Как Майкрософт называет субъектов угроз
Корпорация Майкрософт использует таксономию именования для субъектов угроз в соответствии с темой погоды. Мы намерены повысить ясность для клиентов и других исследователей безопасности с помощью этой таксономии. Мы предлагаем более организованный, понятный и простой способ сослаться на субъектов угроз, чтобы организации могли лучше определять приоритеты и защищать себя. Мы также стремимся помочь исследователям в области безопасности, которые уже сталкиваются с огромным объемом данных аналитики угроз.
Корпорация Майкрософт классифицирует субъектов угроз на пять ключевых групп:
Субъекты национальных государств: кибер-операторы, действующие от имени или под руководством программы, согласованной с нацией или государством, независимо от того, за шпионаж, финансовую выгоду или возмездие. Корпорация Майкрософт отметила, что большинство государственных субъектов по-прежнему сосредоточены на операциях и нападениях на правительственные учреждения, неправительственные организации, неправительственные организации и аналитические центры для традиционных целей шпионажа или слежки.
Финансово мотивированные субъекты: кибер-кампании/группы, направленные преступной организацией/лицом с мотивацией финансовой выгоды и не связаны с высоким доверием к известному ненационалическому государству или коммерческой организации. К этой категории относятся операторы программ-шантажистов, компрометация электронной почты для бизнеса, фишинг и другие группы с чисто финансовыми или вымогательствами.
Наступательные субъекты частного сектора (PSOAs): кибер-деятельность во главе с коммерческими субъектами, которые являются известными/законными юридическими лицами, которые создают и продают кибероружие клиентам, которые затем выбирают цели и управляют кибероружием. Эти инструменты были замечены в ориентации и наблюдения за диссидентами, правозащитниками, журналистами, гражданскими активистами и другими частными гражданами, что угрожало многим глобальным усилиям в области прав человека.
Операции влияния: информационные кампании, сообщаемые в интернете или в автономном режиме манипулятивным образом, чтобы изменить восприятие, поведение или решения целевой аудитории в интересах группы или нации.
Группы в разработке: временное обозначение, присвоенное неизвестной, формирующейся или развивающейся деятельности по угрозам. Это обозначение позволяет корпорации Майкрософт отслеживать группу в виде дискретного набора сведений, пока мы не сможем достичь высокой уверенности в происхождении или личности субъекта, стоящих за операцией. После выполнения условий группа в разработке преобразуется в именованный субъект или объединяется с существующими именами.
В этой таксономии событие погоды или имя семьи представляет одну из указанных выше категорий. Для субъектов национального государства мы назначили имя семьи стране или региону происхождения, связанному с присвоением. Например, Тайфун указывает на происхождение или присвоение Китаю. Для других субъектов фамилия представляет собой мотивацию. Например, Tempest указывает на финансово мотивированных субъектов.
Субъекты угроз в одной и той же погодной семье получают прилагательное, чтобы различать группы субъектов с различными тактиками, методами и процедурами (ТПП), инфраструктурой, целями или другими выявленными шаблонами. Для групп в разработке мы используем временное обозначение Storm и четырехзначное число, где есть недавно обнаруженный, неизвестный, возникающий или развивающийся кластер активности угроз.
В следующей таблице показано, как имена семейств сопоставляются с отслеживающимися субъектами угроз.
| Категория субъекта угроз | Тип | Фамилия |
|---|---|---|
| Национальное государство | Китай Иран Ливан Северная Корея Россия Южная Корея Турция Вьетнам |
Тайфун Самум Дождь Крупа Буран Град Пыль Циклон |
| Финансово мотивированные | Финансово мотивированные | Буря |
| Частный сектор наступательных субъектов | Поясничная мышца | Цунами |
| Операции влияния | Операции влияния | Наводнение |
| Группы в разработке | Группы в разработке | Буря |
В следующей таблице перечислены общедоступные имена субъектов угроз с их происхождением или категорией субъекта угрозы, предыдущими именами и соответствующими именами, используемыми другими поставщиками безопасности, если это возможно. Эта страница будет обновлена по мере получения дополнительных сведений об именах других поставщиков.
| Имя субъекта угрозы | Категория "Источник/субъект угроз" | Другие имена |
|---|---|---|
| Дождь аметиста | Ливан | Летучий кедр |
| Античный тайфун | Китай | Storm-0558 |
| Aqua Blizzard | Россия | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Синее цунами | Израиль, частный сектор оскорбительного субъекта | |
| Тайфун латуни | Китай | BARIUM, APT41 |
| Парчовый тайфун | Китай | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Бургундский песчаный шторм | Иран | Кадель, Чафер |
| Кадет Метель | Россия | DEV-0586 |
| Канарский тайфун | Китай | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Циклон холста | Вьетнам | BISMUTH, OceanLotus, APT32 |
| Карамель цунами | Израиль, частный сектор оскорбительного субъекта | DEV-0236 |
| Кармин цунами | Субъект оскорбительного действия частного сектора | |
| Тайфун угля | Китай | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| Шашки тайфун | Китай | ХЛОР, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Буря корицы | Китай, финансово мотивированный | DEV-0401 |
| Тайфун круга | Китай | DEV-0322, APT6, APT27 |
| Цитрин sleet | Северная Корея | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Хлопковая песчаная буря | Иран | NEPTUNIUM, Vice Leaker, Haywire Kitten |
| Полумесяц тайфун | Китай | ЦЕЗИЙ |
| Малиновая песчаная буря | Иран | CURIUM, Черепаха Оболочка, HOUSEBLEND, TA456 |
| Кубоидная песчаная буря | Иран | DEV-0228 |
| Деним цунами | Австрия, частный сектор оскорбительного субъекта | DEV-0291 |
| Алмазный мокет | Северная Корея | ZINC, Черная Артемида, Лабиринт Халлима, Лазарь |
| Изумрудный молек | Северная Корея | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Сингапур | ПЛАТИНА, ПАРАЗИТ, RUBYVINE, ИМБИРЬНАП |
| Флакс Тайфун | Китай | Storm-0919, ETHEREAL PANDA |
| Лесная метель | Россия | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Царская команда, CrisisFour, HELLFIRE, APT28 |
| Призрак Метели | Россия | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Тайфун Гингем | Китай | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Гранит тайфун | Китай | ГАЛЛИЙ |
| Серая песчаная буря | Иран | DEV-0343 |
| Хейзел Санд буря | Иран | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Тайфун сердца | Китай | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Тайфун "Гексагон" | Китай | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| Тайфун Houndstooth | Китай | HASSIUM, isoon, deepclif |
| Нефритовый морит | Северная Корея | Storm-0954 |
| Кружева Буря | Финансово мотивированные | DEV-0950 |
| Лимонная песчаная буря | Иран | РУБИДИЙ |
| Леопардовый тайфун | Китай | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Тайфун сирени | Китай | DEV-0234 |
| Лен тайфун | Китай | ЙОД, Красный Феникс, Бегемот, Лаки Мышь, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Луна Буря | Финансово мотивированные | |
| Пурпурная пыль | Турция | PROMETHIUM, StrongPity, SmallPity |
| Манатли Буря | Россия | |
| Манго Санд буря | Иран | MERCURY, SeedWorm, STATIC КОТЕНОК, TEMP. Zagros, MuddyWater |
| Мраморная пыль | Турция | СИЛИКОН, морская черепаха, UNC1326 |
| Бархатцы Песчаная буря | Иран | DEV-500 |
| Полночь Пурга | Россия | NOBELIUM, UNC2452, APT29, Cozy Bear |
| Мята Песчаная буря | Иран | ФОСФОР, Парасту, Newscaster, APT35, Очаровательный котенок |
| Лунный слеец | Северная Корея | Шторм-1789 |
| Тайфун «Малберри» | Китай | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Горчица Буря | Финансово мотивированные | DEV-0206 |
| Ночное цунами | Израиль | DEV-0336 |
| Тайфун "Нейлон" | Китай | NICKEL, Игривый дракон, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Окто Темпест | Финансово мотивированные | 0ktapus, разбросанный паук |
| Onyx Sleet | Северная Корея | PLUTONIUM, StoneFly, Tdrop2 campaign, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Мокет opal | Северная Корея | OSMIUM, Planedown, Konni, APT43 |
| Песчаная буря | Иран | HOLMIUM, APT33, Elfin, REFINED КОТЕНОК |
| Жемчужный молек | Северная Корея | ЛОУРЕНСИЙ |
| Буря перивинка | Россия | DEV-0193 |
| Флокс Tempest | Израиль, финансово мотивированный | DEV-0796 |
| Розовая песчаная буря | Иран | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Молния pinstripe | NIOBIUM, Пустынные соколы, Scimitar, Arid Viper | |
| Фисташковая буря | Финансово мотивированные | DEV-0237 |
| Клетчатый дождь | Ливан | ПОЛОНИЙ |
| Тыквенный песочница | Иран | DEV-0146 |
| Фиолетовый тайфун | Китай | КАЛИЙ, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Малина Тайфун | Китай | RADIUM, LotusBlossom, APT30 |
| Рубин sleet | Северная Корея | ЦЕРИЙ |
| Рузского наводнения | Россия, операции влияния | |
| Тайфун лосося | Китай | НАТРИЙ, APT4, МАВЕРИК ПАНДА |
| Соляной тайфун | Китай | GhostEmperor, FamousSparrow |
| Сангрия Буря | Украина, финансово мотивированная | ЭЛЬБРУС |
| Sapphire Sleet | Северная Корея | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Атласный тайфун | Китай | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Россия | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, Black Эхидна Lite, APT44 |
| СекретНая метель | Россия | КРИПТОН, ЯДОВИТЫЙ МЕДВЕДЬ, Уробурос, Змея, Синий Python, Турла, WRAITH, ATG26 |
| Sefid Flood | Иран, операции влияния | |
| Теневой тайфун | Китай | DarkShadow, Oro0lxy |
| Шелковый тайфун | Китай | HAFNIUM, timmy |
| Дым песчаная буря | Иран | UNC1549 |
| Spandex Tempest | Финансово мотивированные | TA505 |
| Пятнистая песчаная буря | NEODYMIUM, BlackOasis | |
| Звезда Пурга | Россия | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Финансово мотивированные | Витый паук, UNC2198 |
| Storm-0230 | Группа в разработке | Команда Conti 1, DEV-0230 |
| Storm-0247 | Китай | ToddyCat, Websiic |
| Шторм-0288 | Группа в разработке | FIN8 |
| Storm-0302 | Группа в разработке | Нарвал Паук, TA544 |
| Storm-0501 | Финансово мотивированные | DEV-0501 |
| Шторм-0538 | Группа в разработке | FIN6 |
| Storm-0539 | Финансово мотивированные | |
| Storm-0569 | Финансово мотивированные | DEV-0569 |
| Storm-0671 | Группа в разработке | UNC2596, Тропика |
| Шторм-0940 | Китай | |
| Шторм-0978 | Россия | RomCom, подпольная команда |
| Storm-1101 | Группа в разработке | |
| Storm-1113 | Финансово мотивированные | |
| Storm-1152 | Финансово мотивированные | |
| Шторм-1175 | Китай, финансово мотивированный | |
| Шторм-1194 | Группа в разработке | МОНТИ |
| Шторм-1516 | Россия, операции влияния | |
| Шторм-1567 | Финансово мотивированные | |
| Шторм-1674 | Финансово мотивированные | |
| Шторм-1679 | Операции влияния | |
| Шторм-1811 | Финансово мотивированные | |
| Шторм-1982 | Китай | SneakyCheff, UNK_SweetSpecter |
| Шторм-2035 | Иран, операции влияния | |
| Шторм-2077 | Китай | TAG-100 |
| Клубничная буря | Финансово мотивированные | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Тайфун Swirl | Китай | TELLURIUM, Tick, Bronze Butler, REDBALDKNIGHT |
| Тайфун Тафта | Китай | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Тайцзы Наводнение | Китай, влияние операций | Dragonbridge, Spamouflage |
| Тайфун Tumbleweed | Китай | ТОРИУМ, Карст |
| Тайфун Твилла | Китай | ТАНТАЛУМ, БРОНЗОВЫЙ ПРЕЗИДЕНТ, LuminousMoth, МУСТАНГ ПАНДА |
| Ванильная буря | Финансово мотивированные | DEV-0832, Vice Society |
| Бархатная буря | Финансово мотивированные | DEV-0504 |
| Тайфун виолетов | Китай | ZIRCONIUM, Chameleon, APT31, WebFans |
| Наводнение в Волге | Россия, операции влияния | Шторм-1841, Рыбар |
| Тайфун "Вольт" | Китай | БРОНЗОВЫЙ СИЛУЭТ, АВАНГАРД ПАНДА |
| Пшеничная буря | Финансово мотивированные | GOLD, Gatak |
| Цунами глицинии | Индия, частный сектор наступательный субъект | DEV-0605 |
| Зигзаг Град | Республика Корея | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Дополнительные сведения см. в нашем объявлении об этой таксономии: https://aka.ms/threatactorsblog
Сдача разведки в руки специалистов по безопасности
Профили Intel в Аналитика угроз Microsoft Defender позволяют получить важную информацию об субъектах угроз. Эти аналитические сведения позволяют группам безопасности получать необходимый контекст по мере подготовки к угрозам и реагирования на них.
Кроме того, API профилей Intel Аналитика угроз Microsoft Defender обеспечивает самую актуальную инфраструктуру субъектов угроз в отрасли на сегодняшний день. Обновленная информация имеет решающее значение для того, чтобы команды аналитики угроз и операций безопасности (SecOps) могли упростить свои расширенные рабочие процессы охоты и анализа угроз. Дополнительные сведения об этом API см. в документации по использованию API аналитики угроз в Microsoft Graph (предварительная версия).
Ресурсы
Используйте следующий запрос к Microsoft Defender XDR и другим продуктам безопасности Майкрософт, поддерживающим язык запросов Kusto (KQL), чтобы получить сведения об субъекте угроз, используя старое имя, новое имя или название отрасли:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Доступны также следующие файлы, содержащие комплексное сопоставление старых имен субъектов угроз с их новыми именами: