كيفية تسمية Microsoft لممثلي التهديد
تحولت Microsoft إلى تصنيف تسمية جديد لممثلي التهديد المتوافقين مع موضوع الطقس. ونحن نعتزم تقديم وضوح أفضل للعملاء والباحثين الأمنيين الآخرين مع التصنيف الجديد. نحن نقدم طريقة أكثر تنظيما وتوضيحا وسهولة للإشارة إلى الجهات الفاعلة في التهديدات حتى تتمكن المنظمات من تحديد أولوياتها وحمايتها بشكل أفضل ومساعدة الباحثين الأمنيين الذين واجهوا بالفعل كمية هائلة من بيانات التحليل الذكي للمخاطر.
تصنف Microsoft الجهات الفاعلة في التهديد إلى خمس مجموعات رئيسية:
الجهات الفاعلة في الدول القومية: المشغلون الإلكترونيون الذين يعملون نيابة عن أو يوجههم برنامج متوافق مع الدولة/الدولة، بغض النظر عما إذا كان للتجسس أو المكاسب المالية أو الانتقام. ولاحظت Microsoft أن معظم الجهات الفاعلة في الدول القومية تواصل تركيز العمليات والهجمات على الوكالات الحكومية والمنظمات الحكومية الدولية والمنظمات غير الحكومية وهيئات التفكير لتحقيق أهداف التجسس أو المراقبة التقليدية.
الجهات الفاعلة ذات الدوافع المالية: الحملات /المجموعات الإلكترونية التي توجهها منظمة/شخص إجرامي لديه دوافع لتحقيق مكاسب مالية ولا ترتبط بثقة عالية لدولة معروفة غير أمة أو كيان تجاري. تتضمن هذه الفئة مشغلي برامج الفدية الضارة، واختراق البريد الإلكتروني للأعمال، والتصيد الاحتيالي، والمجموعات الأخرى ذات الدوافع المالية البحتة أو الابتزازية.
الجهات الفاعلة الهجومية من القطاع الخاص (PSOAs): النشاط الإلكتروني الذي تقوده جهات تجارية معروفة/كيانات قانونية شرعية، تقوم بإنشاء وبيع الأسلحة الإلكترونية للعملاء الذين يختارون الأهداف ويشغلون التهديدات الإلكترونية. ولوحظ أن هذه الأدوات تستهدف وتراقب المنشقين والمدافعين عن حقوق الإنسان والصحفيين والمدافعين عن المجتمع المدني وغيرهم من المواطنين، مما يهدد العديد من الجهود العالمية المبذولة في مجال حقوق الإنسان.
عمليات التأثير: يتم توصيل الحملات الإعلامية عبر الإنترنت أو دون اتصال بطريقة تلاعبية لتحويل التصورات أو السلوكيات أو القرارات من قبل الجماهير المستهدفة لتعزيز مصالح وأهداف مجموعة أو أمة.
مجموعات في التطوير: تسمية مؤقتة تعطى لنشاط تهديد غير معروف أو ناشئ أو متطور. يسمح هذا التعيين لشركة Microsoft بتعقب مجموعة كمجموعة منفصلة من المعلومات حتى نتمكن من الوصول إلى ثقة عالية حول أصل أو هوية المستخدم وراء العملية. بمجرد استيفاء المعايير، يتم تحويل مجموعة قيد التطوير إلى جهة فاعلة مسماة أو دمجها في أسماء موجودة.
في تصنيفنا الجديد، يمثل حدث الطقس أو اسم العائلة إحدى الفئات المذكورة أعلاه. بالنسبة للجهات الفاعلة في الدول القومية، قمنا بتعيين اسم عائلة لبلد/منطقة منشئ مرتبطة بالإسناد، مثل التيفون يشير إلى الأصل أو الإسناد إلى الصين. بالنسبة للجهات الفاعلة الأخرى، يمثل اسم العائلة دافعا. على سبيل المثال، يشير Tempest إلى الجهات الفاعلة ذات الدوافع المالية.
يتم إعطاء الجهات الفاعلة في التهديد داخل نفس عائلة الطقس وصفا لتمييز مجموعات الجهات ذات التكتيكات والتقنيات والإجراءات المميزة (TTPs) أو البنية الأساسية أو الأهداف أو الأنماط المحددة الأخرى. بالنسبة للمجموعات قيد التطوير، نستخدم تعيينا مؤقتا ل Storm ورقما مكونا من أربعة أرقام حيث توجد مجموعة مكتشفة حديثا أو غير معروفة أو ناشئة أو نامية من نشاط التهديد.
يوضح الجدول كيفية تعيين أسماء العائلة الجديدة إلى الجهات الفاعلة في التهديد التي نتعقبها.
| فئة المستخدم | نوع | اسم العائلة |
|---|---|---|
| الدولة القومية | جمهورية الصين إيران لبنان كوريا الشمالية روسيا كوريا الجنوبية تركيا فيتنام |
طوفان عاصفه رمليه مطر الصقيع عاصفه ثلجيه برد غبار إعصار |
| دوافع مالية | دوافع مالية | العاصفه |
| الجهات الفاعلة الهجومية في القطاع الخاص | PSOAs | تْسُونَامِي |
| التأثير على العمليات | التأثير على العمليات | فيضان |
| مجموعات قيد التطوير | مجموعات قيد التطوير | عاصفة |
استخدم الجدول المرجعي التالي لفهم كيفية ترجمة أسماء جهات التهديد القديمة التي تم الكشف عنها مسبقا علنا إلى تصنيفنا الجديد.
| اسم ممثل التهديد | الاسم السابق | الأصل/التهديد | أسماء أخرى |
|---|---|---|---|
| اعصار العتيقة | Storm-0558 | جمهورية الصين | |
| Aqua Blizzard | ACTINIUM | روسيا | UNC530, Primitive Bear, Gamaredon |
| تسونامي أزرق | جهة فاعلة هجومية من القطاع الخاص | مكعب أسود | |
| Brass Typhoon | باريوم | جمهورية الصين | APT41 |
| العاصفة الثلجية للطلاب | DEV-0586 | روسيا | |
| تمويه مؤقت | تال | دوافع مالية | FIN6, Skeleton Spider |
| إعصار اللوحة | بزموث | فيتنام | APT32, OceanLotus |
| كاراميل تسونامي | SOURGUM | جهة فاعلة هجومية من القطاع الخاص | Candiru |
| كارمين تسونامي | DEV-0196 | جهة فاعلة هجومية من القطاع الخاص | QuaDream |
| اعصار الفحم | كروم | جمهورية الصين | ControlX |
| Cinnamon Tempest | DEV-0401 | دوافع مالية | الإمبراطور يعسوبي، ضوء النجوم البرونزي |
| دائرة Typhoon | DEV-0322 | جمهورية الصين | |
| Citrine Sleet | DEV-0139، DEV-1222 | كوريا الشمالية | AppleJeus, Labyrinth Chollima, UNC4736 |
| عاصفة رملية للقطن | DEV-0198 (NEPTUNIUM) | إيران | نائب المسرب |
| عاصفة رملية في كريمسون | كوريوم | إيران | TA456, Tortoise Shell |
| عاصفة رملية مبوبة | DEV-0228 | إيران | |
| دينيم تسونامي | KNOTWEED | جهة فاعلة هجومية من القطاع الخاص | DSIRF |
| مزلة الماس | خارصين | كوريا الشمالية | متاهة تشوليما، لازاروس |
| زمرد زليه | ثاليوم | كوريا الشمالية | كيمسوكي، المخملية الكوليما |
| Flax Typhoon | Storm-0919 | جمهورية الصين | باندا Ethereal |
| غابة ثلجية | سترونتيوم | روسيا | APT28، دب فاخر |
| العاصفة الثلجية الشبح | بروم | روسيا | دب نشط، كروتشينغ تيفي |
| غنغهام Typhoon | جدولينيوم | جمهورية الصين | APT40، ليفاثان، TEMP. Periscope, Kryptonite Panda |
| إعصار الجرانيت | جاليوم | جمهورية الصين | |
| عاصفة رملية رمادية | DEV-0343 | إيران | |
| عاصفة رملية في هازل | يروبيوم | إيران | Cobalt الغجر، APT34، OilRig |
| Jade Sleet | Storm-0954 | كوريا الشمالية | TraderTraitor، UNC4899 |
| الدانتيل Tempest | DEV-0950 | دوافع مالية | FIN11, TA505 |
| عاصفة رملية ليمون | روبيديوم | إيران | Fox Kitten, UNC757, PioneerKitten |
| Leopard Typhoon | رصاص | جمهورية الصين | KAOS, Mana, Winnti, Red Diablo |
| Lilac Typhoon | DEV-0234 | جمهورية الصين | |
| لونا تيمبست | Storm-0744 | دوافع مالية | |
| Manatee Tempest | DEV-0243 | دوافع مالية | EvilCorp, UNC2165, Indrik Spider |
| مانجو عاصفة رملية | زئبق | إيران | MuddyWater، SeedWorm، قطة صغيرة ثابتة، TEMP. زاغروس |
| غبار رخامي | سليكون | تركيا | سلحفاة البحر |
| عاصفة رملية Marigold | DEV-0500 | إيران | فريق عمل موسى |
| العاصفة الثلجية في منتصف الليل | نوبليوم | روسيا | APT29، دب مريح |
| عاصفة رملية للنعناع | فسفور | إيران | APT35، قطة صغيرة ساحرة |
| زلة حجر القمر | Storm-1789 | كوريا الشمالية | |
| Mulberry Typhoon | منغنيز | جمهورية الصين | APT5، Keyhole Panda، TABCTENG |
| خردل مؤقت | DEV-0206 | دوافع مالية | فالهوند الأرجواني |
| التسونامي الليلي | DEV-0336 | جهة فاعلة هجومية من القطاع الخاص | مجموعة NSO |
| إعصار النايلون | نيكل | جمهورية الصين | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | دوافع مالية | 0ktapus، العنكبوت المبعثر، UNC3944 |
| Onyx Sleet | بلوتونيوم | كوريا الشمالية | APT45, الكوليما الصامتة, أنداريل, داكن سول |
| Opal Sleet | ازميوم | كوريا الشمالية | كونى |
| عاصفة رملية الخوخ | هلميوم | إيران | APT33، قطة صغيرة محسنة |
| بيرل زليه | DEV-0215 (LAWRENCIUM) | كوريا الشمالية | |
| Periwinkle Tempest | DEV-0193 | دوافع مالية | معالج العنكبوت، UNC2053 |
| Phlox Tempest | DEV-0796 | دوافع مالية | ClickPirate, Chrome Loader, Choziosi loader |
| عاصفة رملية وردية | أمريكيوم | إيران | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistachio Tempest | DEV-0237 | دوافع مالية | FIN12 |
| أمطار منقوشة | بولونيوم | لبنان | |
| عاصفة رملية باليقطين | DEV-0146 | إيران | ZeroCleare |
| الإعصار الأرجواني | بوتاسيوم | جمهورية الصين | APT10، Cloudhopper، MenuPass |
| Raspberry Typhoon | راديوم | جمهورية الصين | APT30, LotusBlossom |
| Ruby Sleet | سيريوم | كوريا الشمالية | |
| طوفان Ruza | Storm-1099 | روسيا، عمليات التأثير | |
| سمك السلمون التيفون | صوديوم | جمهورية الصين | APT4, Maverick Panda |
| ملح التيفون | جمهورية الصين | GhostEmperor, FamousSparrow | |
| سانجريا تيمبست | ELBRUS | دوافع مالية | عنكبوت الكربون، FIN7 |
| Sapphire Sleet | كوبيرنيكيوم | كوريا الشمالية | Genie Spider, BlueNoroff |
| عازارة ثلجية ل Seashell | إريديوم | روسيا | APT44, Sandworm |
| عازر ثلجي سري | كريبتون | روسيا | دب سام، تورلا، ثعبان |
| فيضان Sefid | Storm-1364 | إيران، عمليات التأثير | |
| إعصار الحرير | هفنيوم | جمهورية الصين | |
| عاصفة رملية للدخان | BOHRIUM | إيران | UNC1549 |
| فترة زمنية ممتدة | شيمبورازو | دوافع مالية | TA505 |
| نجمة ثلجية | SEABORGIUM | روسيا | Callisto، فريق إعادة الاستخدام |
| Storm-0062 | جمهورية الصين | DarkShadow, Oro0lxy | |
| Storm-0133 | إيران | LYCEUM, HEXANE | |
| Storm-0216 | دوافع مالية | العنكبوت الملتوي، UNC2198 | |
| Storm-0257 | المجموعة قيد التطوير | UNC1151 | |
| Storm-0324 | دوافع مالية | TA543، Sagrid | |
| Storm-0381 | دوافع مالية | ||
| Storm-0501 | المجموعة قيد التطوير | ||
| Storm-0506 | المجموعة قيد التطوير | ||
| Storm-0530 | كوريا الشمالية | H0lyGh0st | |
| Storm-0539 | دوافع مالية | أسد أطلس | |
| Storm-0569 | دوافع مالية | ||
| Storm-0587 | روسيا | سانت بوت، سانت دب، TA471 | |
| Storm-0744 | دوافع مالية | ||
| Storm-0784 | إيران | ||
| Storm-0829 | المجموعة قيد التطوير | فريق Nwgen | |
| Storm-0835 | المجموعة قيد التطوير | EvilProxy | |
| Storm-0842 | إيران | ||
| Storm-0844 | المجموعة قيد التطوير | ||
| Storm-0861 | إيران | ||
| Storm-0867 | جمهورية مصر العربية | كافايين | |
| Storm-0971 | دوافع مالية | (تم الدمج في Octo Tempest) | |
| Storm-0978 | المجموعة قيد التطوير | RomCom، فريق تحت الأرض | |
| Storm-1044 | دوافع مالية | Danabot | |
| Storm-1084 | إيران | DarkBit | |
| Storm-1101 | المجموعة قيد التطوير | صفحات عارية | |
| Storm-1113 | دوافع مالية | ||
| Storm-1133 | السلطة الفلسطينية | ||
| Storm-1152 | دوافع مالية | ||
| Storm-1167 | إندونيسيا | ||
| Storm-1175 | دوافع مالية | ||
| Storm-1283 | المجموعة قيد التطوير | ||
| Storm-1286 | المجموعة قيد التطوير | ||
| Storm-1295 | المجموعة قيد التطوير | العظمه | |
| Storm-1516 | روسيا، عمليات التأثير | ||
| Storm-1567 | دوافع مالية | اكيرا | |
| Storm-1575 | المجموعة قيد التطوير | Dadsec | |
| Storm-1660 | إيران، عمليات التأثير | ||
| Storm-1674 | دوافع مالية | ||
| Storm-1679 | روسيا، عمليات التأثير | ||
| Storm-1804 | إيران، عمليات التأثير | ||
| Storm-1805 | إيران، عمليات التأثير | ||
| Storm-1811 | دوافع مالية | ||
| Storm-1841 | روسيا، عمليات التأثير | ||
| Storm-1849 | جمهورية الصين | UAT4356 | |
| Storm-1852 | المجموعة قيد التطوير | ||
| Storm-2035 | إيران، عمليات التأثير | ||
| فراولة تيمبست | دوافع مالية | LAPSUS$ | |
| Sunglow Blizzard | روسيا | ||
| طوفان تايزي | Storm-1376 | الصين، عمليات التأثير | Spamouflage, Dragonbridge |
| طماطم مؤقتة | سبور | دوافع مالية | Vatet |
| فانيلا تيمبست | DEV-0832 | دوافع مالية | |
| Velvet Tempest | DEV-0504 | دوافع مالية | |
| إعصار فيوليت | زركونيوم | جمهورية الصين | APT31 |
| Volt Typhoon | جمهورية الصين | صورة ظلية برونزية، فانجارد باندا | |
| نبيذ Tempest | PARINACOTA | دوافع مالية | الوهرامة |
| سونامي فيستيريا | DEV-0605 | جهة فاعلة هجومية من القطاع الخاص | CyberRoot |
| تحية متعرجة | DUBNIUM | كوريا الجنوبية | فندق داكن، تاباوكس |
اقرأ إعلاننا حول التصنيف الجديد لمزيد من المعلومات: https://aka.ms/threatactorsblog
وضع الذكاء في أيدي المتخصصين الأمنيين
تجلب ملفات تعريف Intel في تحليل ذكي للمخاطر في Microsoft Defender رؤى حاسمة حول الجهات الفاعلة في التهديد. تمكن هذه الرؤى فرق الأمان من الحصول على السياق الذي تحتاجه أثناء الاستعداد للتهديدات والاستجابة لها.
بالإضافة إلى ذلك، توفر واجهة برمجة تطبيقات ملفات تعريف Intel تحليل ذكي للمخاطر في Microsoft Defender أحدث رؤية للبنية الأساسية لممثلي التهديد في الصناعة اليوم. تعد المعلومات المحدثة أمرا بالغ الأهمية في تمكين فرق التحليل الذكي للمخاطر والعمليات الأمنية (SecOps) لتبسيط مهام سير عمل تتبع التهديدات وتحليلها المتقدمة. تعرف على المزيد حول واجهة برمجة التطبيقات هذه في الوثائق: استخدم واجهات برمجة تطبيقات التحليل الذكي للمخاطر في Microsoft Graph (معاينة).
الموارد
استخدم الاستعلام التالي على Microsoft Defender XDR ومنتجات أمان Microsoft الأخرى التي تدعم لغة استعلام Kusto (KQL) للحصول على معلومات حول ممثل التهديد باستخدام الاسم القديم أو الاسم الجديد أو اسم الصناعة:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
تتوفر أيضا الملفات التالية التي تحتوي على التعيين الشامل لأسماء جهات التهديد القديمة بأسماءهم الجديدة: