defender 脅威インテリジェンスの Intel プロファイルは、脅威アクターに関する重要な分析情報をもたらします。 これらの分析情報を使用すると、セキュリティ チームは、脅威に備えて対応する際に必要なコンテキストを取得できます。
さらに、Microsoft Defender 脅威インテリジェンス Intel Profiles API は、現在、業界で最新の脅威アクター インフラストラクチャの可視性を提供します。 最新の情報は、脅威インテリジェンスとセキュリティ運用 (SecOps) チームが高度な脅威ハンティングと分析ワークフローを合理化するために重要です。 この API の詳細については、Microsoft Graph (プレビュー) の脅威インテリジェンス API を使用する方法に関するドキュメントを参照してください。
リソース
Kusto クエリ言語 (KQL) をサポートするMicrosoft Defender XDRおよびその他の Microsoft セキュリティ製品に関する次のクエリを使用して、古い名前、新しい名前、または業界名を使用して脅威アクターに関する情報を取得します。
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
古い脅威アクター名と新しい名前の包括的なマッピングを含む次のファイルも使用できます。