如何Microsoft命名威脅執行者
Microsoft會針對符合天氣主題的威脅執行者使用命名分類法。 我們想要使用此分類法讓客戶和其他安全性研究人員更清楚。 我們提供更井然有序、清楚且簡單的方式來參考威脅執行者,讓組織能夠更妥善地排定優先順序並保護自己。 我們也致力於協助已經面臨大量威脅情報數據的安全性研究人員。
Microsoft將威脅執行者分類為五個主要群組:
國家/國家動作專案: 代表或由國家/與州對齊的程式所引導的網路操作員,不論是針對犯罪、財務獲利或擷取。 Microsoft觀察到大部分的國家/地區動作專案會繼續將作業和攻擊焦點放在政府機關、政府內部組織、非政府組織,並考慮支援傳統的攻擊或監視目標。
財務動機的執行者: 由具有財務獲利動機的犯罪組織/人員所導向的網路活動/群組,不會與已知非國家/地區或商業實體的高度信賴相關聯。 此類別包括勒索軟體操作員、商務電子郵件洩露、網路釣魚,以及其他純財務或惡意動機的群組。
私人部門攻擊動作專案 (PSOA) : 由已知/合法法律實體的商業執行者所引導的網路活動,可建立網路網路並銷售給接著選取目標並操作網路網路的客戶。 觀察到這些工具是以攻擊目標和代理代理人、人力資源防禦者、公民、公民社會提倡者和其他私人公民為目標,並威脅許多全球性的人力資源工作。
影響作業: 信息活動會以操作方式在線或離線進行溝通,以將目標對象的認知、行為或決策轉移為進一步提升群組或國家的興趣和目標。
群組 開發中:暫時指定給未知、新興或開發中的威脅活動。 此指定可讓Microsoft以離散資訊集的方式追蹤群組,直到我們可以對作業背後的動作專案來源或身分識別有高度信心為止。 一旦符合準則,開發中的群組就會轉換成具名動作專案,或合併成現有的名稱。
在此分類法中,天氣事件或 系列名稱 代表上述其中一個類別。 對於國家/州動作項目,我們已將家族名稱指派給系結至屬性的國家/地區。 例如,新密會指出中國原點或屬性。 對於其他動作專案,家族名稱代表動機。 例如,Tempest 表示有財務動機的動作專案。
相同天氣系列中的威脅執行者會獲得形容詞,以區分動作專案群組,以及 (TTP) 、基礎結構、目標或其他已識別模式的不同策略、技術和程式。 對於開發中的群組,我們會使用 Storm 的暫時指定,以及有新探索、未知、新興或開發威脅活動叢集的四位數數位。
下表顯示系列名稱如何對應至我們追蹤的威脅執行者。
| 威脅動作項目類別 | 類型 | 姓 |
|---|---|---|
| 民族國家 | 中國 伊朗 黎巴嫩 朝鮮 俄羅斯 韓國 土耳其 越南 |
颱風 沙塵暴 雨 雨夾雪 暴風雪 冰雹 灰塵 氣旋 |
| 財務動機 | 財務動機 | 暴風雨 |
| 私人部門攻擊動作專案 | PSOA | 海嘯 |
| 影響作業 | 影響作業 | 洪水 |
| 開發中的 群組 | 開發中的 群組 | 風暴 |
下表列出公開揭露的威脅執行者名稱及其來源或威脅執行者類別、先前的名稱,以及其他安全性廠商可用的對應名稱。 當其他廠商名稱的詳細資訊可供使用時,將會更新此頁面。
| 威脅動作項目名稱 | 原始/威脅動作項目類別 | 其他名稱 |
|---|---|---|
| Amethyst Rain | 黎巴嫩 | Volatile Cedar |
| 馬來西西 | 中國 | Storm-0558 |
| Aqua Blizzard | 俄羅斯 | ACTINIUM、Gamaredon、Armageddon、UNC530、shuckworm、SectorC08、Primitive Bear |
| 藍色藍色 | 以色列,私人部門攻擊動作專案 | |
| 馬來西西 | 中國 | BARIUM、APT41 |
| Brocade 區 | 中國 | BORON、UPS、Gothic Panda、APT3、OLDCARP、TG-0110、Red Sylvan、CYBRAN |
| Burgundy 沙地激蕩 | 伊朗 | Cadelle、Chafer |
| Cadet Blizzard | 俄羅斯 | DEV-0586 |
| Canary 噴 | 中國 | CIRCUIT PANDA、APT24、Wormworm、BlackTech |
| 畫布畫布畫布 | 越南 | BISMUTH、OceanLotus、APT32 |
| 卡羅馬利 | 以色列,私人部門攻擊動作專案 | DEV-0236 |
| 卡mine 函式 | 私人部門冒犯動作專案 | |
| Charcoal Varying | 中國 | CHROMIUM、ControlX、Panda Panda、RedHotel、BRONZE UNIVERSITY |
| Checkered 有一層 | 中國 | INE、ATG50、APT19、TG-3551、DEEP PANDA、Red Gargoyle |
| Cinnamon 範本 | 中國,財務動機 | DEV-0401 |
| 圓形圓圈 | 中國 | DEV-0322、APT6、APT27 |
| Citcit sleet | 朝鮮 | DEV-0139、Storm-0139、Storm-1222、DEV-1222 |
| 沙沙暴 | 伊朗 | NEPTUNIUM、Vice Leaker、Haywire Kitten |
| 新月月 | 中國 | 銫 |
| 深紅色沙暴 | 伊朗 | CURIUM、Tortoise Shell、HOUSEBLEND、TA456 |
| Cuboid 沙暴 | 伊朗 | DEV-0228 |
| Denim 物件 | 奧地利, 私人部門冒犯動作專案 | DEV-0291 |
| 菱形圓角 | 朝鮮 | 一般, BLACK Artemis, Labyrinth Chollima, Lazarus |
| Emerald Sleet | 朝鮮 | TBANIUM、RGB-D5、Black Banshee、Kimsuky、Greendinosa、VELVET CHOLLIMA |
| Fallow Squall | 新加坡 | 大寫、PARASITE、RUBYVINE、HEALTHCARESNAP |
| Flax 函式 | 中國 | Storm-0919、ETHEREAL PANDA |
| 樹系 Blizzard | 俄羅斯 | STRONTIUM、Sednit、ATG2、Sofacy、FANCY BEAR、Blue Athena、Z-Lom Team、Operation Pawn Storm、Tsar Team、CrisisFour、FIRE、APT28 |
| 准刪除 Blizzard | 俄羅斯 | 在 TG-4192、Koala Team、}BEAR、Blue Kraken、Crouching Yeti、Dragonfly |
| Gingham 體 | 中國 | GADOLINIUM, TEMP.Periscope、因此加特班、JJDoor、APT40、致使節 |
| 花粒度 | 中國 | 鎵 |
| 灰沙暴 | 伊朗 | DEV-0343 |
| 沙沙暴 | 伊朗 | EUROPIUM、COLBALT GYPSY、Crambus、OilRig、APT34 |
| 心歷 | 中國 | HELIUM、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、AURORA PANDA、Tailgater |
| 十六邊形 | 中國 | }、CALC 小組、Red Anubis、APT12、DNS-Calc、HORDE、NUMBERED PANDA |
| 厔喜 | 中國 | HASSIUM、isoon、deepclif |
| Jade Sleet | 朝鮮 | Storm-0954 |
| 聖器範本 | 財務動機 | DEV-0950 |
| 沙沙暴 | 伊朗 | 銣 |
| 馬來西西 | 中國 | LEAD、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti 群組 |
| 丁布布 | 中國 | DEV-0234 |
| Linen 函式 | 中國 | IOINE、Red Phoenix、Hippo、Mouse、EMISSARY PANDA、BOWSER、APT27、Wekby2、UNC215、TG-3390 |
| Luna Tempest | 財務動機 | |
| Magenta Dust | 土耳其 | PROMETHIUM、StrongPity、SmallPity |
| Manatee Tempest | 俄羅斯 | |
| Mango Sandstorm | 伊朗 | 在 TEMP、SEEDWorm、STATIC KITTEN、TEMP。Zagros、BeardyWater |
| 彈珠灰 | 土耳其 | SILICON、SeaSea、UNC1326 |
| Marigold 沙地激蕩 | 伊朗 | DEV-500 |
| 午夜 Blizzard | 俄羅斯 | 在 COZYIUM、UNC2452、APT29、Cozy Bear |
| Mint Sandstorm | 伊朗 | PHOSPHORUS、Parastoo、Newscaster、APT35、Quantum Kitten |
| Moonstone Sleet | 朝鮮 | Storm-1789 |
| 多樹耜 | 中國 | MANGANESE、Backdoor-DPD、COVENANT、CYSERVICE、Bottle、Red Horus、Red Naga、Auriga、KEYHOLE PANDA、APT5、ATG48、TG-2754、tabcteng |
| Mustard Tempest | 財務動機 | DEV-0206 |
| 夜幕降臨 | 以色列 | DEV-0336 |
| 尼隆群島 | 中國 | PENDING、Playful Dragon、RedRiver、ke3chang、VIXEN PANDA、APT15、Mirage |
| Octo Tempest | 財務動機 | 0ktapus、散布的布達斯 |
| Onyx Sleet | 朝鮮 | SILENTNIUM、StoneFly、Tdrop2 行銷活動、DarkSeoul、Black Chollima、SILENT CHOLLIMA、Andariel、APT45 |
| Opal Sleet | 朝鮮 | OSMIUM、Planedown、Konni、APT43 |
| 沙沙暴 | 伊朗 | HOLMIUM、APT33、Elfin、REFINED KITTEN |
| 他的 Sleet | 朝鮮 | 銨 |
| Periwinkle Tempest | 俄羅斯 | DEV-0193 |
| Phlox Tempest | 以色列,財務動機 | DEV-0796 |
| 粉紅沙暴 | 伊朗 | AMERICIUM、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、條形刀鋒視窗 |
| Pinstripe 閃電 | NIOBIUM、布勒索斯、Scimitar、Arid Viper | |
| Pistachio Tempest | 財務動機 | DEV-0237 |
| 格子雨 | 黎巴嫩 | 釙 |
| 南瓜沙暴 | 伊朗 | DEV-0146 |
| 紫色紫色 | 中國 | POTASSIUM、GOLEM、Apollograb、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、STONE PANDA、Foxtrot、Foxmail、MenuPass、Red Apollo |
| Raspberry 函數 | 中國 | RADIUM、LotusBlossom、APT30 |
| Ruby Sleet | 朝鮮 | 鉀 |
| Ruza 水流 | 俄羅斯, 影響作業 | |
| 馬來西西 | 中國 | SODIUM、APT4、PANDA PANDA |
| Salt Typhoon | 中國 | GhostEmperor,有名的Sparrow |
| Riaria Tempest | 烏克蘭,財務動機 | ELBRUS |
| Sapphire Sleet | 朝鮮 | COPERNICIUM、Genie 然後、BlueNoroff、CryptyChameleon、CryptoCore |
| 星期六 | 中國 | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Islandswood Group, Wekby |
| Seashell Blizzard | 俄羅斯 | IRIDIUM、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44 |
| 秘密 Blizzard | 俄羅斯 | KRYPTON、VENOMOUS BEAR、Uroburos、Fan、Blue Python、Turla、WRAITH、ATG26 |
| Sefid Flood | 馬來西,影響作業 | |
| 陰影陰影 | 中國 | DarkShadow、Oro0lxy |
| 閲絲 | 中國 | HAFNIUM、timmy |
| 煙霧沙暴 | 伊朗 | UNC1549 |
| Spandex Tempest | 財務動機 | TA505 |
| 沙地激蕩 | NEODYMIUM、BlackOasis | |
| 星型 Blizzard | 俄羅斯 | SEA}IUM、COLDRIVER、Callisto Group、BlueCharlie、TA446 |
| Storm-0216 | 財務動機 | 扭曲的德威,UNC2198 |
| Storm-0230 | 開發中的群組 | Conti Team 1, DEV-0230 |
| Storm-0247 | 中國 | ToddyCat、Websiic |
| Storm-0288 | 開發中的群組 | FIN8 |
| Storm-0302 | 開發中的群組 | 朗讀體,TA544 |
| Storm-0501 | 財務動機 | DEV-0501 |
| Storm-0538 | 開發中的群組 | FIN6 |
| Storm-0539 | 財務動機 | |
| Storm-0569 | 財務動機 | DEV-0569 |
| Storm-0671 | 開發中的群組 | UNC2596,布西西斯 |
| Storm-0940 | 中國 | |
| Storm-0978 | 俄羅斯 | RomCom、函式小組 |
| Storm-1101 | 開發中的群組 | |
| Storm-1113 | 財務動機 | |
| Storm-1152 | 財務動機 | |
| Storm-1175 | 中國,財務動機 | |
| Storm-1194 | 開發中的群組 | 蒙蒂 |
| Storm-1516 | 俄羅斯, 影響作業 | |
| Storm-1567 | 財務動機 | |
| Storm-1674 | 財務動機 | |
| Storm-1679 | 影響作業 | |
| Storm-1811 | 財務動機 | |
| Storm-1982 | 中國 | 方塊,UNK_SweetSpecter |
| Storm-2035 | 馬來西,影響作業 | |
| Storm-2077 | 中國 | TAG-100 |
| 拴米樹 | 財務動機 | DEV-0537,LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| 馬來西 | 中國 | TELLURIUM、Tick、Bronze Butler、REDBALDKNIGHT |
| Taffeta 函數 | 中國 | TECHNETIUM, TG-0055, Red Kobold, 階密斯,APT26, BEARCARC |
| 太子水流 | 中國,影響作業 | Dragonbridge、Spamouflage |
| Tumbleweed 函式 | 中國 | THORIUM、Karst |
| Twill 函式 | 中國 | TANTALUM, BRONZE 長, LuminousMoth, MUSTANG PANDA |
| Vanilla Tempest | 財務動機 | DEV-0832,副社會 |
| Velvet Tempest | 財務動機 | DEV-0504 |
| Violet 擴充 | 中國 | ZIRCONIUM、Chameleon、APT31、WebFans |
| Volga Flood | 俄羅斯, 影響作業 | Storm-1841、Rybar |
| VoltVoltVolt | 中國 | 銅級 SILHOUETTE、VANGUARD PANDA |
| 聖地範本 | 財務動機 | GOLD、Gatak |
| 小星號 | 印度,私人部門冒犯動作專案 | DEV-0605 |
| Zigzag 這是一個 | 韓國 | DUBNIUM、Nemim、TEMPLAR、TieOnJoe、階小組、紫色 Pygmy、深色旅館、Egobot、Tapaoux、PALADIN、Darkhotel |
如需詳細資訊,請參閱我們關於此分類法的公告: https://aka.ms/threatactorsblog
將情報交由安全性專業人員使用
Microsoft Defender 威脅情報 中的 Intel 配置檔會提供威脅執行者的相關重要見解。 這些深入解析可讓安全性小組在準備和回應威脅時,取得所需的內容。
此外,Microsoft Defender 威脅情報 Intel 配置檔 API 提供現今業界最新的威脅執行者基礎結構可見度。 更新的信息對於啟用 SecOps) 小組 (威脅情報和安全性作業,以簡化其進階威脅搜捕和分析工作流程非常重要。 在檔中深入瞭解此 API: 使用 Microsoft Graph 中的威脅情報 API (預覽) 。
資源
在 Microsoft Defender 全面偵測回應 支援 Kusto 查詢語言 (KQL) 的其他Microsoft安全性產品上使用下列查詢,以使用舊名稱、新名稱或產業名稱來取得威脅執行者的相關信息:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
也提供下列檔案,其中包含舊威脅動作專案名稱與其新名稱的完整對應: