Sådan navngiver Microsoft trusselsaktører
Microsoft skiftede til en ny navngivnings taksonomi for trusselsaktører, der er tilpasset temaet vejr. Vi har til hensigt at skabe bedre klarhed for kunder og andre sikkerhedsforskere med den nye taksonomi. Vi tilbyder en mere organiseret, velformuleret og nem måde at henvise trusselsaktører på, så organisationer bedre kan prioritere og beskytte sig selv og hjælpe sikkerhedsforskere, der allerede står over for en overvældende mængde trusselsintelligensdata.
Microsoft kategoriserer trusselsaktører i fem nøglegrupper:
Nationalstatsaktører: cyberoperatører, der handler på vegne af eller instrueret af et nation/statsjusteret program, uanset om det er for spionage, økonomisk gevinst eller gengældelse. Microsoft bemærkede, at de fleste nationalstatsaktører fortsat retter operationer og angreb mod statslige organer, mellemstatslige organisationer, NGO'er, og tænketanke for traditionelle spionage eller overvågning mål.
Økonomisk motiverede aktører: cyberkampagner/-grupper, der ledes af en kriminel organisation/person med økonomisk gevinst som motiv og ikke er forbundet med høj tillid til en kendt ikke-nationalstat eller kommerciel enhed. Denne kategori omfatter ransomware operatører, kompromittering af virksomhedsmail, phishing, og andre grupper med rent finansielle eller afpresningsmotiver.
Offensive aktører i den private sektor (PSOA'er): cyberaktivitet ledet af kommercielle aktører, der er kendte/legitime juridiske enheder, der opretter og sælger cyberweapons til kunder, der derefter vælger mål og driver cyberweapons. Disse værktøjer blev observeret målrettet og overvåget dissidenter, menneskerettighedsforkæmpere, journalister, civilsamfundsfortalere og andre private borgere og truer mange globale menneskerettighedsbestræbelser.
Indflydelseshandlinger: informationskampagner, der kommunikeres online eller offline på en manipulerende måde for at flytte opfattelser, adfærd eller beslutninger fra målgrupper for at fremme en gruppes eller en nations interesser og mål.
Grupper under udvikling: en midlertidig betegnelse, der gives til en ukendt, spirende eller udviklende trusselsaktivitet. Denne betegnelse giver Microsoft mulighed for at spore en gruppe som et diskret sæt oplysninger, indtil vi kan opnå stor tillid til oprindelsen eller identiteten af den aktør, der står bag handlingen. Når kriterierne er opfyldt, konverteres en gruppe under udvikling til en navngiven agent eller flettes med eksisterende navne.
I vores nye taksonomi repræsenterer en vejrbegivenhed eller et familienavn en af ovenstående kategorier. For nationale aktører har vi tildelt et familienavn til et land/område, der er knyttet til tilskrivelsen, f.eks. angiver Typhoon oprindelse eller tilskrivning til Kina. For andre aktører repræsenterer efternavnet en motivation. Tempest angiver f.eks. økonomisk motiverede aktører.
Trusselsaktører i den samme vejrfamilie får et adjektiv for at skelne mellem agentgrupper med forskellige taktikker, teknikker og procedurer (TTP'er), infrastruktur, målsætninger eller andre identificerede mønstre. For grupper under udvikling bruger vi en midlertidig betegnelse for Storm og et firecifret tal, hvor der er en nyopdaget, ukendt, spirende eller udviklende klynge af trusselsaktiviteter.
Tabellen viser, hvordan de nye familienavne knyttes til de trusselsaktører, vi sporer.
Agentkategori | Type | Efternavn |
---|---|---|
Nationalstat | Kina Iran Libanon Nordkorea Rusland Sydkorea Tyrkiet Vietnam |
Tyfon Sandstorm Regn Slud Blizzard Hagl Støv Cyklon |
Økonomisk motiveret | Økonomisk motiveret | Uvejr |
Offensive aktører i den private sektor | PSOA'er | Tsunami |
Indflydelseshandlinger | Indflydelseshandlinger | Oversvømmelse |
Grupper under udvikling | Grupper under udvikling | Storm |
Brug følgende referencetabel til at forstå, hvordan vores tidligere offentliggjorte gamle navne på trusselsaktører oversættes til vores nye taksonomi.
Navn på trusselsaktør | Forrige navn | Oprindelse/trussel | Andre navne |
---|---|---|---|
Antik tyfon | Storm-0558 | Kina | |
Aqua Blizzard | ACTINIUM | Rusland | UNC530, Primitiv Bear, Gamaredon |
Blå tsunami | Offensiv aktør i den private sektor | Sort kube | |
Brass Typhoon | BARIUM | Kina | APT41 |
Cadet Blizzard | DEV-0586 | Rusland | |
Camouflage Tempest | TAAL | Økonomisk motiveret | FIN6, skelet edderkop |
Lærredscyklon | BISMUTH | Vietnam | APT32, OceanLotus |
Karamel tsunami | SOURGUM | Offensiv aktør i den private sektor | Candiru |
Carmine Tsunami | DEV-0196 | Offensiv aktør i den private sektor | QuaDream |
Kultyfon | CHROM | Kina | ControlX |
Kanel tempest | DEV-0401 | Økonomisk motiveret | Kejser dragonfly, Bronze Starlight |
Cirkeltyfon | DEV-0322 | Kina | |
Citrine Sleet | DEV-0139, DEV-1222 | Nordkorea | AppleJeus, Labyrinth Chollima, UNC4736 |
Bomuldssandstorm | DEV-0198 (NEPTUNIUM) | Iran | Vicelækage |
Crimson Sandstorm | CURIUM | Iran | TA456, Tortoise Shell |
Kuboid sandstorm | DEV-0228 | Iran | |
Denim Tsunami | PILEURT | Offensiv aktør i den private sektor | DSIRF |
Diamantsleet | ZINK | Nordkorea | Labyrinth Chollima, Lazarus |
Smaragd sløjfe | THALLIUM | Nordkorea | Kimsuky, Velvet Chollima |
Hørtyfon | Storm-0919 | Kina | Ethereal Panda |
Skovblizzard | STRONTIUM | Rusland | APT28, fancy bjørn |
Spøgelsesblizzard | BROM | Rusland | Energisk bjørn, sammenkrøbent yeti |
Gingham Typhoon | GADOLINIUM | Kina | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
Granit typhoon | GALLIUM | Kina | |
Grå sandstorm | DEV-0343 | Iran | |
Hasselsandstorm | EUROPIUM | Iran | Cobalt Sigøjner, APT34, OilRig |
Jade Sleet | Storm-0954 | Nordkorea | TraderTraitor, UNC4899 |
Blonder Tempest | DEV-0950 | Økonomisk motiveret | FIN11, TA505 |
Citronsandstorm | RUBIDIUM | Iran | Fox Kitten, UNC757, PioneerKitten |
Leopard Typhoon | BLY | Kina | KAOS, Mana, Winnti, Red Diablo |
Lilac Typhoon | DEV-0234 | Kina | |
Luna Tempest | Storm-0744 | Økonomisk motiveret | |
Manatee Tempest | DEV-0243 | Økonomisk motiveret | EvilCorp, UNC2165, Indrik Spider |
Mango Sandstorm | KVIKSØLV | Iran | MuddyWater, SeedWorm, Static Killing, TEMP. Zagros |
Marmoreret støv | SILICIUM | Tyrkiet | Havskildpadde |
Marigold Sandstorm | DEV-0500 | Iran | Moses-personale |
Midnatsblizzard | NOBELIUM | Rusland | APT29, hyggelig bjørn |
Mint Sandstorm | FOSFOR | Iran | APT35, charmerende killing |
Månestens slænge | Storm-1789 | Nordkorea | |
Mulberry Typhoon | MANGAN | Kina | APT5, Keyhole Panda, TABCTENG |
Sennep Tempest | DEV-0206 | Økonomisk motiveret | Lilla Vallhund |
Nat tsunami | DEV-0336 | Offensiv aktør i den private sektor | NSO-gruppe |
Nylontyfon | NIKKEL | Kina | ke3chang, APT15, Vixen Panda |
Octo Tempest | Storm-0875 | Økonomisk motiveret | 0ktapus, scattered Spider, UNC3944 |
Onyx Sleet | PLUTONIUM | Nordkorea | APT45, Silent Chollima, Andariel, DarkSeoul |
Opal Sleet | OSMIUM | Nordkorea | Konni |
Ferskensandstorm | HOLMIUM | Iran | APT33, raffineret killing |
Perle sleet | DEV-0215 (LAWRENCIUM) | Nordkorea | |
Periwinkle Tempest | DEV-0193 | Økonomisk motiveret | Guiden Edderkop, UNC2053 |
Phlox Tempest | DEV-0796 | Økonomisk motiveret | ClickPirate, Chrome Loader, Choziosi loader |
Pink Sandstorm | AMERICIUM | Iran | Agrius, Deadwood, BlackShadow, SharpBoys |
Pistachio Tempest | DEV-0237 | Økonomisk motiveret | FIN12 |
Plaid regn | POLONIUM | Libanon | |
Græskarsandstorm | DEV-0146 | Iran | ZeroCleare |
Lilla tyfon | KALIUM | Kina | APT10, Cloudhopper, MenuPass |
Hindbær typhoon | RADIUM | Kina | APT30, LotusBlossom |
Ruby Sleet | CERIUM | Nordkorea | |
Ruza-oversvømmelse | Storm-1099 | Rusland, indflydelsesoperationer | |
Salmon Typhoon | SODIUM | Kina | APT4, Maverick Panda |
Salt Typhoon | Kina | GhostEmperor, FamousSparrow | |
Sangria Tempest | ELBRUS | Økonomisk motiveret | Carbon Spider, FIN7 |
Sapphire Sleet | COPERNICIUM | Nordkorea | Genie Spider, BlueNoroff |
Seashell Blizzard | IRIDIUM | Rusland | APT44, Sandorm |
Hemmelig Blizzard | KRYPTON | Rusland | Venomous Bear, Turla, Snake |
Sefid Flood | Storm-1364 | Iran, drift af indflydelse | |
Silketyfon | HAFNIUM | Kina | |
Røg sandstorm | BOHRIUM | Iran | UNC1549 |
Spandex Tempest | CHIMBORAZO | Økonomisk motiveret | TA505 |
Stjerneblizzard | SEABORGIUM | Rusland | Callisto, Genbrug team |
Storm-0062 | Kina | DarkShadow, Oro0lxy | |
Storm-0133 | Iran | LYCEUM, HEXANE | |
Storm-0216 | Økonomisk motiveret | Snoet edderkop, UNC2198 | |
Storm-0257 | Gruppe i udvikling | UNC1151 | |
Storm-0324 | Økonomisk motiveret | TA543, Sagrid | |
Storm-0381 | Økonomisk motiveret | ||
Storm-0501 | Gruppe i udvikling | ||
Storm-0506 | Gruppe i udvikling | ||
Storm-0530 | Nordkorea | H0lyGh0st | |
Storm-0539 | Økonomisk motiveret | Atlas Løve | |
Storm-0569 | Økonomisk motiveret | ||
Storm-0587 | Rusland | SaintBot, Saint Bear, TA471 | |
Storm-0744 | Økonomisk motiveret | ||
Storm-0784 | Iran | ||
Storm-0829 | Gruppe i udvikling | Nwgen-team | |
Storm-0835 | Gruppe i udvikling | EvilProxy | |
Storm-0842 | Iran | ||
Storm-0844 | Gruppe i udvikling | ||
Storm-0861 | Iran | ||
Storm-0867 | Egypten | Koffein | |
Storm-0971 | Økonomisk motiveret | (Flettet ind i Octo Tempest) | |
Storm-0978 | Gruppe i udvikling | RomCom, underjordiske team | |
Storm-1044 | Økonomisk motiveret | Danabot | |
Storm-1084 | Iran | Mørkbit | |
Storm-1101 | Gruppe i udvikling | NakedPages | |
Storm-1113 | Økonomisk motiveret | ||
Storm-1133 | Det palæstinensiske selvstyre | ||
Storm-1152 | Økonomisk motiveret | ||
Storm-1167 | Indonesien | ||
Storm-1175 | Økonomisk motiveret | ||
Storm-1283 | Gruppe i udvikling | ||
Storm-1286 | Gruppe i udvikling | ||
Storm-1295 | Gruppe i udvikling | Storhed | |
Storm-1516 | Rusland, indflydelsesoperationer | ||
Storm-1567 | Økonomisk motiveret | Akira | |
Storm-1575 | Gruppe i udvikling | Dadsec | |
Storm-1660 | Iran, drift af indflydelse | ||
Storm-1674 | Økonomisk motiveret | ||
Storm-1679 | Rusland, indflydelsesoperationer | ||
Storm-1804 | Iran, drift af indflydelse | ||
Storm-1805 | Iran, drift af indflydelse | ||
Storm-1811 | Økonomisk motiveret | ||
Storm-1841 | Rusland, indflydelsesoperationer | ||
Storm-1849 | Kina | UAT4356 | |
Storm-1852 | Gruppe i udvikling | ||
Storm-2035 | Iran, drift af indflydelse | ||
Strawberry Tempest | Økonomisk motiveret | LAPSUS$ | |
Sunglow Blizzard | Rusland | ||
Taizi-oversvømmelse | Storm-1376 | Kina, drift af indflydelse | Spamouflage, Dragonbridge |
Tomat Tempest | SPORER | Økonomisk motiveret | Vatet |
Vanilla Tempest | DEV-0832 | Økonomisk motiveret | |
Velvet Tempest | DEV-0504 | Økonomisk motiveret | |
Violet tyfon | ZIRCONIUM | Kina | APT31 |
Volt Typhoon | Kina | BRONZE SILHUET, VANGUARD PANDA | |
Vin Tempest | PARINACOTA | Økonomisk motiveret | Wadhrama |
Wisteria Tsunami | DEV-0605 | Offensiv aktør i den private sektor | CyberRoot |
Zigzag Hail | DUBNIUM | Sydkorea | Dark Hotel, Tapaoux |
Læs vores meddelelse om den nye taksonomi for at få flere oplysninger: https://aka.ms/threatactorsblog
At lægge intelligens i hænderne på sikkerhedseksperter
Intel-profiler i Microsoft Defender Threat Intelligence giver vigtig indsigt i trusselsaktører. Disse indsigter gør det muligt for sikkerhedsteams at få den kontekst, de har brug for, når de forbereder sig på og reagerer på trusler.
Derudover giver API'en til Microsoft Defender Threat Intelligence Intel Profiles den nyeste synlighed af trusselsaktørernes infrastruktur i branchen i dag. Opdaterede oplysninger er afgørende for at gøre det muligt for SecOps-teams (Threat Intelligence and Security Operations) at strømline deres avancerede arbejdsprocesser til trusselssøgning og -analyse. Få mere at vide om denne API i dokumentationen: Brug trusselsintelligens-API‘er i Microsoft Graph (prøveversion).
Ressourcer
Brug følgende forespørgsel på Microsoft Defender XDR og andre Microsoft-sikkerhedsprodukter, der understøtter Kusto-forespørgselssproget (KQL) til at få oplysninger om en trusselsaktør ved hjælp af det gamle navn, det nye navn eller branchenavnet:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Følgende filer, der indeholder den omfattende tilknytning af gamle navne på trusselsaktører med deres nye navne, er også tilgængelige: