Del via


Sådan navngiver Microsoft trusselsaktører

Microsoft skiftede til en ny navngivnings taksonomi for trusselsaktører, der er tilpasset temaet vejr. Vi har til hensigt at skabe bedre klarhed for kunder og andre sikkerhedsforskere med den nye taksonomi. Vi tilbyder en mere organiseret, velformuleret og nem måde at henvise trusselsaktører på, så organisationer bedre kan prioritere og beskytte sig selv og hjælpe sikkerhedsforskere, der allerede står over for en overvældende mængde trusselsintelligensdata.

Nationalstatsaktører baseret på Microsofts navngivning

Microsoft kategoriserer trusselsaktører i fem nøglegrupper:

Nationalstatsaktører: cyberoperatører, der handler på vegne af eller instrueret af et nation/statsjusteret program, uanset om det er for spionage, økonomisk gevinst eller gengældelse. Microsoft bemærkede, at de fleste nationalstatsaktører fortsat retter operationer og angreb mod statslige organer, mellemstatslige organisationer, NGO'er, og tænketanke for traditionelle spionage eller overvågning mål.

Økonomisk motiverede aktører: cyberkampagner/-grupper, der ledes af en kriminel organisation/person med økonomisk gevinst som motiv og ikke er forbundet med høj tillid til en kendt ikke-nationalstat eller kommerciel enhed. Denne kategori omfatter ransomware operatører, kompromittering af virksomhedsmail, phishing, og andre grupper med rent finansielle eller afpresningsmotiver.

Offensive aktører i den private sektor (PSOA'er): cyberaktivitet ledet af kommercielle aktører, der er kendte/legitime juridiske enheder, der opretter og sælger cyberweapons til kunder, der derefter vælger mål og driver cyberweapons. Disse værktøjer blev observeret målrettet og overvåget dissidenter, menneskerettighedsforkæmpere, journalister, civilsamfundsfortalere og andre private borgere og truer mange globale menneskerettighedsbestræbelser.

Indflydelseshandlinger: informationskampagner, der kommunikeres online eller offline på en manipulerende måde for at flytte opfattelser, adfærd eller beslutninger fra målgrupper for at fremme en gruppes eller en nations interesser og mål.

Grupper under udvikling: en midlertidig betegnelse, der gives til en ukendt, spirende eller udviklende trusselsaktivitet. Denne betegnelse giver Microsoft mulighed for at spore en gruppe som et diskret sæt oplysninger, indtil vi kan opnå stor tillid til oprindelsen eller identiteten af den aktør, der står bag handlingen. Når kriterierne er opfyldt, konverteres en gruppe under udvikling til en navngiven agent eller flettes med eksisterende navne.

I vores nye taksonomi repræsenterer en vejrbegivenhed eller et familienavn en af ovenstående kategorier. For nationale aktører har vi tildelt et familienavn til et land/område, der er knyttet til tilskrivelsen, f.eks. angiver Typhoon oprindelse eller tilskrivning til Kina. For andre aktører repræsenterer efternavnet en motivation. Tempest angiver f.eks. økonomisk motiverede aktører.

Trusselsaktører i den samme vejrfamilie får et adjektiv for at skelne mellem agentgrupper med forskellige taktikker, teknikker og procedurer (TTP'er), infrastruktur, målsætninger eller andre identificerede mønstre. For grupper under udvikling bruger vi en midlertidig betegnelse for Storm og et firecifret tal, hvor der er en nyopdaget, ukendt, spirende eller udviklende klynge af trusselsaktiviteter.

Tabellen viser, hvordan de nye familienavne knyttes til de trusselsaktører, vi sporer.

Agentkategori Type Efternavn
Nationalstat Kina
Iran
Libanon
Nordkorea
Rusland
Sydkorea
Tyrkiet
Vietnam
Tyfon
Sandstorm
Regn
Slud
Blizzard
Hagl
Støv
Cyklon
Økonomisk motiveret Økonomisk motiveret Uvejr
Offensive aktører i den private sektor PSOA'er Tsunami
Indflydelseshandlinger Indflydelseshandlinger Oversvømmelse
Grupper under udvikling Grupper under udvikling Storm

Brug følgende referencetabel til at forstå, hvordan vores tidligere offentliggjorte gamle navne på trusselsaktører oversættes til vores nye taksonomi.

Navn på trusselsaktør Forrige navn Oprindelse/trussel Andre navne
Antik tyfon Storm-0558 Kina
Aqua Blizzard ACTINIUM Rusland UNC530, Primitiv Bear, Gamaredon
Blå tsunami Offensiv aktør i den private sektor Sort kube
Brass Typhoon BARIUM Kina APT41
Cadet Blizzard DEV-0586 Rusland
Camouflage Tempest TAAL Økonomisk motiveret FIN6, skelet edderkop
Lærredscyklon BISMUTH Vietnam APT32, OceanLotus
Karamel tsunami SOURGUM Offensiv aktør i den private sektor Candiru
Carmine Tsunami DEV-0196 Offensiv aktør i den private sektor QuaDream
Kultyfon CHROM Kina ControlX
Kanel tempest DEV-0401 Økonomisk motiveret Kejser dragonfly, Bronze Starlight
Cirkeltyfon DEV-0322 Kina
Citrine Sleet DEV-0139, DEV-1222 Nordkorea AppleJeus, Labyrinth Chollima, UNC4736
Bomuldssandstorm DEV-0198 (NEPTUNIUM) Iran Vicelækage
Crimson Sandstorm CURIUM Iran TA456, Tortoise Shell
Kuboid sandstorm DEV-0228 Iran
Denim Tsunami PILEURT Offensiv aktør i den private sektor DSIRF
Diamantsleet ZINK Nordkorea Labyrinth Chollima, Lazarus
Smaragd sløjfe THALLIUM Nordkorea Kimsuky, Velvet Chollima
Hørtyfon Storm-0919 Kina Ethereal Panda
Skovblizzard STRONTIUM Rusland APT28, fancy bjørn
Spøgelsesblizzard BROM Rusland Energisk bjørn, sammenkrøbent yeti
Gingham Typhoon GADOLINIUM Kina APT40, Leviathan, TEMP. Periscope, Kryptonite Panda
Granit typhoon GALLIUM Kina
Grå sandstorm DEV-0343 Iran
Hasselsandstorm EUROPIUM Iran Cobalt Sigøjner, APT34, OilRig
Jade Sleet Storm-0954 Nordkorea TraderTraitor, UNC4899
Blonder Tempest DEV-0950 Økonomisk motiveret FIN11, TA505
Citronsandstorm RUBIDIUM Iran Fox Kitten, UNC757, PioneerKitten
Leopard Typhoon BLY Kina KAOS, Mana, Winnti, Red Diablo
Lilac Typhoon DEV-0234 Kina
Luna Tempest Storm-0744 Økonomisk motiveret
Manatee Tempest DEV-0243 Økonomisk motiveret EvilCorp, UNC2165, Indrik Spider
Mango Sandstorm KVIKSØLV Iran MuddyWater, SeedWorm, Static Killing, TEMP. Zagros
Marmoreret støv SILICIUM Tyrkiet Havskildpadde
Marigold Sandstorm DEV-0500 Iran Moses-personale
Midnatsblizzard NOBELIUM Rusland APT29, hyggelig bjørn
Mint Sandstorm FOSFOR Iran APT35, charmerende killing
Månestens slænge Storm-1789 Nordkorea
Mulberry Typhoon MANGAN Kina APT5, Keyhole Panda, TABCTENG
Sennep Tempest DEV-0206 Økonomisk motiveret Lilla Vallhund
Nat tsunami DEV-0336 Offensiv aktør i den private sektor NSO-gruppe
Nylontyfon NIKKEL Kina ke3chang, APT15, Vixen Panda
Octo Tempest Storm-0875 Økonomisk motiveret 0ktapus, scattered Spider, UNC3944
Onyx Sleet PLUTONIUM Nordkorea APT45, Silent Chollima, Andariel, DarkSeoul
Opal Sleet OSMIUM Nordkorea Konni
Ferskensandstorm HOLMIUM Iran APT33, raffineret killing
Perle sleet DEV-0215 (LAWRENCIUM) Nordkorea
Periwinkle Tempest DEV-0193 Økonomisk motiveret Guiden Edderkop, UNC2053
Phlox Tempest DEV-0796 Økonomisk motiveret ClickPirate, Chrome Loader, Choziosi loader
Pink Sandstorm AMERICIUM Iran Agrius, Deadwood, BlackShadow, SharpBoys
Pistachio Tempest DEV-0237 Økonomisk motiveret FIN12
Plaid regn POLONIUM Libanon
Græskarsandstorm DEV-0146 Iran ZeroCleare
Lilla tyfon KALIUM Kina APT10, Cloudhopper, MenuPass
Hindbær typhoon RADIUM Kina APT30, LotusBlossom
Ruby Sleet CERIUM Nordkorea
Ruza-oversvømmelse Storm-1099 Rusland, indflydelsesoperationer
Salmon Typhoon SODIUM Kina APT4, Maverick Panda
Salt Typhoon Kina GhostEmperor, FamousSparrow
Sangria Tempest ELBRUS Økonomisk motiveret Carbon Spider, FIN7
Sapphire Sleet COPERNICIUM Nordkorea Genie Spider, BlueNoroff
Seashell Blizzard IRIDIUM Rusland APT44, Sandorm
Hemmelig Blizzard KRYPTON Rusland Venomous Bear, Turla, Snake
Sefid Flood Storm-1364 Iran, drift af indflydelse
Silketyfon HAFNIUM Kina
Røg sandstorm BOHRIUM Iran UNC1549
Spandex Tempest CHIMBORAZO Økonomisk motiveret TA505
Stjerneblizzard SEABORGIUM Rusland Callisto, Genbrug team
Storm-0062 Kina DarkShadow, Oro0lxy
Storm-0133 Iran LYCEUM, HEXANE
Storm-0216 Økonomisk motiveret Snoet edderkop, UNC2198
Storm-0257 Gruppe i udvikling UNC1151
Storm-0324 Økonomisk motiveret TA543, Sagrid
Storm-0381 Økonomisk motiveret
Storm-0501 Gruppe i udvikling
Storm-0506 Gruppe i udvikling
Storm-0530 Nordkorea H0lyGh0st
Storm-0539 Økonomisk motiveret Atlas Løve
Storm-0569 Økonomisk motiveret
Storm-0587 Rusland SaintBot, Saint Bear, TA471
Storm-0744 Økonomisk motiveret
Storm-0784 Iran
Storm-0829 Gruppe i udvikling Nwgen-team
Storm-0835 Gruppe i udvikling EvilProxy
Storm-0842 Iran
Storm-0844 Gruppe i udvikling
Storm-0861 Iran
Storm-0867 Egypten Koffein
Storm-0971 Økonomisk motiveret (Flettet ind i Octo Tempest)
Storm-0978 Gruppe i udvikling RomCom, underjordiske team
Storm-1044 Økonomisk motiveret Danabot
Storm-1084 Iran Mørkbit
Storm-1101 Gruppe i udvikling NakedPages
Storm-1113 Økonomisk motiveret
Storm-1133 Det palæstinensiske selvstyre
Storm-1152 Økonomisk motiveret
Storm-1167 Indonesien
Storm-1175 Økonomisk motiveret
Storm-1283 Gruppe i udvikling
Storm-1286 Gruppe i udvikling
Storm-1295 Gruppe i udvikling Storhed
Storm-1516 Rusland, indflydelsesoperationer
Storm-1567 Økonomisk motiveret Akira
Storm-1575 Gruppe i udvikling Dadsec
Storm-1660 Iran, drift af indflydelse
Storm-1674 Økonomisk motiveret
Storm-1679 Rusland, indflydelsesoperationer
Storm-1804 Iran, drift af indflydelse
Storm-1805 Iran, drift af indflydelse
Storm-1811 Økonomisk motiveret
Storm-1841 Rusland, indflydelsesoperationer
Storm-1849 Kina UAT4356
Storm-1852 Gruppe i udvikling
Storm-2035 Iran, drift af indflydelse
Strawberry Tempest Økonomisk motiveret LAPSUS$
Sunglow Blizzard Rusland
Taizi-oversvømmelse Storm-1376 Kina, drift af indflydelse Spamouflage, Dragonbridge
Tomat Tempest SPORER Økonomisk motiveret Vatet
Vanilla Tempest DEV-0832 Økonomisk motiveret
Velvet Tempest DEV-0504 Økonomisk motiveret
Violet tyfon ZIRCONIUM Kina APT31
Volt Typhoon Kina BRONZE SILHUET, VANGUARD PANDA
Vin Tempest PARINACOTA Økonomisk motiveret Wadhrama
Wisteria Tsunami DEV-0605 Offensiv aktør i den private sektor CyberRoot
Zigzag Hail DUBNIUM Sydkorea Dark Hotel, Tapaoux

Læs vores meddelelse om den nye taksonomi for at få flere oplysninger: https://aka.ms/threatactorsblog

At lægge intelligens i hænderne på sikkerhedseksperter

Intel-profiler i Microsoft Defender Threat Intelligence giver vigtig indsigt i trusselsaktører. Disse indsigter gør det muligt for sikkerhedsteams at få den kontekst, de har brug for, når de forbereder sig på og reagerer på trusler.

Derudover giver API'en til Microsoft Defender Threat Intelligence Intel Profiles den nyeste synlighed af trusselsaktørernes infrastruktur i branchen i dag. Opdaterede oplysninger er afgørende for at gøre det muligt for SecOps-teams (Threat Intelligence and Security Operations) at strømline deres avancerede arbejdsprocesser til trusselssøgning og -analyse. Få mere at vide om denne API i dokumentationen: Brug trusselsintelligens-API‘er i Microsoft Graph (prøveversion).

Ressourcer

Brug følgende forespørgsel på Microsoft Defender XDR og andre Microsoft-sikkerhedsprodukter, der understøtter Kusto-forespørgselssproget (KQL) til at få oplysninger om en trusselsaktør ved hjælp af det gamle navn, det nye navn eller branchenavnet:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

Følgende filer, der indeholder den omfattende tilknytning af gamle navne på trusselsaktører med deres nye navne, er også tilgængelige: