Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft bruger en navngivnings taksonomi for trusselsaktører, der er tilpasset temaet vejr. Vi har til hensigt at skabe bedre klarhed for kunder og andre sikkerhedsforskere med denne taksonomi. Vi tilbyder en mere organiseret, velformuleret og nem måde at henvise trusselsaktører på, så organisationer bedre kan prioritere og beskytte sig selv. Vi sigter også mod at hjælpe sikkerhedsforskere, der allerede konfronteres med en overvældende mængde trusselsintelligensdata.
Microsoft kategoriserer trusselsaktører i fem nøglegrupper:
Nationalstatsaktører: cyberoperatører, der handler på vegne af eller instrueret af et nation/statsjusteret program, uanset om det er for spionage, økonomisk gevinst eller gengældelse. Microsoft bemærkede, at de fleste nationalstatsaktører fortsat retter operationer og angreb mod statslige organer, mellemstatslige organisationer, NGO'er, og tænketanke for traditionelle spionage eller overvågning mål.
Økonomisk motiverede aktører: cyber kampagner / grupper instrueret af en kriminel organisation / person med motivation for økonomisk gevinst og er ikke forbundet med høj tillid til en kendt ikke-national stat eller kommerciel enhed. Denne kategori omfatter ransomware operatører, kompromittering af virksomhedsmail, phishing, og andre grupper med rent finansielle eller afpresningsmotiver.
Offensive aktører i den private sektor (PSOA'er): cyberaktivitet ledet af kommercielle aktører, der er kendte/legitime juridiske enheder, der opretter og sælger cyberweapons til kunder, der derefter vælger mål og driver cyberweapons. Disse værktøjer blev observeret målrettet og overvåget dissidenter, menneskerettighedsforkæmpere, journalister, civilsamfundsfortalere og andre private borgere og truer mange globale menneskerettighedsbestræbelser.
Indflydelseshandlinger: informationskampagner, der kommunikeres online eller offline på en manipulerende måde for at flytte opfattelser, adfærd eller beslutninger fra målgrupper for at fremme en gruppes eller en nations interesser og mål.
Grupper under udvikling: en midlertidig betegnelse, der gives til en ukendt, spirende eller udviklende trusselsaktivitet. Denne betegnelse giver Microsoft mulighed for at spore en gruppe som et diskret sæt oplysninger, indtil vi kan opnå stor tillid til oprindelsen eller identiteten af den aktør, der står bag handlingen. Når kriterierne er opfyldt, konverteres en gruppe under udvikling til en navngiven agent eller flettes med eksisterende navne.
I denne taksonomi repræsenterer en vejrbegivenhed eller et familienavn en af ovenstående kategorier. For nationale aktører har vi tildelt et familienavn til et land/område, der er knyttet til tilskrivelsen. Typhoon angiver f.eks. oprindelse eller tilskrivning til Kina. For andre aktører repræsenterer efternavnet en motivation. Tempest angiver f.eks. økonomisk motiverede aktører.
Trusselsaktører i den samme vejrfamilie får et adjektiv for at skelne mellem agentgrupper med forskellige taktikker, teknikker og procedurer (TTP'er), infrastruktur, målsætninger eller andre identificerede mønstre. For grupper i udvikling bruger vi en midlertidig betegnelse for Storm og et firecifret tal, hvor der er en nyopdaget, ukendt, spirende eller udviklende klynge af trusselsaktiviteter.
I følgende tabel kan du se, hvordan familienavnene knyttes til de trusselsaktører, vi sporer.
| Kategori for trusselsskuespiller | Type | Efternavn |
|---|---|---|
| Nationalstat | Kina Tyskland Indien Iran Nordkorea Libanon Pakistan Det palæstinensiske selvstyre Rusland Singapore Sydkorea Spanien Syrien Tyrkiet Ukraine USA Vietnam |
Tyfon Kuling Monsun Sandstorm Slud Regn Hvirvelvind Lyn Blizzard Squall Hagl Derecho Tåge Støv Frost Tornado Cyklon |
| Økonomisk motiveret | Økonomisk motiveret | Uvejr |
| Offensive aktører i den private sektor | PSOA'er | Tsunami |
| Indflydelseshandlinger | Indflydelseshandlinger | Oversvømmelse |
| Grupper under udvikling | Grupper under udvikling | Storm |
I følgende tabel vises offentligt offentliggjorte trusselsaktørnavne med deres oprindelse eller trusselsaktørkategori, tidligere navne og tilsvarende navne, der bruges af andre sikkerhedsleverandører, hvor det er muligt. Denne side opdateres, efterhånden som flere oplysninger om andre leverandørers navne bliver tilgængelige.
| Navn på trusselsaktør | Oprindelses-/trusselsaktørkategori | Andre navne |
|---|---|---|
| Ametystregn | Libanon | Vulkansk rav, flygtig cedertræ |
| Antik tyfon | Kina | Storm-0558 |
| Aqua Blizzard | Rusland | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| Berry Sandstorm | Iran | Storm-0852 |
| Blå tsunami | Israel, offensiv aktør i den private sektor | |
| Brass Typhoon | Kina | BARIUM, WICKED PANDA, APT41 |
| Brokade typhoon | Kina | BORON, GOTHIC PANDA, UPS, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Bourgogne-sandstorm | Iran | REMIX KILLING, Cadelle, Chafer |
| Cadet Blizzard | Rusland | DEV-0586, RAV BEAR |
| Kanariske typhoon | Kina | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Lærredscyklon | Vietnam | BISMUTH, OCEAN BUFFALO, OceanLotus, APT32 |
| Karamel tsunami | Israel, offensiv aktør i den private sektor | DEV-0236 |
| Carmine Tsunami | Offensiv aktør i den private sektor | |
| Kultyfon | Kina | CHROMIUM, AQUATIC PANDA, ControlX, RedHotel, BRONZE UNIVERSITY |
| Ternet tyfon | Kina | KLOR, DEEP PANDA, ATG50, APT19, TG-3551, Red Gargoyle |
| Kanel tempest | Kina, økonomisk motiveret | DEV-0401, HighGround |
| Cirkeltyfon | Kina | DEV-0322, EMISSARY PANDA, APT6, APT27 |
| Citrine Sleet | Nordkorea | Storm-0139, Storm-1222, LABYRINTH CHOLLIMA |
| Bomuldssandstorm | Iran | NEPTUNIUM, HAYWIRE KILLING, Vice Leaker |
| CovertNetwork-1658 | Skjult netværk | ORB07 |
| Halvmånetyfon | Kina | CÆSIUM |
| Crimson Sandstorm | Iran | CURIUM, IMPERIAL KILLING, Tortoise Shell, HOUSEBLEND, TA456 |
| Kuboid sandstorm | Iran | DEV-0228, IMPERIAL KILLING |
| Denim Tsunami | Østrig, offensiv aktør i den private sektor | DEV-0291 |
| Diamantsleet | Nordkorea | ZINK, LABYRINTH CHOLLIMA, Sort Artemis, Lazarus |
| Smaragd sløjfe | Nordkorea | THALLIUM, VELVET CHOLLIMA, RGB-D5, Black Banshee, Kimsuky, Greendinosa |
| Fallow Squall | Singapore | PLATINUM, PARASIT, RUBYVINE, GINGERSNAP |
| Hørtyfon | Kina | Storm-0919, ETHEREAL PANDA |
| Skovblizzard | Rusland | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Spøgelsesblizzard | Rusland | BROMINE, BERSERK BEAR, TG-4192, Koala Team, Blue Kraken, Crouching Yeti, Dragonfly |
| Gingham Typhoon | Kina | GADOLINIUM, KRYPTONITE PANDA, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Granit typhoon | Kina | GALLIUM, FANTOMPANDA |
| Grå sandstorm | Iran | DEV-0343 |
| Hasselsandstorm | Iran | EUROPIUM, HELIX KILLING, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Hjertetyfon | Kina | HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| Sekskantet tyfon | Kina | HYDROGEN, NUMBERED PANDA, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE |
| Houndstooth Typhoon | Kina | HASSIUM, DRAGNET PANDA, isoon, deepclif |
| Jade Sleet | Nordkorea | Storm-0954, LABYRINTH CHOLLIMA |
| Blonder Tempest | Økonomisk motiveret | DEV-0950 |
| Citronsandstorm | Iran | RUBIDIUM, PIONER KILLING |
| Leopard Typhoon | Kina | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lilac Typhoon | Kina | DEV-0234 |
| Hørtyfon | Kina | IODINE, EMISSARY PANDA, Red Phoenix, Hippo, Lucky Mouse, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Økonomisk motiveret | |
| Magenta-støv | Tyrkiet | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Rusland | DEV-0243, INDRIK SPIDER |
| Mango Sandstorm | Iran | KVIKSØLV, STATISK KILLING, SeedWorm, TEMP. Zagros, MuddyWater |
| Marmoreret støv | Tyrkiet | SILICIUM, COSMIC WOLF, havskildpadde, UNC1326 |
| Marigold Sandstorm | Iran | DEV-500, VENGEFUL KILLING |
| Midnatsblizzard | Rusland | NOBELIUM, HYGGELIG BJØRN, UNC2452, APT29 |
| Mint Sandstorm | Iran | FOSFOR, CHARMING KILLING, Parastoo, Nyhedscaster, APT35 |
| Månestens slænge | Nordkorea | Storm-1789, LABYRINTH CHOLLIMA |
| Mulberry Typhoon | Kina | MANGANESE, KEYHOLE PANDA, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, APT5, ATG48, TG-2754, tabcteng |
| Sennep Tempest | Økonomisk motiveret | DEV-0206, INDRIK SPIDER |
| Neva Flood | Rusland, indflydelsesoperationer | Storm-1516, CopyCop |
| Nat tsunami | Israel | DEV-0336 |
| Nylontyfon | Kina | NICKEL, VIXEN PANDA, Playful Dragon, RedRiver, ke3chang, APT15, Mirage |
| Octo Tempest | Økonomisk motiveret | SCATTERED SPIDER, 0ktapus |
| Onyx Sleet | Nordkorea | PLUTONIUM, SILENT CHOLLIMA, StoneFly, Tdrop2 campaign, DarkSeoul, Black Chollima, Andariel, APT45 |
| Opal Sleet | Nordkorea | OSMIUM, VELVET CHOLLIMA, Planedown, Konni, APT43 |
| Ferskensandstorm | Iran | HOLMIUM, RAFFINERET KILLING, APT33, Elfin |
| Perle sleet | Nordkorea | LAWRENCIUM |
| Periwinkle Tempest | Rusland | DEV-0193, WIZARD SPIDER |
| Phlox Tempest | Israel, økonomisk motiveret | DEV-0796 |
| Pink Sandstorm | Iran | AMERICIUM, SPECTRAL KILLING, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lyn | NIOBIUM, RENEGADE JACKAL, Desert Falcons, Scimitar, Arid Viper | |
| Pistachio Tempest | Økonomisk motiveret | DEV-0237 |
| Plaid regn | Libanon | POLONIUM,CENDIARY JACKAL |
| Græskarsandstorm | Iran | DEV-0146 |
| Lilla tyfon | Kina | POTASSIUM, STONE PANDA, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Hindbær typhoon | Kina | RADIUM, LOTUS PANDA, LotusBlossom, APT30 |
| Rød sandstorm | Iran | Storm-0842, FORVIST KILLING, Void Manticore |
| Ruby Sleet | Nordkorea | CERIUM, VELVET CHOLLIMA |
| Ruza-oversvømmelse | Rusland, indflydelsesoperationer | |
| Salmon Typhoon | Kina | NATRIUM, MAVERICK PANDA, APT4 |
| Salt Typhoon | Kina | OPERATOR PANDA, GhostEmperor, FamousSparrow |
| Sangria Tempest | Ukraine, økonomisk motiveret | ELBRUS, KULSTOF EDDERKOP |
| Sapphire Sleet | Nordkorea | COPERNICIUM, STARDUST CHOLLIMA, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satin Typhoon | Kina | SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Rusland | IRIDIUM, VOODOO BEAR, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Hemmelig Blizzard | Rusland | KRYPTON, VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid Flood | Iran, drift af indflydelse | |
| Skyggetyfon | Kina | Storm-0062, DarkShadow, Oro0lxy |
| Silketyfon | Kina | HAFNIUM, MURKY PANDA, timmy |
| Røg sandstorm | Iran | IMPERIAL KILLING, UNC1549 |
| Spandex Tempest | Økonomisk motiveret | MONTY SPIDER, TA505 |
| Stjerneblizzard | Rusland | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Økonomisk motiveret | TUNNEL EDDERKOP, UNC2198 |
| Storm-0230 | Gruppe i udvikling | WIZARD SPIDER, Conti Team 1 |
| Storm-0247 | Kina | ToddyCat, Websiic |
| Storm-0252 | Gruppe i udvikling | CHATTY SPIDER |
| Storm-0288 | Gruppe i udvikling | FIN8 |
| Storm-0302 | Gruppe i udvikling | NARHVAL EDDERKOP, TA544 |
| Storm-0408 | Gruppe i udvikling | |
| Storm-0485 | Gruppe i udvikling | |
| Storm-0501 | Økonomisk motiveret | |
| Storm-0538 | Gruppe i udvikling | SKELET EDDERKOP, FIN6 |
| Storm-0539 | Økonomisk motiveret | |
| Storm-0569 | Økonomisk motiveret | |
| Storm-0671 | Gruppe i udvikling | UNC2596, Tropicalscorpius |
| Storm-0940 | Kina | |
| Storm-0978 | Rusland | RomCom, underjordiske team |
| Storm-1101 | Gruppe i udvikling | |
| Storm-1113 | Økonomisk motiveret | APOTEKER EDDERKOP |
| Storm-1152 | Økonomisk motiveret | |
| Storm-1175 | Kina, økonomisk motiveret | |
| Storm-1194 | Gruppe i udvikling | MONTI |
| Storm-1249 | Gruppe i udvikling | |
| Storm-1516 | Rusland, indflydelsesoperationer | |
| Storm-1567 | Økonomisk motiveret | PUNK EDDERKOP |
| Storm-1674 | Økonomisk motiveret | |
| Storm-1679 | Indflydelseshandlinger | |
| Storm-1811 | Økonomisk motiveret | KRØLLET EDDERKOP |
| Storm-1865 | Gruppe i udvikling | |
| Storm-1982 | Kina | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, drift af indflydelse | |
| Storm-2077 | Kina | TAG-100 |
| Storm-2372 | Gruppe i udvikling | |
| Strawberry Tempest | Økonomisk motiveret | DEV-0537, SLIPPY SPIDER, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Hvirvl typhoon | Kina | TELLURIUM, STALKER PANDA, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Typhoon | Kina | TECHNETIUM, TURBINE PANDA, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi-oversvømmelse | Kina, drift af indflydelse | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | Kina | THORIUM, Karst |
| Twill Typhoon | Kina | TANTALUM, MUSTANG PANDA, BRONZE PRESIDENT, LuminousMoth |
| Vanilla Tempest | Økonomisk motiveret | DEV-0832, VICE SPIDER, Vice Society |
| Velvet Tempest | Økonomisk motiveret | DEV-0504, ALPHA SPIDER |
| Violet tyfon | Kina | ZIRCONIUM, JUDGMENT PANDA, Chameleon, APT31, WebFans |
| Ugyldig Blizzard | Rusland | Vaskebjørn |
| Volga-oversvømmelse | Rusland, indflydelsesoperationer | Storm-1841, Rybar |
| Volt Typhoon | Kina | VANGUARD PANDA, BRONZE SILHUET |
| Hvede tempest | Økonomisk motiveret | GULD, Gatak |
| Wisteria Tsunami | Indien, offensiv aktør i den private sektor | DEV-0605, MintedSoil |
| Yulong Flood | Kina, drift af indflydelse | Storm-1852 |
| Zigzag Hail | Sydkorea | DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
Læs vores meddelelse om denne taksonomi for at få flere oplysninger: https://aka.ms/threatactorsblog
At lægge intelligens i hænderne på sikkerhedseksperter
Intel-profiler i Microsoft Defender Threat Intelligence giver vigtig indsigt i trusselsaktører. Disse indsigter gør det muligt for sikkerhedsteams at få den kontekst, de har brug for, når de forbereder sig på og reagerer på trusler.
Derudover giver API'en til Microsoft Defender Threat Intelligence Intel Profiles den nyeste synlighed af trusselsaktørernes infrastruktur i branchen i dag. Opdaterede oplysninger er afgørende for at gøre det muligt for SecOps-teams (Threat Intelligence and Security Operations) at strømline deres avancerede arbejdsprocesser til trusselssøgning og -analyse. Få mere at vide om denne API i dokumentationen: Brug trusselsintelligens-API‘er i Microsoft Graph (prøveversion).
Ressourcer
Brug følgende forespørgsel på Microsoft Defender XDR og andre Microsoft-sikkerhedsprodukter, der understøtter Kusto-forespørgselssproget (KQL) til at få oplysninger om en trusselsaktør ved hjælp af det gamle navn, det nye navn eller branchenavnet:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Følgende filer, der indeholder den omfattende tilknytning af gamle navne på trusselsaktører med deres nye navne, er også tilgængelige: