Microsoft如何命名威胁参与者

Microsoft使用与天气主题一致的威胁参与者的命名分类。 我们打算通过此分类为客户和其他安全研究人员带来更好的清晰度。 我们提供了一种更有条理、更清晰、更简单的方式来引用威胁参与者,以便组织能够更好地确定优先级并保护自己。 我们还致力于帮助安全研究人员,他们已经面对了大量威胁情报数据。

基于Microsoft命名的民族国家参与者

Microsoft将威胁参与者分为五个关键组:

民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。

出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,与对已知非国家或商业实体的高度信心无关。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。

私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和恐吓持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。

影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。

开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。

在此分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们为原产国/地区分配了一个与归属相关的姓氏。 例如,台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。

同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。

下表显示了姓氏如何映射到我们跟踪的威胁参与者。

威胁参与者类别 类型
民族国家 中国
伊朗
黎巴嫩
朝鲜
俄罗斯
韩国
土耳其
越南
台风
沙尘暴

雨夹雪
暴风雪
冰雹
灰尘
气旋
出于财务动机 出于财务动机 暴风雨
私营部门攻击性行动者 PSOA 海啸
影响操作 影响操作 洪水
开发中的组 开发中的组 风暴

下表列出了公开披露的威胁参与者名称及其来源或威胁参与者类别、以前的名称,以及其他安全供应商使用的相应名称(如果有)。 当有关其他供应商名称的详细信息可用时,此页面将更新。

威胁参与者名称 源/威胁参与者类别 其他名称
紫水晶雨 黎巴嫩 挥发雪松
古董台风 中国 Storm-0558
水暴雪 俄罗斯 ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear
蓝色海啸 以色列,私营部门的进攻参与者
铜管台风 中国 BARIUM,APT41
博科迪台风 中国 BORON、UPS、哥特熊猫、APT3、OLDCARP、TG-0110、Red Sylvan、CYBRAN
酒红色沙尘暴 伊朗 卡德尔,查费尔
学员暴雪 俄罗斯 DEV-0586
金丝雀台风 中国 线路熊猫,APT24,帕尔默蠕虫,BlackTech
画布旋风 越南 BISMUTH、OceanLotus、APT32
焦糖海啸 以色列,私营部门的进攻参与者 DEV-0236
卡明海啸 私营部门攻击性行动者
木炭台风 中国 CHROMIUM,ControlX,水生熊猫,RedHotel,青铜大学
棋子台风 中国 氯、ATG50、APT19、TG-3551、DEEP PANDA、Red Gargoyle
肉桂暴风雨 中国, 财务动机 DEV-0401
圆圈台风 中国 DEV-0322、APT6、APT27
Citrine Sleet 朝鲜 DEV-0139、Storm-0139、Storm-1222、DEV-1222
棉花沙尘暴 伊朗 NEPTUNIUM, Vice Leaker, Haywire Kitten
新月台风 中国
深红色沙尘暴 伊朗 CURIUM、Tortoise Shell、HOUSEBLEND、TA456
立方体沙尘暴 伊朗 DEV-0228
牛仔海啸 奥地利,私营部门的进攻参与者 DEV-0291
Diamond Sleet 朝鲜 锌,黑阿特米斯,迷宫乔利马,拉撒路
祖母绿斯利特 朝鲜 THALLIUM,RGB-D5,黑色班希,金苏基,格林迪诺萨,天鹅绒乔利玛
Fallow Squall 新加坡 PLATINUM、寄生虫、RUBYVINE、GINGERSNAP
弗拉克斯台风 中国 Storm-0919,空心熊猫
森林暴风雪 俄罗斯 STRONTIUM、Sednit、ATG2、Sofacy、FANCY BEAR、Blue Athena、Z-Lom Team、Operation Pawn Storm、Tsar Team、CrisisFour、HELLFIRE、APT28
幽灵暴雪 俄罗斯 BROMINE, TG-4192, 考拉队, 精力充沛的熊, 蓝克拉肯, 蹲在耶蒂, 龙飞
金厄姆台风 中国 GADOLINIUM,TEMP。Periscope、Leviathan、JJDoor、APT40、Feverdream
花岗岩台风 中国
灰色沙尘暴 伊朗 DEV-0343
黑兹尔沙尘暴 伊朗 EUROPIUM、COLBALT GYPSY、Crambus、OilRig、APT34
心脏台风 中国 HELIUM、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、AURORA PANDA、Tailgater
六边形台风 中国 HYDROGEN,Calc Team,Red Anubis,APT12,DNS-Calc,HORDE,NUMBERED PANDA
猎犬台风 中国 HASSIUM、isoon、deepclif
Jade Sleet 朝鲜 Storm-0954
蕾丝坦佩斯特 出于财务动机 DEV-0950
柠檬沙尘暴 伊朗
豹子台风 中国 LEAD、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti Group
丁香台风 中国 DEV-0234
亚麻台风 中国 IODINE、红凤凰、河马、幸运老鼠、EMISSARY PANDA、BOWSER、APT27、Wekby2、UNC215、TG-3390
Luna Tempest 出于财务动机
洋红色灰尘 土耳其 PROMETHIUM、StrongPity、SmallPity
Manatee Tempest 俄罗斯
芒果沙尘暴 伊朗 水星, 种子蠕虫, 静态小猫, TEMP.扎格罗斯,泥水
弹珠尘 土耳其 SILICON、海龟、UNC1326
万寿菊沙尘暴 伊朗 DEV-500
午夜暴风雪 俄罗斯 NOBELIUM,UNC2452,APT29,舒适熊
薄荷沙尘暴 伊朗 磷, 帕拉斯托, 新闻播音员, APT35, 迷人的小猫
月光石斯利特 朝鲜 Storm-1789
桑树台风 中国 MANGANESE、Backdoor-DPD、COVENANT、CYSERVICE、Bottle、Red Horus、Red Naga、Auriga、KEYHOLE PANDA、APT5、ATG48、TG-2754、tabcteng
芥末暴风雨 出于财务动机 DEV-0206
夜间海啸 Israel(以色列) DEV-0336
尼龙台风 中国 尼克, 俏皮龙, 红江, ke3chang, VIXen PANDA, APT15, 幻影
Octo Tempest 出于财务动机 0ktapus,散落蜘蛛
Onyx Sleet 朝鲜 钚, 石飞, Tdrop2 运动, 黑暗, 黑乔利玛, 无声乔利玛, 安达里埃尔, APT45
Opal Sleet 朝鲜 OSMIUM、Planedown、Konni、APT43
桃子沙尘暴 伊朗 HOLMIUM、APT33、埃尔芬、精制小猫
珍珠·斯利特 朝鲜
Periwinkle Tempest 俄罗斯 DEV-0193
Phlox Tempest 以色列,出于财务动机 DEV-0796
粉红色沙尘暴 伊朗 AMERICIUM、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、Justice Blade
细条纹闪电 NIOBIUM、沙漠猎鹰、西米塔尔、干旱毒蛇
Pistachio Tempest 出于财务动机 DEV-0237
格子雨 黎巴嫩
南瓜沙尘暴 伊朗 DEV-0146
紫色台风 中国 POTASSIUM、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、STONE PANDA、Foxtrot、Foxmail、MenuPass、Red Apollo
树莓台风 中国 RADIUM、LotusBlossom、APT30
Ruby Sleet 朝鲜
鲁扎洪水 俄罗斯, 影响运营
鲑鱼台风 中国 钠,APT4,小牛熊猫
盐台风 中国 GhostEmperor、FamousSparrow
桑里亚暴风雨 乌克兰, 财政动机 ELBRUS
蓝宝石斯利特 朝鲜 COPERNICIUM、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore
缎子台风 中国 SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby
海贝暴雪 俄罗斯 IRIDIUM、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44
秘密暴风雪 俄罗斯 KRYPTON、毒熊、乌罗布罗斯、蛇、蓝 Python、图拉、WRAITH、ATG26
塞菲德洪水 伊朗, 影响行动
阴影台风 中国 DarkShadow、Oro0lxy
丝绸台风 中国 HAFNIUM,timmy
烟雾沙尘暴 伊朗 UNC1549
Spandex Tempest 出于财务动机 TA505
斑点沙尘暴 NEODYMIUM、BlackOasis
Star Blizzard 俄罗斯 SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446
Storm-0216 出于财务动机 扭曲的蜘蛛,UNC2198
Storm-0230 正在开发中的组 Conti 团队 1,DEV-0230
Storm-0247 中国 ToddyCat,Websiic
Storm-0288 正在开发中的组 FIN8
Storm-0302 正在开发中的组 独角蜘蛛, TA544
Storm-0501 出于财务动机 DEV-0501
Storm-0538 正在开发中的组 FIN6
Storm-0539 出于财务动机
Storm-0569 出于财务动机 DEV-0569
Storm-0671 正在开发中的组 UNC2596,热带天体
Storm-0940 中国
Storm-0978 俄罗斯 RomCom,地下团队
Storm-1101 正在开发中的组
Storm-1113 出于财务动机
Storm-1152 出于财务动机
Storm-1175 中国, 财务动机
Storm-1194 正在开发中的组 蒙蒂
Storm-1516 俄罗斯, 影响运营
Storm-1567 出于财务动机
Storm-1674 出于财务动机
Storm-1679 影响操作
Storm-1811 出于财务动机
Storm-1982 中国 SneakyCheff,UNK_SweetSpecter
Storm-2035 伊朗, 影响行动
Storm-2077 中国 TAG-100
草莓暴风雨 出于财务动机 DEV-0537、LAPSUS$
桑洛暴雪 DEV-0665
旋转台风 中国 TELLURIUM、Tick、Bronze Butler、REDBALDKNIGHT
塔菲塔台风 中国 TECHNETIUM、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW
太子洪水 中国, 影响运营 Dragonbridge、Spamouflage
滚草台风 中国 THORIUM,喀斯特
Twill 台风 中国 坦塔鲁姆,青铜主席,发光莫斯,野马熊猫
Vanilla Tempest 出于财务动机 DEV-0832,Vice Society
天鹅绒温度 出于财务动机 DEV-0504
紫罗兰台风 中国 ZIRCONIUM、Chameleon、APT31、WebFans
伏尔加洪水 俄罗斯, 影响运营 Storm-1841, Rybar
伏特台风 中国 青铜剪影, 先锋熊猫
小麦暴风雨 出于财务动机 GOLD,加塔克
紫藤海啸 印度,私营部门的进攻参与者 DEV-0605
字形冰冻 韩国 DUBNIUM、Nemim、TEMPLAR、TieOnJoe、Fallout Team、Purple Pygmy、Dark Hotel、Egobot、Tapaoux、PALADIN、Darkhotel

有关详细信息,请阅读我们关于此分类的公告: https://aka.ms/threatactorsblog

将智能交到安全专业人员手中

Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。

此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全操作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API)

资源

对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: