Hoe Microsoft bedreigingsactoren noemt
Microsoft gebruikt een naamgevingstaxonomie voor bedreigingsactoren die zijn afgestemd op het thema weer. We willen klanten en andere beveiligingsonderzoekers meer duidelijkheid bieden met deze taxonomie. We bieden een meer georganiseerde, gearticuleerde en eenvoudige manier om te verwijzen naar bedreigingsactoren, zodat organisaties zichzelf beter kunnen prioriteren en beschermen. We willen ook beveiligingsonderzoekers helpen, die al worden geconfronteerd met een overweldigende hoeveelheid gegevens over bedreigingsinformatie.
Microsoft categoriseert bedreigingsactoren in vijf belangrijke groepen:
Nationale actoren: cyberoperatoren die namens of onder leiding staan van een op natie/staat afgestemd programma, ongeacht of het gaat om spionage, financieel gewin of vergelding. Microsoft merkte op dat de meeste nationale staatsactoren zich blijven richten op activiteiten en aanvallen op overheidsinstanties, intergouvernementele organisaties, niet-gouvernementele organisaties en denktanks voor traditionele spionage- of surveillancedoelstellingen.
Financieel gemotiveerde actoren: cybercampagnes/groepen die worden geleid door een criminele organisatie/persoon met redenen van financieel gewin en worden niet geassocieerd met een hoog vertrouwen aan een bekende niet-nationale staat of commerciële entiteit. Deze categorie omvat ransomware-operators, zakelijke e-mailcompromittatie, phishing en andere groepen met puur financiële of afpersingsmotieven.
Aanstootgevende actoren in de particuliere sector (PSOA's): cyberactiviteit geleid door commerciële actoren die bekende/legitieme juridische entiteiten zijn, die cyberwapens maken en verkopen aan klanten die vervolgens doelen selecteren en de cyberwapens exploiteren. Deze instrumenten werden geobserveerd tegen dissidenten, mensenrechtenverdedigers, journalisten, voorstanders van het maatschappelijk middenveld en andere particuliere burgers, waardoor veel wereldwijde inspanningen op het gebied van mensenrechten in gevaar werden gebracht.
Beïnvloedingsactiviteiten: informatiecampagnes die online of offline op een manipulatieve manier worden gecommuniceerd om percepties, gedrag of beslissingen van doelgroepen te verschuiven om de belangen en doelstellingen van een groep of een land te verbeteren.
Groepen in ontwikkeling: een tijdelijke aanduiding die wordt gegeven aan een onbekende, opkomende of zich ontwikkelende bedreigingsactiviteit. Met deze aanduiding kan Microsoft een groep volgen als een discrete set informatie totdat we een hoge mate van vertrouwen hebben over de oorsprong of identiteit van de actor achter de bewerking. Zodra aan de criteria is voldaan, wordt een groep in ontwikkeling geconverteerd naar een benoemde actor of samengevoegd in bestaande namen.
In deze taxonomie vertegenwoordigt een weersevenement of familienaam een van de bovenstaande categorieën. Voor nationale actoren hebben we een familienaam toegewezen aan een land/regio van herkomst die is gekoppeld aan toeschrijving. Typhoon duidt bijvoorbeeld op oorsprong of attributie aan China. Voor andere acteurs is de familienaam een motivatie. Tempest geeft bijvoorbeeld financieel gemotiveerde actoren aan.
Bedreigingsactoren binnen dezelfde weerfamilie krijgen een bijvoeglijk naamwoord om actorgroepen te onderscheiden met verschillende tactieken, technieken en procedures (TTL's), infrastructuur, doelstellingen of andere geïdentificeerde patronen. Voor groepen die in ontwikkeling zijn, gebruiken we een tijdelijke aanduiding storm en een viercijferig getal waarbij er een nieuw gedetecteerd, onbekend, opkomend of zich ontwikkelend cluster van bedreigingsactiviteit bevindt.
In de volgende tabel ziet u hoe de familienamen worden toegewezen aan de bedreigingsactoren die we bijhouden.
| Categorie bedreigingsacteur | Type | Achternaam |
|---|---|---|
| Natiestaat | China Iran Libanon Noord-Korea Rusland Zuid-Korea Turkije Vietnam |
Tyfoon Zandstorm Regen Natte sneeuw Blizzard Hagel Stof Cycloon |
| Financieel gemotiveerd | Financieel gemotiveerd | Storm |
| Aanstootgevende actoren in de particuliere sector | PSOA's | Tsunami |
| Beïnvloedingsbewerkingen | Beïnvloedingsbewerkingen | Overstroming |
| Groepen in ontwikkeling | Groepen in ontwikkeling | Storm |
In de volgende tabel vindt u een lijst met openbaar bekendgemaakte namen van bedreigingsacteuren met hun oorsprong of categorie bedreigingsacteur, eerdere namen en bijbehorende namen die door andere beveiligingsleveranciers worden gebruikt, indien beschikbaar. Deze pagina wordt bijgewerkt zodra meer informatie over de namen van andere leveranciers beschikbaar komt.
| Naam van bedreigingsacteur | Oorsprong/bedreigingsacteurcategorie | Andere namen |
|---|---|---|
| Amethist Regen | Libanon | Vluchtige ceder |
| Antieke tyfoon | China | Storm-0558 |
| Aqua Blizzard | Rusland | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Blauwe Tsunami | Israël, aanstootgevende actor in de particuliere sector | |
| Messing Typhoon | China | BARIUM, APT41 |
| Brocade Typhoon | China | BORIUM, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Bourgondische Zandstorm | Iran | Cadelle, Chafer |
| Cadet Blizzard | Rusland | DEV-0586 |
| Canary Typhoon | China | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Canvas-cycloon | Vietnam | BISMUTH, OceanLotus, APT32 |
| Karamel-tsunami | Israël, aanstootgevende actor in de particuliere sector | DEV-0236 |
| Carmine Tsunami | Aanstootgevende actor in de particuliere sector | |
| Houtskooltyfoon | China | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| Gecheckte tyfoon | China | CHLOOR, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Kaneel tempest | China, financieel gemotiveerd | DEV-0401 |
| Cirkeltyfoon | China | DEV-0322, APT6, APT27 |
| Citrine Sleet | Noord-Korea | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Katoen Zandstorm | Iran | NEPTUNIUM, Vice Leaker, Haywire Kitten |
| Halve maantyfoon | China | CESIUM |
| Crimson Sandstorm | Iran | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| Cuboid Sandstorm | Iran | DEV-0228 |
| Denim Tsunami | Oostenrijk, particuliere sector offensieve actor | DEV-0291 |
| Ruitsleet | Noord-Korea | ZINK, Zwarte Artemis, Labyrint Chollima, Lazarus |
| Emerald Sleet | Noord-Korea | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapore | PLATINA, PARASIET, RUBYVINE, GINGERSNAP |
| Flax Typhoon | China | Storm-0919, ETHEREAL PANDA |
| Forest Blizzard | Rusland | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Rusland | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Gingham Typhoon | China | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Graniettyfoon | China | GALLIUM |
| Grijze zandstorm | Iran | DEV-0343 |
| Hazel Sandstorm | Iran | EUROPIUM, COLBALT GYPSY, Mspus, OilRig, APT34 |
| Harttyfoon | China | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Hexagon Typhoon | China | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, GENUMMERDE PANDA |
| Houndstooth Typhoon | China | HASSIUM, isoon, deepclif |
| Jade Sleet | Noord-Korea | Storm-0954 |
| Kant Tempest | Financieel gemotiveerd | DEV-0950 |
| Citroen zandstorm | Iran | RUBIDIUM |
| Luipaardtyfoon | China | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lila typhoon | China | DEV-0234 |
| Linnen tyfoon | China | JODIUM, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Financieel gemotiveerd | |
| Magenta Stof | Turkije | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Rusland | |
| Mango Sandstorm | Iran | KWIK, SeedWorm, STATISCH KATJE, TEMP. Zagros, MuddyWater |
| Gemarmerd stof | Turkije | SILICON, Sea Turtle, UNC1326 |
| Goudsbloem Zandstorm | Iran | DEV-500 |
| Middernacht blizzard | Rusland | NOBELIUM, UNC2452, APT29, Cozy Bear |
| Mint Sandstorm | Iran | FOSFOR, Parastoo, Newscaster, APT35, Charmant Katje |
| Moonstone Sleet | Noord-Korea | Storm-1789 |
| Mulberry Typhoon | China | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Mosterd tempest | Financieel gemotiveerd | DEV-0206 |
| Nachtelijke tsunami | Israël | DEV-0336 |
| Nylon Typhoon | China | NICKEL, Speelse Draak, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Financieel gemotiveerd | 0ktapus, Spreidingsspin |
| Onyx Sleet | Noord-Korea | PLUTONIUM, StoneFly, Tdrop2 campagne, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opaal sleet | Noord-Korea | OSMIUM, Planedown, Konni, APT43 |
| Perzik Zandstorm | Iran | HOLMIUM, APT33, Elfin, VERFIJND KATJE |
| Pearl Sleet | Noord-Korea | LAWRENCIUM |
| Periwinkle Tempest | Rusland | DEV-0193 |
| Phlox Tempest | Israël, financieel gemotiveerd | DEV-0796 |
| Roze Zandstorm | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Desert Falcons, Scimitar, Arid Viper | |
| Pistache tempest | Financieel gemotiveerd | DEV-0237 |
| Plaid Rain | Libanon | POLONIUM |
| Pompoen zandstorm | Iran | DEV-0146 |
| Paarse tyfoon | China | KALIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Framboos typhoon | China | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Noord-Korea | CERIUM |
| Ruza Flood | Rusland, Beïnvloedingsoperaties | |
| Zalmtyfoon | China | NATRIUM, APT4, MAVERICK PANDA |
| Salt Typhoon | China | GhostEmperor, FamousSparrow |
| Sangria Tempest | Oekraïne, financieel gemotiveerd | ELBRUS |
| Saffierleet | Noord-Korea | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satijn typhoon | China | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Rusland | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Geheime blizzard | Rusland | KRYPTON, GIFTIGE BEER, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid Flood | Iran, Beïnvloedingsoperaties | |
| Schaduwtyfoon | China | DarkShadow, Oro0lxy |
| Zijden tyfoon | China | HAFNIUM, timmy |
| Rook Zandstorm | Iran | UNC1549 |
| Spandex Tempest | Financieel gemotiveerd | TA505 |
| Gevlekte zandstorm | NEODYMIUM, BlackOasis | |
| Star Blizzard | Rusland | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Financieel gemotiveerd | Twisted Spider, UNC2198 |
| Storm-0230 | Groep in ontwikkeling | Conti Team 1, DEV-0230 |
| Storm-0247 | China | ToddyCat, Websiic |
| Storm-0288 | Groep in ontwikkeling | FIN8 |
| Storm-0302 | Groep in ontwikkeling | Narwhal Spider, TA544 |
| Storm-0501 | Financieel gemotiveerd | DEV-0501 |
| Storm-0538 | Groep in ontwikkeling | FIN6 |
| Storm-0539 | Financieel gemotiveerd | |
| Storm-0569 | Financieel gemotiveerd | DEV-0569 |
| Storm-0671 | Groep in ontwikkeling | UNC2596, Tropicalscorpius |
| Storm-0940 | China | |
| Storm-0978 | Rusland | RomCom, Underground Team |
| Storm-1101 | Groep in ontwikkeling | |
| Storm-1113 | Financieel gemotiveerd | |
| Storm-1152 | Financieel gemotiveerd | |
| Storm-1175 | China, financieel gemotiveerd | |
| Storm-1194 | Groep in ontwikkeling | MONTI |
| Storm-1516 | Rusland, Beïnvloedingsoperaties | |
| Storm-1567 | Financieel gemotiveerd | |
| Storm-1674 | Financieel gemotiveerd | |
| Storm-1679 | Beïnvloedingsbewerkingen | |
| Storm-1811 | Financieel gemotiveerd | |
| Storm-1982 | China | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Beïnvloedingsoperaties | |
| Storm-2077 | China | TAG-100 |
| Aardbei tempest | Financieel gemotiveerd | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Swirl Typhoon | China | TELLURIUM, TeEK, Bronzen Butler, REDBALDKNIGHT |
| Taffeta Typhoon | China | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi-vloed | China, Beïnvloedingsactiviteiten | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | China | THORIUM, Karst |
| Twill Typhoon | China | TANTALUM, BRONZEN PRESIDENT, LuminousMoth, MUSTANG PANDA |
| Vanille tempest | Financieel gemotiveerd | DEV-0832, Vice Society |
| Velvet Tempest | Financieel gemotiveerd | DEV-0504 |
| Violet Typhoon | China | ZIRCONIUM, Chameleon, APT31, WebFans |
| Wolga-vloed | Rusland, Beïnvloedingsoperaties | Storm-1841, Rybar |
| Volt Typhoon | China | BRONZEN SILHOUET, VANGUARD PANDA |
| Tarwe tempest | Financieel gemotiveerd | GOLD, Gatak |
| Wisteria Tsunami | India, aanstootgevende actor in de particuliere sector | DEV-0605 |
| Zigzag Hagel | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Lees onze aankondiging over deze taxonomie voor meer informatie: https://aka.ms/threatactorsblog
Intelligentie in handen van beveiligingsprofessionals brengen
Intel-profielen in Microsoft Defender-bedreigingsinformatie cruciale inzichten bieden over bedreigingsactoren. Met deze inzichten kunnen beveiligingsteams de context krijgen die ze nodig hebben bij het voorbereiden op en reageren op bedreigingen.
Daarnaast biedt de Microsoft Defender-bedreigingsinformatie Intel Profiles-API de meest recente zichtbaarheid van de bedreigingsacteurinfrastructuur in de branche. Bijgewerkte informatie is van cruciaal belang om SecOps-teams (Threat Intelligence and Security Operations) in staat te stellen hun geavanceerde werkstromen voor het opsporen en analyseren van bedreigingen te stroomlijnen. Meer informatie over deze API vindt u in de documentatie: De API's voor bedreigingsinformatie gebruiken in Microsoft Graph (preview).
Middelen
Gebruik de volgende query op Microsoft Defender XDR en andere Microsoft-beveiligingsproducten die de Kusto-querytaal (KQL) ondersteunen om informatie op te halen over een bedreigingsacteur met behulp van de oude naam, nieuwe naam of branchenaam:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
De volgende bestanden met de uitgebreide toewijzing van oude namen van bedreigingsacteuren met hun nieuwe namen zijn ook beschikbaar: