Jak firma Microsoft nazywa podmioty zagrożeń
Firma Microsoft używa taksonomii nazewnictwa dla aktorów zagrożeń zgodnych z motywem pogody. Zamierzamy zapewnić większą jasność klientom i innym badaczom bezpieczeństwa dzięki tej taksonomii. Oferujemy bardziej zorganizowany, wyrazisty i łatwy sposób odwoływania się do podmiotów zagrożeń, dzięki czemu organizacje mogą lepiej określać priorytety i chronić siebie. Staramy się również pomagać badaczom bezpieczeństwa, którzy już mają do czynienia z ogromną ilością danych analizy zagrożeń.
Firma Microsoft dzieli podmioty zagrożeń na pięć kluczowych grup:
Podmioty państw narodowych: operatorzy cybernetyczni działający w imieniu lub kierowani przez program ogólnokrajowy/państwowy, niezależnie od tego, czy dotyczy to szpiegostwa, zysków finansowych, czy odwetu. Microsoft zauważył, że większość podmiotów państwowych w kraju nadal koncentruje operacje i ataki na agencje rządowe, organizacje międzyrządowe, organizacje pozarządowe i think tanki dla tradycyjnych celów szpiegostwa lub nadzoru.
Podmioty motywowane finansowo: kampanie cybernetyczne/grupy kierowane przez organizację przestępczą/osobę z motywacjami zysków finansowych i nie są związane z wysokim zaufaniem do znanego państwa nienarodowego lub podmiotu handlowego. Ta kategoria obejmuje operatory oprogramowania wymuszającego okup, naruszenia zabezpieczeń poczty e-mail w firmie, wyłudzanie informacji i inne grupy z motywacjami czysto finansowymi lub wymuszeniami.
Podmioty obraźliwe w sektorze prywatnym (PSOA): cyberprzestępcja prowadzona przez podmioty komercyjne, które są znanymi/legalnymi podmiotami prawnymi, które tworzą i sprzedają cyberobrony klientom, którzy następnie wybierają cele i obsługują cyberbronę. Narzędzia te były obserwowane nakierowywanie i ukrywanie dysydentów, obrońców praw człowieka, dziennikarzy, zwolenników społeczeństwa obywatelskiego i innych obywateli prywatnych, zagrażając wielu globalnym wysiłkom na rzecz praw człowieka.
Operacje wpływu: kampanie informacyjne przekazywane online lub offline w sposób manipulacyjny w celu zmiany postrzegania, zachowań lub decyzji docelowych odbiorców w celu dalszego rozwijania interesów i celów grupy lub narodu.
Grupy w rozwoju: tymczasowe oznaczenie nadane nieznanej, pojawiającej się lub rozwijającej się aktywności związanej z zagrożeniami. To oznaczenie umożliwia firmie Microsoft śledzenie grupy jako dyskretnego zestawu informacji, dopóki nie osiągniemy wysokiego zaufania co do pochodzenia lub tożsamości aktora stojącego za operacją. Po spełnieniu kryteriów grupa w programie jest konwertowana na nazwanego aktora lub scalana z istniejącymi nazwami.
W tej taksonomii zdarzenie pogodowe lub nazwa rodziny reprezentuje jedną z powyższych kategorii. W przypadku podmiotów narodowo-państwowych przypisaliśmy nazwę rodziny do kraju/regionu pochodzenia powiązanego z uznaniem autorstwa. Na przykład Tajfun wskazuje pochodzenie lub przypisanie do Chin. W przypadku innych aktorów nazwisko stanowi motywację. Na przykład Tempest wskazuje podmioty motywowane finansowo.
Podmioty zagrożeń w tej samej rodzinie pogodowej otrzymują przymiotnik do rozróżniania grup aktorów z odrębnymi taktykami, technikami i procedurami (TTP), infrastrukturą, celami lub innymi zidentyfikowanymi wzorcami. W przypadku grup w programowaniu używamy tymczasowego oznaczenia Storm i czterocyfrowego numeru, w którym istnieje nowo odnaleziony, nieznany, pojawiający się lub rozwijający klaster aktywności zagrożeń.
W poniższej tabeli pokazano, jak nazwy rodzin są mapowane na podmioty zagrożeń, które śledzimy.
| Kategoria Aktora zagrożeń | Wpisać | Nazwisko |
|---|---|---|
| Państwo narodowe | Chiny Iran Liban Korea Północna Rosja Korea Południowa Turcja Wietnam |
Tajfun Burza piaskowa Deszcz Deszcz ze śniegiem Zamieć Grad Kurz Cyklon |
| Motywowane finansowo | Motywowane finansowo | Burza |
| Podmioty ofensywne sektora prywatnego | Psoas | Tsunami |
| Operacje wpływu | Operacje wpływu | Powódź |
| Grupy w programie | Grupy w programie | Burza |
W poniższej tabeli wymieniono publicznie ujawnione nazwy aktorów zagrożeń z kategorią źródła lub aktora zagrożeń, wcześniejszymi nazwami i odpowiednimi nazwami używanymi przez innych dostawców zabezpieczeń, jeśli są dostępne. Ta strona zostanie zaktualizowana w miarę udostępniania dodatkowych informacji o nazwach innych dostawców.
| Nazwa aktora zagrożeń | Kategoria Aktor pochodzenia/zagrożenia | Inne nazwy |
|---|---|---|
| Deszcz ametystu | Liban | Nietrwały cedr |
| Antyczny tajfun | Chiny | Storm-0558 |
| Aqua Blizzard | Rosja | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Niebieskie tsunami | Izrael, aktor ofensywny sektora prywatnego | |
| Tajfun z mosiądzu | Chiny | BARIUM, APT41 |
| Brokat Tajfun | Chiny | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Burgundowa burza piaskowa | Iran | Cadelle, Chafer |
| Kadet Blizzard | Rosja | DEV-0586 |
| Kanaryjski tajfun | Chiny | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Cyklon kanwy | Wietnam | BISMUTH, OceanLotus, APT32 |
| Karmelowe tsunami | Izrael, aktor ofensywny sektora prywatnego | DEV-0236 |
| Carmine Tsunami | Aktor ofensywny sektora prywatnego | |
| Tajfun węglowy | Chiny | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| Tajfun w kratkę | Chiny | CHLOR, ATG50, APT19, TG-3551, DEEP PANDA, Czerwony Gargoyle |
| Cynamon tempest | Chiny, motywowane finansowo | DEV-0401 |
| Tajfun okręgu | Chiny | DEV-0322, APT6, APT27 |
| Citrine Sleet | Korea Północna | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Bawełniana burza piaskownicowa | Iran | NEPTUNIUM, Vice Leaker, Haywire Kitten |
| Crescent Tajfun | Chiny | CEZ |
| Karmazynowa burza piaskowa | Iran | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| Cuboid Sandstorm | Iran | DEV-0228 |
| Denim Tsunami | Austria, podmiot ofensywny sektora prywatnego | DEV-0291 |
| Diamond Sleet | Korea Północna | , Artemis, Labirynt Chollima, Łazarz |
| Szmaragdowy sleet | Korea Północna | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapur | PLATINUM, PARASITE, RUBYVINE, GINGERSNAP |
| Tajfun lnu | Chiny | Storm-0919, ETHEREAL PANDA |
| Forest Blizzard | Rosja | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Rosja | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Tajfun Gingham | Chiny | GADOLINIUM, TEMP. Peryskop, Lewiatan, JJDoor, APT40, Feverdream |
| Granitowy tajfun | Chiny | GAL |
| Szara burza piaskowa | Iran | DEV-0343 |
| Hazel Sandstorm | Iran | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Tajfun serca | Chiny | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Tajfun sześciokątny | Chiny | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| Houndstooth Tajfun | Chiny | HASSIUM, isoon, deepclif |
| Jade Sleet | Korea Północna | Storm-0954 |
| Koronkowa tempest | Motywowane finansowo | DEV-0950 |
| Burza piaskownic cytrynowa | Iran | RUBID |
| Leopard Tajfun | Chiny | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lilac Tajfun | Chiny | DEV-0234 |
| Liniowy tajfun | Chiny | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Motywowane finansowo | |
| Pył magenta | Turcja | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Rosja | |
| Burza piaskowa Mango | Iran | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros, MuddyWater |
| Marmurowy pył | Turcja | SILICON, Żółw morski, UNC1326 |
| Marigold Sandstorm | Iran | DEV-500 |
| Midnight Blizzard | Rosja | NOBELIUM, UNC2452, APT29, Przytulny Niedźwiedź |
| Miętowa burza piaskowa | Iran | PHOSPHORUS, Parastoo, Newscaster, APT35, Uroczy Kotek |
| Moonstone Sleet | Korea Północna | Storm-1789 |
| Tajfun morwy | Chiny | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Musztarda Tempest | Motywowane finansowo | DEV-0206 |
| Nocne tsunami | Izrael | DEV-0336 |
| NylonOwy tajfun | Chiny | NICKEL, Figlarny Smok, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Motywowane finansowo | 0ktapus, Rozproszony Pająk |
| Onyx Sleet | Korea Północna | PLUTONIUM, StoneFly, kampania Tdrop2, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opal Sleet | Korea Północna | OSMIUM, Planedown, Konni, APT43 |
| Brzoskwiniowa burza piaskowa | Iran | HOLMIUM, APT33, Elfin, WYRAFINOWANY KOTEK |
| Pearl Sleet | Korea Północna | LORENS |
| Periwinkle Tempest | Rosja | DEV-0193 |
| Phlox Tempest | Izrael, motywowany finansowo | DEV-0796 |
| Różowa burza piaskowa | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Pustynne Sokoły, Scimitar, Arid Viper | |
| Pistachio Tempest | Motywowane finansowo | DEV-0237 |
| Deszcz w kratę | Liban | POLON |
| Burza piaskownic dyniowa | Iran | DEV-0146 |
| Purpurowy tajfun | Chiny | POTAS, GOLEM, Evilgrab, AEON, LIVESAFE, Chches, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Malina Tajfun | Chiny | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Korea Północna | CER |
| Powódź Ruza | Rosja, Operacje wpływów | |
| Łosoś Tajfun | Chiny | SOD, APT4, MAVERICK PANDA |
| Słony tajfun | Chiny | GhostEmperor, FamousSparrow |
| Sangria Tempest | Ukraina, motywowana finansowo | ELBRUS |
| Sapphire Sleet | Korea Północna | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satynowa tajfun | Chiny | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Rosja | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Secret Blizzard | Rosja | KRYPTON, VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Powódź sefidu | Iran, Operacje wpływów | |
| Tajfun cieni | Chiny | DarkShadow, Oro0lxy |
| Jedwabny tajfun | Chiny | HAFNIUM, timmy |
| Burza piaskowa dymna | Iran | UNC1549 |
| Spandex Tempest | Motywowane finansowo | TA505 |
| Plamista burza piaskowa | NEODYMIUM, BlackOasis | |
| Gwiazda Blizzard | Rosja | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Motywowane finansowo | Skręcony pająk, UNC2198 |
| Storm-0230 | Grupa w programie | Conti Team 1, DEV-0230 |
| Storm-0247 | Chiny | ToddyCat, Websiic |
| Storm-0288 | Grupa w programie | FIN8 |
| Storm-0302 | Grupa w programie | Narwhal Spider, TA544 |
| Storm-0501 | Motywowane finansowo | DEV-0501 |
| Storm-0538 | Grupa w programie | FIN6 |
| Storm-0539 | Motywowane finansowo | |
| Storm-0569 | Motywowane finansowo | DEV-0569 |
| Storm-0671 | Grupa w programie | UNC2596, Tropicalscorpius |
| Storm-0940 | Chiny | |
| Storm-0978 | Rosja | RomCom, Underground Team |
| Storm-1101 | Grupa w programie | |
| Storm-1113 | Motywowane finansowo | |
| Storm-1152 | Motywowane finansowo | |
| Storm-1175 | Chiny, motywowane finansowo | |
| Storm-1194 | Grupa w programie | MONTI |
| Storm-1516 | Rosja, Operacje wpływów | |
| Storm-1567 | Motywowane finansowo | |
| Storm-1674 | Motywowane finansowo | |
| Storm-1679 | Operacje wpływu | |
| Storm-1811 | Motywowane finansowo | |
| Storm-1982 | Chiny | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Operacje wpływów | |
| Storm-2077 | Chiny | TAG-100 |
| Truskawka Tempest | Motywowane finansowo | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Wirowy tajfun | Chiny | TELLURIUM, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Tajfun | Chiny | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Powódź Taizi | Chiny, Operacje wpływów | Dragonbridge, Spamouflage |
| Tajfun tumbleweed | Chiny | THORIUM, Kras |
| Tajfun Twill | Chiny | TANTALUM, BRĄZOWY PREZYDENT, LuminousMoth, MUSTANG PANDA |
| Wanilia Tempest | Motywowane finansowo | DEV-0832, Vice Society |
| Aksamitna nawałnica | Motywowane finansowo | DEV-0504 |
| Fioletowy tajfun | Chiny | ZIRCONIUM, Chameleon, APT31, WebFans |
| Powódź Wołga | Rosja, Operacje wpływów | Storm-1841, Rybar |
| Volt Tajfun | Chiny | BRĄZOWA SYLWETKA, VANGUARD PANDA |
| Pszenica Tempest | Motywowane finansowo | ZŁOTO, Gatak |
| Tsunami w Wisterii | Indie, Aktor ofensywny sektora prywatnego | DEV-0605 |
| Zygzak grad | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Przeczytaj naszą zapowiedź dotyczącą tej taksonomii, aby uzyskać więcej informacji: https://aka.ms/threatactorsblog
Oddanie inteligencji w ręce specjalistów ds. bezpieczeństwa
Profile firmy Intel w Microsoft Defender Threat Intelligence zapewniają kluczowe informacje na temat podmiotów zagrożeń. Te szczegółowe informacje umożliwiają zespołom ds. zabezpieczeń uzyskanie kontekstu, którego potrzebują podczas przygotowywania się do zagrożeń i reagowania na nie.
Ponadto interfejs API Microsoft Defender Threat Intelligence Intel Profiles zapewnia obecnie najbardziej aktualną widoczność infrastruktury aktora zagrożeń w branży. Zaktualizowane informacje mają kluczowe znaczenie dla umożliwienia zespołom analizy zagrożeń i operacji zabezpieczeń (SecOps) usprawnienia zaawansowanych przepływów pracy związanych z wyszukiwaniem zagrożeń i analizą. Dowiedz się więcej o tym interfejsie API w dokumentacji: Używanie interfejsów API analizy zagrożeń w programie Microsoft Graph (wersja zapoznawcza).
Zasoby
Użyj następującego zapytania w Microsoft Defender XDR i innych produktach zabezpieczeń firmy Microsoft obsługujących język zapytań Kusto (KQL), aby uzyskać informacje o aktorze zagrożeń przy użyciu starej nazwy, nowej nazwy lub nazwy branżowej:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Dostępne są również następujące pliki zawierające kompleksowe mapowanie starych nazw aktorów zagrożeń z ich nowymi nazwami: