Så namnger Microsoft hotaktörer
Microsoft använder en namngivningstaxonomi för hotaktörer som är anpassade till vädertemat. Vi har för avsikt att ge bättre klarhet till kunder och andra säkerhetsforskare med denna taxonomi. Vi erbjuder ett mer organiserat, välformulerat och enkelt sätt att referera till hotaktörer så att organisationer bättre kan prioritera och skydda sig själva. Vi strävar också efter att hjälpa säkerhetsforskare, som redan konfronteras med en överväldigande mängd hotinformationsdata.
Microsoft kategoriserar hotaktörer i fem nyckelgrupper:
Nationalstatsaktörer: cyberoperatörer som agerar på uppdrag av eller styrs av ett nationellt/statsjusterat program, oavsett om det gäller spionage, ekonomisk vinning eller vedergällning. Microsoft observerade att de flesta nationalstatsaktörer fortsätter att fokusera åtgärder och attacker på myndigheter, mellanstatliga organisationer, icke-statliga organisationer och tankesmedjor för traditionella spionage- eller övervakningsmål.
Ekonomiskt motiverade aktörer: cyberkampanjer/grupper som styrs av en kriminell organisation/person med motivation för ekonomisk vinning och är inte associerade med högt förtroende för en känd icke-nationalstat eller kommersiell enhet. I den här kategorin ingår utpressningstrojanoperatörer, komprometterande av e-post för företag, nätfiske och andra grupper med rent ekonomiska motiv eller utpressningsmotiveringar.
Privata offensiva aktörer (PSOA): cyberaktivitet som leds av kommersiella aktörer som är kända/legitima juridiska enheter, som skapar och säljer cybervapen till kunder som sedan väljer mål och driver cybervapen. Dessa verktyg observerades rikta in sig på och övervaka dissidenter, människorättsförsvarare, journalister, förespråkare för det civila samhället och andra privatpersoner, vilket hotade många globala insatser för mänskliga rättigheter.
Påverkansåtgärder: Informationskampanjer som kommuniceras online eller offline på ett manipulativt sätt för att ändra uppfattningar, beteenden eller beslut av målgrupper för att främja en grupps eller en nations intressen och mål.
Grupper under utveckling: en tillfällig beteckning som ges till en okänd, framväxande eller utvecklande hotaktivitet. Med den här beteckningen kan Microsoft spåra en grupp som en diskret uppsättning information tills vi kan nå hög konfidens om ursprunget eller identiteten för aktören bakom åtgärden. När kriterierna har uppfyllts konverteras en grupp under utveckling till en namngiven aktör eller sammanfogas till befintliga namn.
I den här taxonomi representerar en väderhändelse eller ett familjenamn någon av kategorierna ovan. För nationalstatsaktörer tilldelade vi ett familjenamn till ett land/ursprungsregion som är knutet till attribution. Till exempel anger Typhoon ursprung eller attribution till Kina. För andra skådespelare representerar familjenamnet en motivation. Tempest indikerar till exempel ekonomiskt motiverade aktörer.
Hotaktörer inom samma väderfamilj får ett adjektiv för att särskilja aktörsgrupper med distinkta taktiker, tekniker och procedurer (TTP: er), infrastruktur, mål eller andra identifierade mönster. För grupper under utveckling använder vi en tillfällig beteckning för Storm och ett fyrsiffrigt nummer där det finns ett nyligen identifierat, okänt, framväxande eller utvecklande kluster av hotaktivitet.
Följande tabell visar hur familjenamnen mappas till de hotaktörer som vi spårar.
| Kategori för hotskådespelare | Typ | Efternamn |
|---|---|---|
| Nationalstaten | Kina Iran Libanon Nordkorea Ryssland Sydkorea Turkiet Vietnam |
Tyfon Sandstorm Regn Snöblandat regn Snöstorm Hagel Damm Cyklon |
| Ekonomiskt motiverad | Ekonomiskt motiverad | Storm |
| Den privata sektorns offensiva aktörer | PSOA:er | Tsunami |
| Påverka åtgärder | Påverka åtgärder | Översvämning |
| Grupper under utveckling | Grupper under utveckling | Storm |
I följande tabell visas offentligt avslöjade namn på hotskådespelare med deras kategori för ursprung eller hotskådespelare, tidigare namn och motsvarande namn som används av andra säkerhetsleverantörer där det är tillgängligt. Den här sidan uppdateras när mer information om andra leverantörers namn blir tillgängliga.
| Namn på hotskådespelare | Kategori för ursprung/hotskådespelare | Andra namn |
|---|---|---|
| Ametist rain | Libanon | Flyktig ceder |
| Antik tyfon | Kina | Storm-0558 |
| Aqua Blizzard | Ryssland | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Blå tsunami | Israel, Privat sektoroffensiv aktör | |
| Tyfon i mässing | Kina | BARIUM, APT41 |
| Brocade Typhoon | Kina | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Bourgogne Sandstorm | Iran | Cadelle, Chafer |
| Cadet Blizzard | Ryssland | DEV-0586 |
| Canary Typhoon | Kina | KRETS PANDA, APT24, Palmerworm, BlackTech |
| Arbetsytecyklon | Vietnam | BISMUTH, OceanLotus, APT32 |
| Karamell tsunami | Israel, Privat sektoroffensiv aktör | DEV-0236 |
| Carmine Tsunami | Den privata sektorns offensiva aktör | |
| Kol tyfon | Kina | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| Rutig tyfon | Kina | KLOR, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Kanel tempest | Kina, ekonomiskt motiverat | DEV-0401 |
| Ring tyfon | Kina | DEV-0322, APT6, APT27 |
| Citrine Sleet | Nordkorea | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Sandstorm i bomull | Iran | NEPTUNIUM, Vice Leaker, Haywire Kitten |
| Halvmåne tyfon | Kina | CESIUM |
| Crimson Sandstorm | Iran | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| Cuboid Sandstorm | Iran | DEV-0228 |
| Denim Tsunami | Österrike, Privat sektoroffensiv aktör | DEV-0291 |
| Romb-sleet | Nordkorea | ZINK, Black Artemis, Labyrinth Chollima, Lazarus |
| Smaragdsleet | Nordkorea | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapore | PLATINUM, PARASITE, RUBYVINE, GINGERSNAP |
| Lin typhoon | Kina | Storm-0919, ETHEREAL PANDA |
| Snöstorm i skogen | Ryssland | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Ryssland | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Gingham Typhoon | Kina | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Tyfon i granit | Kina | GALLIUM |
| Grå sandstorm | Iran | DEV-0343 |
| Hassel sandstorm | Iran | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Hjärt tyfon | Kina | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Sexhörning – tyfon | Kina | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| Houndstooth Typhoon | Kina | HASSIUM, isoon, deepclif |
| Jade Sleet | Nordkorea | Storm-0954 |
| Spets tempest | Ekonomiskt motiverad | DEV-0950 |
| Citronsandstorm | Iran | RUBIDIUM |
| Leopard Typhoon | Kina | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lila tyfon | Kina | DEV-0234 |
| Linne tyfon | Kina | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Ekonomiskt motiverad | |
| Magenta Damm | Turkiet | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Ryssland | |
| Mango Sandstorm | Iran | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros, MuddyWater |
| Marmorerat damm | Turkiet | KISEL, Havssköldpadda, UNC1326 |
| Marigold Sandstorm | Iran | DEV-500 |
| Midnatt Blizzard | Ryssland | NOBELIUM, UNC2452, APT29, Mysig björn |
| Mint Sandstorm | Iran | PHOSPHORUS, Parastoo, Newscaster, APT35, Charming Kitten |
| Moonstone Sleet | Nordkorea | Storm-1789 |
| Mulberry Typhoon | Kina | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Senaps tempest | Ekonomiskt motiverad | DEV-0206 |
| Natt tsunami | Israel | DEV-0336 |
| Nylon Typhoon | Kina | NICKEL, Lekfull drake, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Ekonomiskt motiverad | 0ktapus, spridda spindel |
| Onyx Sleet | Nordkorea | PLUTONIUM, StoneFly, Tdrop2 campaign, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opal Sleet | Nordkorea | OSMIUM, Planedown, Konni, APT43 |
| Persika sandstorm | Iran | HOLMIUM, APT33, Elfin, REFINED KITTEN |
| Pärlsleet | Nordkorea | LAWRENCIUM |
| Periwinkle Tempest | Ryssland | DEV-0193 |
| Phlox Tempest | Israel, ekonomiskt motiverat | DEV-0796 |
| Rosa sandstorm | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, Desert Falcons, Scimitar, Arid Viper | |
| Pistaschmandlar | Ekonomiskt motiverad | DEV-0237 |
| Plädregn | Libanon | POLONIUM |
| Pumpa sandstorm | Iran | DEV-0146 |
| Lila tyfon | Kina | KALIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Hallon typhoon | Kina | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | Nordkorea | CERIUM |
| Ruza Flood | Ryssland, Påverkansoperationer | |
| Lax tyfon | Kina | NATRIUM, APT4, MAVERICK PANDA |
| Salt Typhoon | Kina | GhostEmperor, FamousSparrow |
| Sangria Tempest | Ukraina, ekonomiskt motiverat | ELBRUS |
| Sapphire Sleet | Nordkorea | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satin Typhoon | Kina | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Snäckskal Blizzard | Ryssland | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Hemlig Blizzard | Ryssland | KRYPTON, VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid Flood | Iran, Påverkansoperationer | |
| Skuggtyfon | Kina | DarkShadow, Oro0lxy |
| Silke typhoon | Kina | HAFNIUM, timmy |
| Rök sandstorm | Iran | UNC1549 |
| Spandex Tempest | Ekonomiskt motiverad | TA505 |
| Fläckig sandstorm | NEODYMIUM, BlackOasis | |
| Stjärna Blizzard | Ryssland | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Ekonomiskt motiverad | Vriden spindel, UNC2198 |
| Storm-0230 | Grupp under utveckling | Conti Team 1, DEV-0230 |
| Storm-0247 | Kina | ToddyCat, Websiic |
| Storm-0288 | Grupp under utveckling | FIN8 |
| Storm-0302 | Grupp under utveckling | Narwhal Spider, TA544 |
| Storm-0501 | Ekonomiskt motiverad | DEV-0501 |
| Storm-0538 | Grupp under utveckling | FIN6 |
| Storm-0539 | Ekonomiskt motiverad | |
| Storm-0569 | Ekonomiskt motiverad | DEV-0569 |
| Storm-0671 | Grupp under utveckling | UNC2596, Tropicalscorpius |
| Storm-0940 | Kina | |
| Storm-0978 | Ryssland | RomCom, underjordiskt team |
| Storm-1101 | Grupp under utveckling | |
| Storm-1113 | Ekonomiskt motiverad | |
| Storm-1152 | Ekonomiskt motiverad | |
| Storm-1175 | Kina, ekonomiskt motiverat | |
| Storm-1194 | Grupp under utveckling | MONTI |
| Storm-1516 | Ryssland, Påverkansoperationer | |
| Storm-1567 | Ekonomiskt motiverad | |
| Storm-1674 | Ekonomiskt motiverad | |
| Storm-1679 | Påverka åtgärder | |
| Storm-1811 | Ekonomiskt motiverad | |
| Storm-1982 | Kina | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Påverkansoperationer | |
| Storm-2077 | Kina | TAG-100 |
| Jordgubbstempest | Ekonomiskt motiverad | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Virveltyfon | Kina | TELLURIUM, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Typhoon | Kina | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi Flood | Kina, Påverkansverksamhet | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | Kina | THORIUM, Karst |
| Twill Typhoon | Kina | TANTALUM, BRONZE PRESIDENT, LuminousMoth, MUSTANG PANDA |
| Vanilj tempest | Ekonomiskt motiverad | DEV-0832, Vice Society |
| Velvet Tempest | Ekonomiskt motiverad | DEV-0504 |
| Violett tyfon | Kina | ZIRCONIUM, Chameleon, APT31, WebFans |
| Volga Flood | Ryssland, Påverkansoperationer | Storm-1841, Rybar |
| Volt Typhoon | Kina | BRONS SILHUETT, VANGUARD PANDA |
| Vete tempest | Ekonomiskt motiverad | GULD, Gatak |
| Wisteria Tsunami | Indien, Privat sektoroffensiv skådespelare | DEV-0605 |
| Sicksack hagel | Korea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Läs vårt meddelande om den här taxonomi för mer information: https://aka.ms/threatactorsblog
Lägga underrättelser i händerna på säkerhetspersonal
Intel-profiler i Microsoft Defender Hotinformation ge viktiga insikter om hotaktörer. Dessa insikter gör det möjligt för säkerhetsteam att få den kontext de behöver när de förbereder sig för och svarar på hot.
Dessutom ger api:et för Microsoft Defender Hotinformation Intel-profiler den mest aktuella synligheten för hotskådespelarens infrastruktur i branschen idag. Uppdaterad information är avgörande för att göra det möjligt för SecOps-team (Threat Intelligence and Security Operations) att effektivisera sina avancerade arbetsflöden för jakt och analys av hot. Läs mer om det här API:et i dokumentationen: Använd API:er för hotinformation i Microsoft Graph (förhandsversion).
Resurser
Använd följande fråga på Microsoft Defender XDR och andra Microsoft-säkerhetsprodukter som stöder Kusto-frågespråket (KQL) för att hämta information om en hotskådespelare med det gamla namnet, det nya namnet eller branschnamnet:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Följande filer som innehåller omfattande mappning av namn på gamla hotskådespelare med deras nya namn är också tillgängliga: