Hoe Microsoft bedreigingsactoren noemt
Microsoft is overgeschakeld naar een nieuwe naamgevingstaxonomie voor bedreigingsactoren die zijn afgestemd op het thema weer. We willen klanten en andere beveiligingsonderzoekers meer duidelijkheid bieden met de nieuwe taxonomie. We bieden een meer georganiseerde, gearticuleerde en eenvoudige manier om te verwijzen naar bedreigingsactoren, zodat organisaties beter prioriteiten kunnen stellen en zichzelf kunnen beschermen en beveiligingsonderzoekers kunnen helpen die al worden geconfronteerd met een overweldigende hoeveelheid bedreigingsinformatiegegevens.
Microsoft categoriseert bedreigingsactoren in vijf belangrijke groepen:
Nationale actoren: cyberoperatoren die namens of onder leiding staan van een op natie/staat afgestemd programma, ongeacht of het gaat om spionage, financieel gewin of vergelding. Microsoft merkte op dat de meeste nationale staatsactoren zich blijven richten op activiteiten en aanvallen op overheidsinstanties, intergouvernementele organisaties, niet-gouvernementele organisaties en denktanks voor traditionele spionage- of surveillancedoelstellingen.
Financieel gemotiveerde actoren: cybercampagnes/groepen die worden geleid door een criminele organisatie/persoon met motivaties van financieel gewin en worden niet geassocieerd met een hoog vertrouwen aan een bekende niet-nationale staat of commerciële entiteit. Deze categorie omvat ransomware-operators, zakelijke e-mailcompromittatie, phishing en andere groepen met puur financiële of afpersingsmotieven.
Aanstootgevende actoren in de particuliere sector (PSOA's): cyberactiviteit geleid door commerciële actoren die bekende/legitieme juridische entiteiten zijn, die cyberwapens maken en verkopen aan klanten die vervolgens doelen selecteren en de cyberwapens exploiteren. Deze instrumenten werden geobserveerd tegen dissidenten, mensenrechtenverdedigers, journalisten, voorstanders van het maatschappelijk middenveld en andere particuliere burgers, waardoor veel wereldwijde inspanningen op het gebied van mensenrechten in gevaar werden gebracht.
Beïnvloedingsactiviteiten: informatiecampagnes die online of offline op een manipulatieve manier worden gecommuniceerd om percepties, gedrag of beslissingen van doelgroepen te verschuiven om de belangen en doelstellingen van een groep of een land te verbeteren.
Groepen in ontwikkeling: een tijdelijke aanduiding voor een onbekende, opkomende of zich ontwikkelende bedreigingsactiviteit. Met deze aanduiding kan Microsoft een groep volgen als een discrete set informatie totdat we een hoge mate van vertrouwen hebben over de oorsprong of identiteit van de actor achter de bewerking. Zodra aan de criteria is voldaan, wordt een groep in ontwikkeling geconverteerd naar een benoemde actor of samengevoegd in bestaande namen.
In onze nieuwe taxonomie vertegenwoordigt een weersevenement of familienaam een van de bovenstaande categorieën. Voor nationale staatsactoren hebben we een familienaam toegewezen aan een land/regio van oorsprong die is gekoppeld aan attributie, zoals Typhoon aangeeft oorsprong of toeschrijving aan China. Voor andere acteurs is de familienaam een motivatie. Tempest geeft bijvoorbeeld financieel gemotiveerde actoren aan.
Bedreigingsactoren binnen dezelfde weerfamilie krijgen een bijvoeglijk naamwoord om actorgroepen te onderscheiden met verschillende tactieken, technieken en procedures (TTL's), infrastructuur, doelstellingen of andere geïdentificeerde patronen. Voor groepen in ontwikkeling gebruiken we een tijdelijke aanduiding storm en een viercijferig getal waarbij er een nieuw gedetecteerd, onbekend, opkomend of zich ontwikkelend cluster van bedreigingsactiviteit bevindt.
De tabel laat zien hoe de nieuwe familienamen worden toegewezen aan de bedreigingsactoren die we bijhouden.
| Categorie Actor | Type | Achternaam |
|---|---|---|
| Natiestaat | China Iran Libanon Noord-Korea Rusland Zuid-Korea Turkije Vietnam |
Tyfoon Zandstorm Regen Natte sneeuw Blizzard Hagel Stof Cycloon |
| Financieel gemotiveerd | Financieel gemotiveerd | Storm |
| Aanstootgevende actoren in de particuliere sector | PSOA's | Tsunami |
| Beïnvloedingsbewerkingen | Beïnvloedingsbewerkingen | Overstroming |
| Groepen in ontwikkeling | Groepen in ontwikkeling | Storm |
Gebruik de volgende referentietabel om te begrijpen hoe onze eerder openbaar gemaakte oude namen van bedreigingsacteuren zich vertalen in onze nieuwe taxonomie.
| Naam van bedreigingsacteur | Vorige naam | Oorsprong/bedreiging | Andere namen |
|---|---|---|---|
| Antieke tyfoon | Storm-0558 | China | |
| Aqua Blizzard | ACTINIUM | Rusland | UNC530, Primitieve beer, Gamaredon |
| Blauwe Tsunami | Aanstootgevende actor in de particuliere sector | Zwarte kubus | |
| Messing Typhoon | BARIUM | China | APT41 |
| Cadet Blizzard | DEV-0586 | Rusland | |
| Camouflage Tempest | TAAL | Financieel gemotiveerd | FIN6, Skeleton Spider |
| Canvas-cycloon | BISMUT | Vietnam | APT32, OceanLotus |
| Karamel-tsunami | SOURGUM | Aanstootgevende actor in de particuliere sector | Candiru |
| Carmine Tsunami | DEV-0196 | Aanstootgevende actor in de particuliere sector | QuaDream |
| Houtskooltyfoon | CHROOM | China | ControlX |
| Kaneel tempest | DEV-0401 | Financieel gemotiveerd | Keizer Dragonfly, Bronzen Sterlicht |
| Cirkeltyfoon | DEV-0322 | China | |
| Citrine Sleet | DEV-0139, DEV-1222 | Noord-Korea | AppleJeus, Labyrint Chollima, UNC4736 |
| Katoen Zandstorm | DEV-0198 (NEPTUNIUM) | Iran | Vice Leaker |
| Crimson Sandstorm | CURIUM | Iran | TA456, Schildpad |
| Cuboid Sandstorm | DEV-0228 | Iran | |
| Denim Tsunami | KNOTWEED | Aanstootgevende actor in de particuliere sector | DSIRF |
| Ruitsleet | ZINK | Noord-Korea | Labyrint Chollima, Lazarus |
| Emerald Sleet | THALLIUM | Noord-Korea | Kimsuky, Fluwelen Chollima |
| Flax Typhoon | Storm-0919 | China | Ethereal Panda |
| Forest Blizzard | STRONTIUM | Rusland | APT28, Fancy Bear |
| Ghost Blizzard | BROOM | Rusland | Energetic Bear, Crouching Yeti |
| Gingham Typhoon | GADOLINIUM | China | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Graniettyfoon | GALLIUM | China | |
| Grijze zandstorm | DEV-0343 | Iran | |
| Hazel Sandstorm | EUROPIUM | Iran | Kobalt Gypsy, APT34, OilRig |
| Jade Sleet | Storm-0954 | Noord-Korea | TraderTraitor, UNC4899 |
| Kant Tempest | DEV-0950 | Financieel gemotiveerd | FIN11, TA505 |
| Citroen zandstorm | RUBIDIUM | Iran | Fox Kitten, UNC757, PioneerKitten |
| Luipaardtyfoon | LOOD | China | KAOS, Mana, Winnti, Rode Diablo |
| Lila typhoon | DEV-0234 | China | |
| Luna Tempest | Storm-0744 | Financieel gemotiveerd | |
| Manatee Tempest | DEV-0243 | Financieel gemotiveerd | EvilCorp, UNC2165, Indrik Spider |
| Mango Sandstorm | KWIK | Iran | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Gemarmerd stof | SILICIUM | Turkije | Zeeschildpad |
| Goudsbloem Zandstorm | DEV-0500 | Iran | Mozes Staf |
| Middernacht blizzard | NOBELIUM | Rusland | APT29, Gezellige Beer |
| Mint Sandstorm | FOSFOR | Iran | APT35, Charmant Katje |
| Moonstone Sleet | Storm-1789 | Noord-Korea | |
| Mulberry Typhoon | MANGAAN | China | APT5, Keyhole Panda, TABCTENG |
| Mosterd tempest | DEV-0206 | Financieel gemotiveerd | Paarse Vallhund |
| Nachtelijke tsunami | DEV-0336 | Aanstootgevende actor in de particuliere sector | NSO-groep |
| Nylon Typhoon | NIKKEL | China | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Financieel gemotiveerd | 0ktapus, Spreidingsspin, UNC3944 |
| Onyx Sleet | PLUTONIUM | Noord-Korea | APT45, Silent Chollima, Andariel, DarkSeoul |
| Opaal sleet | OSMIUM | Noord-Korea | Konni |
| Perzik Zandstorm | HOLMIUM | Iran | APT33, Verfijnd Katje |
| Pearl Sleet | DEV-0215 (LAWRENCIUM) | Noord-Korea | |
| Periwinkle Tempest | DEV-0193 | Financieel gemotiveerd | Wizard Spider, UNC2053 |
| Phlox Tempest | DEV-0796 | Financieel gemotiveerd | ClickPirate, Chrome Loader, Choziosi loader |
| Roze Zandstorm | AMERICIUM | Iran | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistache tempest | DEV-0237 | Financieel gemotiveerd | FIN12 |
| Plaid Rain | POLONIUM | Libanon | |
| Pompoen zandstorm | DEV-0146 | Iran | ZeroCleare |
| Paarse tyfoon | KALIUM | China | APT10, Cloudhopper, MenuPass |
| Framboos typhoon | RADIUM | China | APT30, LotusBlossom |
| Ruby Sleet | CERIUM | Noord-Korea | |
| Ruza Flood | Storm-1099 | Rusland, Beïnvloedingsoperaties | |
| Zalmtyfoon | NATRIUM | China | APT4, Maverick Panda |
| Salt Typhoon | China | GhostEmperor, FamousSparrow | |
| Sangria Tempest | ELBRUS | Financieel gemotiveerd | Carbon Spider, FIN7 |
| Saffierleet | COPERNICIUM | Noord-Korea | Genie Spider, BlueNoroff |
| Seashell Blizzard | IRIDIUM | Rusland | APT44, Zandworm |
| Geheime blizzard | KRYPTON | Rusland | Giftige beer, Turla, slang |
| Sefid Flood | Storm-1364 | Iran, Beïnvloedingsoperaties | |
| Zijden tyfoon | HAFNIUM | China | |
| Rook Zandstorm | BOHRIUM | Iran | UNC1549 |
| Spandex Tempest | CHIMBORAZO | Financieel gemotiveerd | TA505 |
| Star Blizzard | SEABORGIUM | Rusland | Callisto, Team hergebruiken |
| Storm-0062 | China | DarkShadow, Oro0lxy | |
| Storm-0133 | Iran | LYCEUM, HEXANE | |
| Storm-0216 | Financieel gemotiveerd | Twisted Spider, UNC2198 | |
| Storm-0257 | Groep in ontwikkeling | UNC1151 | |
| Storm-0324 | Financieel gemotiveerd | TA543, Sagrid | |
| Storm-0381 | Financieel gemotiveerd | ||
| Storm-0501 | Groep in ontwikkeling | ||
| Storm-0506 | Groep in ontwikkeling | ||
| Storm-0530 | Noord-Korea | H0lyGh0st | |
| Storm-0539 | Financieel gemotiveerd | Berberleeuw | |
| Storm-0569 | Financieel gemotiveerd | ||
| Storm-0587 | Rusland | SaintBot, Saint Bear, TA471 | |
| Storm-0744 | Financieel gemotiveerd | ||
| Storm-0784 | Iran | ||
| Storm-0829 | Groep in ontwikkeling | Nwgen Team | |
| Storm-0835 | Groep in ontwikkeling | EvilProxy | |
| Storm-0842 | Iran | ||
| Storm-0844 | Groep in ontwikkeling | ||
| Storm-0861 | Iran | ||
| Storm-0867 | Egypte | Cafeïne | |
| Storm-0971 | Financieel gemotiveerd | (Samengevoegd met Octo Tempest) | |
| Storm-0978 | Groep in ontwikkeling | RomCom, Underground Team | |
| Storm-1044 | Financieel gemotiveerd | Danabot | |
| Storm-1084 | Iran | DarkBit | |
| Storm-1101 | Groep in ontwikkeling | NakedPages | |
| Storm-1113 | Financieel gemotiveerd | ||
| Storm-1133 | Palestijnse Autoriteit | ||
| Storm-1152 | Financieel gemotiveerd | ||
| Storm-1167 | Indonesië | ||
| Storm-1175 | Financieel gemotiveerd | ||
| Storm-1283 | Groep in ontwikkeling | ||
| Storm-1286 | Groep in ontwikkeling | ||
| Storm-1295 | Groep in ontwikkeling | Grootheid | |
| Storm-1516 | Rusland, Beïnvloedingsoperaties | ||
| Storm-1567 | Financieel gemotiveerd | Akira | |
| Storm-1575 | Groep in ontwikkeling | Dadsec | |
| Storm-1660 | Iran, Beïnvloedingsoperaties | ||
| Storm-1674 | Financieel gemotiveerd | ||
| Storm-1679 | Rusland, Beïnvloedingsoperaties | ||
| Storm-1804 | Iran, Beïnvloedingsoperaties | ||
| Storm-1805 | Iran, Beïnvloedingsoperaties | ||
| Storm-1811 | Financieel gemotiveerd | ||
| Storm-1841 | Rusland, Beïnvloedingsoperaties | ||
| Storm-1849 | China | UAT4356 | |
| Storm-1852 | Groep in ontwikkeling | ||
| Storm-2035 | Iran, Beïnvloedingsoperaties | ||
| Aardbei tempest | Financieel gemotiveerd | LAPSUS$ | |
| Sunglow Blizzard | Rusland | ||
| Taizi-vloed | Storm-1376 | China, Beïnvloedingsactiviteiten | Spamouflage, Dragonbridge |
| Tomaat tempest | SPURR | Financieel gemotiveerd | Vatet |
| Vanille tempest | DEV-0832 | Financieel gemotiveerd | |
| Velvet Tempest | DEV-0504 | Financieel gemotiveerd | |
| Violet Typhoon | ZIRKONIUM | China | APT31 |
| Volt Typhoon | China | BRONZEN SILHOUET, VANGUARD PANDA | |
| Wijn tempest | PARINACOTA | Financieel gemotiveerd | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Aanstootgevende actor in de particuliere sector | CyberRoot |
| Zigzag Hagel | DUBNIUM | Zuid-Korea | Dark Hotel, Tapaoux |
Lees onze aankondiging over de nieuwe taxonomie voor meer informatie: https://aka.ms/threatactorsblog
Intelligentie in handen van beveiligingsprofessionals brengen
Intel-profielen in Microsoft Defender-bedreigingsinformatie cruciale inzichten bieden over bedreigingsactoren. Met deze inzichten kunnen beveiligingsteams de context krijgen die ze nodig hebben bij het voorbereiden op en reageren op bedreigingen.
Daarnaast biedt de Microsoft Defender-bedreigingsinformatie Intel Profiles-API de meest recente zichtbaarheid van de bedreigingsacteurinfrastructuur in de branche. Bijgewerkte informatie is van cruciaal belang om SecOps-teams (Threat Intelligence and Security Operations) in staat te stellen hun geavanceerde werkstromen voor het opsporen en analyseren van bedreigingen te stroomlijnen. Meer informatie over deze API vindt u in de documentatie: De API's voor bedreigingsinformatie gebruiken in Microsoft Graph (preview).
Middelen
Gebruik de volgende query op Microsoft Defender XDR en andere Microsoft-beveiligingsproducten die de Kusto-querytaal (KQL) ondersteunen om informatie op te halen over een bedreigingsacteur met behulp van de oude naam, nieuwe naam of branchenaam:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
De volgende bestanden met de uitgebreide toewijzing van oude namen van bedreigingsacteuren met hun nieuwe namen zijn ook beschikbaar: