Como a Microsoft atribui nomes a atores de ameaças
A Microsoft utiliza uma taxonomia de nomenclatura para atores de ameaças alinhados com o tema das condições meteorológicas. Pretendemos trazer uma melhor clareza aos clientes e a outros investigadores de segurança com esta taxonomia. Oferecemos uma forma mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger-se melhor. Pretendemos também ajudar os investigadores de segurança, que já são confrontados com uma quantidade esmagadora de dados de informações sobre ameaças.
A Microsoft categoriza os atores de ameaças em cinco grupos-chave:
Atores do Estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado com a nação/Estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais nacionais continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.
Atores com motivações financeiras: campanhas/grupos cibernéticos dirigidos por uma organização/pessoa criminosa com motivações de ganhos financeiros e não estão associados a alta confiança a uma entidade comercial ou estatal conhecida. Esta categoria inclui operadores de ransomware, comprometimento de e-mail empresarial, phishing e outros grupos com motivações puramente financeiras ou extorsão.
Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais que são entidades legais conhecidas/legítimas, que criam e vendem armas cibernéticas a clientes que depois selecionam alvos e operam as armas cibernéticas. Estes instrumentos foram observados visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais em defesa dos direitos humanos.
Operações de influência: campanhas de informação comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por audiências-alvo para promover os interesses e objetivos de um grupo ou de uma nação.
Grupos em desenvolvimento: uma designação temporária atribuída a uma atividade de ameaças desconhecida, emergente ou em desenvolvimento. Esta designação permite que a Microsoft controle um grupo como um conjunto discreto de informações até que possamos alcançar uma confiança elevada sobre a origem ou identidade do ator por detrás da operação. Assim que os critérios forem cumpridos, um grupo em desenvolvimento é convertido num ator nomeado ou intercalado em nomes existentes.
Nesta taxonomia, um evento meteorológico ou nome de família representa uma das categorias acima. Para os atores do Estado-nação, atribuímos um nome de família a um país/região de origem ligado à atribuição. Por exemplo, Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivações financeiras.
Os atores de ameaças dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de ator com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, utilizamos uma designação temporária do Storm e um número de quatro dígitos onde existe um cluster de atividade de ameaças recentemente detetado, desconhecido, emergente ou em desenvolvimento.
A tabela seguinte mostra como os nomes de família mapeiam para os atores de ameaças que controlamos.
| Categoria de ator de ameaças | Tipo | Nome da família |
|---|---|---|
| Estado-nação | China Irão Líbano Coreia do Norte Rússia Coreia do Sul Turquia Vietnã |
Tufão Tempestade de areia Chuva Sleet Blizzard Granizo Pó Ciclone |
| Motivações financeiras | Motivações financeiras | Tempestade |
| Atores ofensivos do setor privado | PSOAs | Tsunami |
| Operações de influência | Operações de influência | Inundação |
| Grupos em desenvolvimento | Grupos em desenvolvimento | Tempestade |
A tabela seguinte lista os nomes de ator de ameaças divulgados publicamente com a respetiva categoria de origem ou ator de ameaças, nomes anteriores e nomes correspondentes utilizados por outros fornecedores de segurança, sempre que disponíveis. Esta página será atualizada à medida que estiverem disponíveis mais informações sobre os nomes de outros fornecedores.
| Nome do ator de ameaças | Categoria de ator de origem/ameaça | Outros nomes |
|---|---|---|
| Chuva Ametista | Líbano | Cedro Volátil |
| Tufão Antigo | China | Storm-0558 |
| Aqua Blizzard | Rússia | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Urso Primitivo |
| Tsunami Azul | Israel, ator ofensivo do sector privado | |
| Tufão de Latão | China | BARIUM, APT41 |
| Tufão de Brocado | China | BORON, UPS, Panda Gótico, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Tempestade de Areia da Borgonha | Irão | Cadelle, Chafer |
| Cadete Blizzard | Rússia | DEV-0586 |
| Tufão Canário | China | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Ciclone de Tela | Vietnã | BISMUTH, OceanLotus, APT32 |
| Tsunami de Caramelo | Israel, ator ofensivo do sector privado | DEV-0236 |
| Carmine Tsunami | Ator ofensivo do setor privado | |
| Tufão de carvão | China | CHROMIUM, ControlX, Panda Aquático, RedHotel, UNIVERSIDADE DE BRONZE |
| Tufões axadificados | China | CLORO, ATG50, APT19, TG-3551, PANDA PROFUNDO, Gargoíle Vermelho |
| Tempestade de Canela | China, com motivação financeira | DEV-0401 |
| Tufões circulares | China | DEV-0322, APT6, APT27 |
| Citrine Sleet | Coreia do Norte | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Tempestade de Areia de Algodão | Irão | NEPTUNIUM, Vice Leaker, Gatinho Haywire |
| Tufão Crescente | China | CESIUM |
| Tempestade de Areia Carmesim | Irão | CURIUM, Shell de Tartaruga, HOUSEBLEND, TA456 |
| Tempestade de Areia Cuboid | Irão | DEV-0228 |
| Tsunami de Ganga | Áustria, ator ofensivo do sector privado | DEV-0291 |
| Sleet de Diamante | Coreia do Norte | ZINC, Artemis Negro, Labirinto Chollima, Lázaro |
| Sleet Esmeralda | Coreia do Norte | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Cingapura | PLATINA, PARASITA, RUBYVINE, GINGERSNAP |
| Tufão de Linho | China | Storm-0919, ETHEREAL PANDA |
| Forest Blizzard | Rússia | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Rússia | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Tufão de Gingham | China | GADOLINIUM, TEMP. Periscópio, Leviathan, JJDoor, APT40, Feverdream |
| Tufão de Granito | China | GÁLIO |
| Tempestade de Areia Cinzenta | Irão | DEV-0343 |
| Tempestade de Areia de Hazel | Irão | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Tufões cardíacos | China | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Tufão de Hexágono | China | HIDROGÉNIO, Equipa de Cálculo, Anubis Vermelho, APT12, DNS-Calc, HORDE, PANDA NUMERADO |
| Tufão Houndstooth | China | HASSIUM, isoon, deepclif |
| Jade Sleet | Coreia do Norte | Tempestade-0954 |
| Tempestade de Renda | Motivações financeiras | DEV-0950 |
| Tempestade de Limão | Irão | RUBIDIUM |
| Tufão leopardo | China | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Tufão Lilás | China | DEV-0234 |
| Tufão de Linha | China | IODINE, Red Phoenix, Hipopótamo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Motivações financeiras | |
| Pó de Magenta | Türkiye | PROMETHIUM, StrongPity, SmallPity |
| Tempestade de Manatee | Rússia | |
| Tempestade de Areia de Mango | Irão | MERCURY, Seed Worm, GATINHO ESTÁTICO, TEMP. Zagros, MuddyWater |
| Pó em Mármore | Türkiye | SILICON, Tartaruga Marinha, UNC1326 |
| Marigold Sandstorm | Irão | DEV-500 |
| Tempestade da Meia-Noite | Rússia | NOBELIUM, UNC2452, APT29, Urso Aconchegante |
| Tempestade de Areia de Menta | Irão | PHOSPHORUS, Parastoo, Newscaster, APT35, Charming Kitten |
| Granizo de Pedra Lunar | Coreia do Norte | Tempestade-1789 |
| Tufão de Amoras | China | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Tempestade de Mostarda | Motivações financeiras | DEV-0206 |
| Tsunami Noturno | Israel | DEV-0336 |
| Tufão de Nylon | China | NICKEL, Playful Dragon, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Motivações financeiras | 0ktapus, Aranha Dispersa |
| Onyx Sleet | Coreia do Norte | PLUTONIUM, StoneFly, campanha Tdrop2, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opal Sleet | Coreia do Norte | OSMIUM, Planedown, Konni, APT43 |
| Tempestade de Areia de Pêssego | Irão | HOLMIUM, APT33, Elfin, GATINHO REFINADO |
| Pearl Sleet | Coreia do Norte | LAWRENCIUM |
| Tempestade Periwinkle | Rússia | DEV-0193 |
| Tempestade Phlox | Israel, com motivação financeira | DEV-0796 |
| Tempestade de Areia Cor de Rosa | Irão | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Falcões do Deserto, Scimitar, Árido Víbora | |
| Tempestade de Pistácio | Motivações financeiras | DEV-0237 |
| Chuva Xadrez | Líbano | POLONIUM |
| Tempestade de Areia de Abóbora | Irão | DEV-0146 |
| Tufão Púrpura | China | POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Tufão de Framboesa | China | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Coreia do Norte | CERIUM |
| Inundação de Ruza | Rússia, Operações de influência | |
| Tufão de Salmão | China | SÓDIO, APT4, MAVERICK PANDA |
| Tufão de Sal | China | GhostEmperor, FamousSparrow |
| Sangria Tempest | Ucrânia, Com motivação financeira | ELBRUS |
| Safira Sleet | Coreia do Norte | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Tufão de Cetim | China | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Rússia | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Blizzard Secreta | Rússia | KRYPTON, URSO VENENOSO, Uroburos, Cobra, Python Azul, Turla, WRAITH, ATG26 |
| Inundação de Sefid | Irão, Operações de influência | |
| Tufão Sombra | China | DarkShadow, Oro0lxy |
| Tufão de Seda | China | HAFNIUM, timmy |
| Tempestade de Areia de Fumo | Irão | UNC1549 |
| Spandex Tempest | Motivações financeiras | TA505 |
| Tempestade de Areia Manchada | NEODYMIUM, BlackOasis | |
| Estrela Blizzard | Rússia | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Motivações financeiras | Aranha Torcida, UNC2198 |
| Storm-0230 | Grupo em desenvolvimento | Conti Team 1, DEV-0230 |
| Storm-0247 | China | ToddyCat, Websiic |
| Storm-0288 | Grupo em desenvolvimento | FIN8 |
| Storm-0302 | Grupo em desenvolvimento | Narwhal Spider, TA544 |
| Storm-0501 | Motivações financeiras | DEV-0501 |
| Storm-0538 | Grupo em desenvolvimento | FIN6 |
| Storm-0539 | Motivações financeiras | |
| Storm-0569 | Motivações financeiras | DEV-0569 |
| Storm-0671 | Grupo em desenvolvimento | UNC2596, Tropicalscorpius |
| Storm-0940 | China | |
| Storm-0978 | Rússia | RomCom, Equipa Subterrânea |
| Storm-1101 | Grupo em desenvolvimento | |
| Tempestade-1113 | Motivações financeiras | |
| Tempestade-1152 | Motivações financeiras | |
| Tempestade-1175 | China, com motivação financeira | |
| Tempestade-1194 | Grupo em desenvolvimento | MONTI |
| Tempestade-1516 | Rússia, Operações de influência | |
| Tempestade-1567 | Motivações financeiras | |
| Tempestade-1674 | Motivações financeiras | |
| Tempestade-1679 | Operações de influência | |
| Tempestade-1811 | Motivações financeiras | |
| Tempestade-1982 | China | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Irão, Operações de influência | |
| Storm-2077 | China | TAG-100 |
| Tempestade de Morango | Motivações financeiras | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Turbilhão de Redemoinho | China | TELLURIUM, Tick, Mordomo de Bronze, REDBALDKNIGHT |
| Taffeta Tufão | China | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Inundação de Taizi | China, Operações de influência | Dragonbridge, Spamouflage |
| Tufão Tumbleweed | China | THORIUM, Karst |
| Twill Tufão | China | TANTALUM, PRESIDENTE DO BRONZE, LuminousMoth, MUSTANG PANDA |
| Tempestade de baunilha | Motivações financeiras | DEV-0832, Vice Society |
| Tempestade de Veludo | Motivações financeiras | DEV-0504 |
| Tufão Violet | China | ZIRCONIUM, Chameleon, APT31, WebFans |
| Inundação de Volga | Rússia, Operações de influência | Storm-1841, Rybar |
| Tufão Volt | China | SILHUETA DE BRONZE, VANGUARD PANDA |
| Tempestade de Trigo | Motivações financeiras | GOLD, Gatak |
| Wisteria Tsunami | Índia, ator ofensivo do setor privado | DEV-0605 |
| Granizo ziguezague | República da Coreia | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Leia o nosso anúncio sobre esta taxonomia para obter mais informações: https://aka.ms/threatactorsblog
Colocar inteligência nas mãos de profissionais de segurança
Os perfis da Intel no Informações sobre Ameaças do Microsoft Defender trazem informações cruciais sobre os atores de ameaças. Estas informações permitem que as equipas de segurança obtenham o contexto de que precisam à medida que se preparam e respondem a ameaças.
Além disso, a API Informações sobre Ameaças do Microsoft Defender Intel Profiles fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada no setor atualmente. As informações atualizadas são cruciais para permitir que as equipas de operações de segurança e informações sobre ameaças (SecOps) simplifiquem os fluxos de trabalho avançados de investigação e análise de ameaças. Saiba mais sobre esta API na documentação: Utilizar as APIs de informações sobre ameaças no Microsoft Graph (pré-visualização).
Recursos
Utilize a seguinte consulta em Microsoft Defender XDR e outros produtos de segurança da Microsoft que suportem a linguagem de consulta Kusto (KQL) para obter informações sobre um ator de ameaças com o nome antigo, novo nome ou nome da indústria:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Os seguintes ficheiros que contêm o mapeamento abrangente de nomes de ator de ameaças antigos com os respetivos novos nomes também estão disponíveis: