Microsoft如何命名威胁参与者
Microsoft使用与天气主题一致的威胁参与者的命名分类。 我们打算通过此分类为客户和其他安全研究人员带来更好的清晰度。 我们提供了一种更有条理、更清晰、更简单的方式来引用威胁参与者,以便组织能够更好地确定优先级并保护自己。 我们还致力于帮助安全研究人员,他们已经面对了大量威胁情报数据。
Microsoft将威胁参与者分为五个关键组:
民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。
出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,与对已知非国家或商业实体的高度信心无关。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。
私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和恐吓持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。
影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。
开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。
在此分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们为原产国/地区分配了一个与归属相关的姓氏。 例如,台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。
同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。
下表显示了姓氏如何映射到我们跟踪的威胁参与者。
威胁参与者类别 | 类型 | 姓 |
---|---|---|
民族国家 | 中国 伊朗 黎巴嫩 朝鲜 俄罗斯 韩国 土耳其 越南 |
台风 沙尘暴 雨 雨夹雪 暴风雪 冰雹 灰尘 气旋 |
出于财务动机 | 出于财务动机 | 暴风雨 |
私营部门攻击性行动者 | PSOA | 海啸 |
影响操作 | 影响操作 | 洪水 |
开发中的组 | 开发中的组 | 风暴 |
下表列出了公开披露的威胁参与者名称及其来源或威胁参与者类别、以前的名称,以及其他安全供应商使用的相应名称(如果有)。 当有关其他供应商名称的详细信息可用时,此页面将更新。
威胁参与者名称 | 源/威胁参与者类别 | 其他名称 |
---|---|---|
紫水晶雨 | 黎巴嫩 | 挥发雪松 |
古董台风 | 中国 | Storm-0558 |
水暴雪 | 俄罗斯 | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
蓝色海啸 | 以色列,私营部门的进攻参与者 | |
铜管台风 | 中国 | BARIUM,APT41 |
博科迪台风 | 中国 | BORON、UPS、哥特熊猫、APT3、OLDCARP、TG-0110、Red Sylvan、CYBRAN |
酒红色沙尘暴 | 伊朗 | 卡德尔,查费尔 |
学员暴雪 | 俄罗斯 | DEV-0586 |
金丝雀台风 | 中国 | 线路熊猫,APT24,帕尔默蠕虫,BlackTech |
画布旋风 | 越南 | BISMUTH、OceanLotus、APT32 |
焦糖海啸 | 以色列,私营部门的进攻参与者 | DEV-0236 |
卡明海啸 | 私营部门攻击性行动者 | |
木炭台风 | 中国 | CHROMIUM,ControlX,水生熊猫,RedHotel,青铜大学 |
棋子台风 | 中国 | 氯、ATG50、APT19、TG-3551、DEEP PANDA、Red Gargoyle |
肉桂暴风雨 | 中国, 财务动机 | DEV-0401 |
圆圈台风 | 中国 | DEV-0322、APT6、APT27 |
Citrine Sleet | 朝鲜 | DEV-0139、Storm-0139、Storm-1222、DEV-1222 |
棉花沙尘暴 | 伊朗 | NEPTUNIUM, Vice Leaker, Haywire Kitten |
新月台风 | 中国 | 铯 |
深红色沙尘暴 | 伊朗 | CURIUM、Tortoise Shell、HOUSEBLEND、TA456 |
立方体沙尘暴 | 伊朗 | DEV-0228 |
牛仔海啸 | 奥地利,私营部门的进攻参与者 | DEV-0291 |
Diamond Sleet | 朝鲜 | 锌,黑阿特米斯,迷宫乔利马,拉撒路 |
祖母绿斯利特 | 朝鲜 | THALLIUM,RGB-D5,黑色班希,金苏基,格林迪诺萨,天鹅绒乔利玛 |
Fallow Squall | 新加坡 | PLATINUM、寄生虫、RUBYVINE、GINGERSNAP |
弗拉克斯台风 | 中国 | Storm-0919,空心熊猫 |
森林暴风雪 | 俄罗斯 | STRONTIUM、Sednit、ATG2、Sofacy、FANCY BEAR、Blue Athena、Z-Lom Team、Operation Pawn Storm、Tsar Team、CrisisFour、HELLFIRE、APT28 |
幽灵暴雪 | 俄罗斯 | BROMINE, TG-4192, 考拉队, 精力充沛的熊, 蓝克拉肯, 蹲在耶蒂, 龙飞 |
金厄姆台风 | 中国 | GADOLINIUM,TEMP。Periscope、Leviathan、JJDoor、APT40、Feverdream |
花岗岩台风 | 中国 | 镓 |
灰色沙尘暴 | 伊朗 | DEV-0343 |
黑兹尔沙尘暴 | 伊朗 | EUROPIUM、COLBALT GYPSY、Crambus、OilRig、APT34 |
心脏台风 | 中国 | HELIUM、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、AURORA PANDA、Tailgater |
六边形台风 | 中国 | HYDROGEN,Calc Team,Red Anubis,APT12,DNS-Calc,HORDE,NUMBERED PANDA |
猎犬台风 | 中国 | HASSIUM、isoon、deepclif |
Jade Sleet | 朝鲜 | Storm-0954 |
蕾丝坦佩斯特 | 出于财务动机 | DEV-0950 |
柠檬沙尘暴 | 伊朗 | 铷 |
豹子台风 | 中国 | LEAD、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti Group |
丁香台风 | 中国 | DEV-0234 |
亚麻台风 | 中国 | IODINE、红凤凰、河马、幸运老鼠、EMISSARY PANDA、BOWSER、APT27、Wekby2、UNC215、TG-3390 |
Luna Tempest | 出于财务动机 | |
洋红色灰尘 | 土耳其 | PROMETHIUM、StrongPity、SmallPity |
Manatee Tempest | 俄罗斯 | |
芒果沙尘暴 | 伊朗 | 水星, 种子蠕虫, 静态小猫, TEMP.扎格罗斯,泥水 |
弹珠尘 | 土耳其 | SILICON、海龟、UNC1326 |
万寿菊沙尘暴 | 伊朗 | DEV-500 |
午夜暴风雪 | 俄罗斯 | NOBELIUM,UNC2452,APT29,舒适熊 |
薄荷沙尘暴 | 伊朗 | 磷, 帕拉斯托, 新闻播音员, APT35, 迷人的小猫 |
月光石斯利特 | 朝鲜 | Storm-1789 |
桑树台风 | 中国 | MANGANESE、Backdoor-DPD、COVENANT、CYSERVICE、Bottle、Red Horus、Red Naga、Auriga、KEYHOLE PANDA、APT5、ATG48、TG-2754、tabcteng |
芥末暴风雨 | 出于财务动机 | DEV-0206 |
夜间海啸 | Israel(以色列) | DEV-0336 |
尼龙台风 | 中国 | 尼克, 俏皮龙, 红江, ke3chang, VIXen PANDA, APT15, 幻影 |
Octo Tempest | 出于财务动机 | 0ktapus,散落蜘蛛 |
Onyx Sleet | 朝鲜 | 钚, 石飞, Tdrop2 运动, 黑暗, 黑乔利玛, 无声乔利玛, 安达里埃尔, APT45 |
Opal Sleet | 朝鲜 | OSMIUM、Planedown、Konni、APT43 |
桃子沙尘暴 | 伊朗 | HOLMIUM、APT33、埃尔芬、精制小猫 |
珍珠·斯利特 | 朝鲜 | 铹 |
Periwinkle Tempest | 俄罗斯 | DEV-0193 |
Phlox Tempest | 以色列,出于财务动机 | DEV-0796 |
粉红色沙尘暴 | 伊朗 | AMERICIUM、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、Justice Blade |
细条纹闪电 | NIOBIUM、沙漠猎鹰、西米塔尔、干旱毒蛇 | |
Pistachio Tempest | 出于财务动机 | DEV-0237 |
格子雨 | 黎巴嫩 | 钋 |
南瓜沙尘暴 | 伊朗 | DEV-0146 |
紫色台风 | 中国 | POTASSIUM、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、STONE PANDA、Foxtrot、Foxmail、MenuPass、Red Apollo |
树莓台风 | 中国 | RADIUM、LotusBlossom、APT30 |
Ruby Sleet | 朝鲜 | 铈 |
鲁扎洪水 | 俄罗斯, 影响运营 | |
鲑鱼台风 | 中国 | 钠,APT4,小牛熊猫 |
盐台风 | 中国 | GhostEmperor、FamousSparrow |
桑里亚暴风雨 | 乌克兰, 财政动机 | ELBRUS |
蓝宝石斯利特 | 朝鲜 | COPERNICIUM、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore |
缎子台风 | 中国 | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
海贝暴雪 | 俄罗斯 | IRIDIUM、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44 |
秘密暴风雪 | 俄罗斯 | KRYPTON、毒熊、乌罗布罗斯、蛇、蓝 Python、图拉、WRAITH、ATG26 |
塞菲德洪水 | 伊朗, 影响行动 | |
阴影台风 | 中国 | DarkShadow、Oro0lxy |
丝绸台风 | 中国 | HAFNIUM,timmy |
烟雾沙尘暴 | 伊朗 | UNC1549 |
Spandex Tempest | 出于财务动机 | TA505 |
斑点沙尘暴 | NEODYMIUM、BlackOasis | |
Star Blizzard | 俄罗斯 | SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446 |
Storm-0216 | 出于财务动机 | 扭曲的蜘蛛,UNC2198 |
Storm-0230 | 正在开发中的组 | Conti 团队 1,DEV-0230 |
Storm-0247 | 中国 | ToddyCat,Websiic |
Storm-0288 | 正在开发中的组 | FIN8 |
Storm-0302 | 正在开发中的组 | 独角蜘蛛, TA544 |
Storm-0501 | 出于财务动机 | DEV-0501 |
Storm-0538 | 正在开发中的组 | FIN6 |
Storm-0539 | 出于财务动机 | |
Storm-0569 | 出于财务动机 | DEV-0569 |
Storm-0671 | 正在开发中的组 | UNC2596,热带天体 |
Storm-0940 | 中国 | |
Storm-0978 | 俄罗斯 | RomCom,地下团队 |
Storm-1101 | 正在开发中的组 | |
Storm-1113 | 出于财务动机 | |
Storm-1152 | 出于财务动机 | |
Storm-1175 | 中国, 财务动机 | |
Storm-1194 | 正在开发中的组 | 蒙蒂 |
Storm-1516 | 俄罗斯, 影响运营 | |
Storm-1567 | 出于财务动机 | |
Storm-1674 | 出于财务动机 | |
Storm-1679 | 影响操作 | |
Storm-1811 | 出于财务动机 | |
Storm-1982 | 中国 | SneakyCheff,UNK_SweetSpecter |
Storm-2035 | 伊朗, 影响行动 | |
Storm-2077 | 中国 | TAG-100 |
草莓暴风雨 | 出于财务动机 | DEV-0537、LAPSUS$ |
桑洛暴雪 | DEV-0665 | |
旋转台风 | 中国 | TELLURIUM、Tick、Bronze Butler、REDBALDKNIGHT |
塔菲塔台风 | 中国 | TECHNETIUM、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW |
太子洪水 | 中国, 影响运营 | Dragonbridge、Spamouflage |
滚草台风 | 中国 | THORIUM,喀斯特 |
Twill 台风 | 中国 | 坦塔鲁姆,青铜主席,发光莫斯,野马熊猫 |
Vanilla Tempest | 出于财务动机 | DEV-0832,Vice Society |
天鹅绒温度 | 出于财务动机 | DEV-0504 |
紫罗兰台风 | 中国 | ZIRCONIUM、Chameleon、APT31、WebFans |
伏尔加洪水 | 俄罗斯, 影响运营 | Storm-1841, Rybar |
伏特台风 | 中国 | 青铜剪影, 先锋熊猫 |
小麦暴风雨 | 出于财务动机 | GOLD,加塔克 |
紫藤海啸 | 印度,私营部门的进攻参与者 | DEV-0605 |
字形冰冻 | 韩国 | DUBNIUM、Nemim、TEMPLAR、TieOnJoe、Fallout Team、Purple Pygmy、Dark Hotel、Egobot、Tapaoux、PALADIN、Darkhotel |
有关详细信息,请阅读我们关于此分类的公告: https://aka.ms/threatactorsblog
将智能交到安全专业人员手中
Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。
此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全操作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API) 。
资源
对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: