Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft verwendet eine Namenstaxonomie für Bedrohungsakteure, die auf das Thema Wetter abgestimmt ist. Wir beabsichtigen, kunden und anderen Sicherheitsforschern mit dieser Taxonomie mehr Klarheit zu bringen. Wir bieten eine besser organisierte, artikulierte und einfache Möglichkeit, auf Bedrohungsakteure zu verweisen, damit Organisationen sich selbst besser priorisieren und schützen können. Wir wollen auch Sicherheitsforschern helfen, die bereits mit einer überwältigenden Menge an Threat Intelligence-Daten konfrontiert sind.
Microsoft kategorisiert Bedrohungsakteure in fünf Schlüsselgruppen:
Nationalstaatliche Akteure: Cyber-Operatoren, die im Auftrag oder unter der Leitung eines nationalen/staatsorientierten Programms handeln, unabhängig davon, ob es sich um Spionage, finanzielle Gewinne oder Vergeltung handelt. Microsoft hat festgestellt, dass die meisten nationalen Staatlichen Akteure weiterhin Operationen und Angriffe auf Regierungsbehörden, zwischenstaatliche Organisationen, Nichtregierungsorganisationen und Think Tanks für traditionelle Spionage- oder Überwachungsziele konzentrieren.
Finanziell motivierte Akteure: Cyberkampagnen/Gruppen, die von einer kriminellen organization/Person mit Beweggründen finanzieller Gewinne geleitet werden und nicht mit großem Vertrauen zu einem bekannten Nicht-Nationalstaat oder einer kommerziellen Entität verbunden sind. Diese Kategorie umfasst Ransomware-Betreiber, Geschäftliche E-Mail-Kompromittierung, Phishing und andere Gruppen mit rein finanziellen oder Erpressungsmotiven.
Private Sector Offensive Actors (PSOAs): Cyberaktivitäten, die von kommerziellen Akteuren geleitet werden, die bekannte/legitime juristische Personen sind, die Cyber-Geräte erstellen und an Kunden verkaufen, die dann Ziele auswählen und die Cyber-Geräte betreiben. Diese Instrumente wurden beobachtet, die auf Regimekritiker, Menschenrechtsverteidiger, Journalisten, Anwälte der Zivilgesellschaft und andere Privatpersonen abzielten und diese überwachten, was viele globale Menschenrechtsbemühungen bedrohte.
Beeinflussen von Vorgängen: Informationskampagnen, die auf manipulative Weise online oder offline kommuniziert werden, um Wahrnehmungen, Verhaltensweisen oder Entscheidungen von Zielgruppen zu verschieben, um die Interessen und Ziele einer Gruppe oder Nation zu fördern.
Gruppen in der Entwicklung: eine vorübergehende Bezeichnung, die einer unbekannten, sich entwickelnden oder sich entwickelnden Bedrohungsaktivität zugewiesen wird. Diese Bezeichnung ermöglicht Es Microsoft, eine Gruppe als diskreten Satz von Informationen nachzuverfolgen, bis wir eine hohe Zuverlässigkeit hinsichtlich des Ursprungs oder der Identität des Akteurs hinter dem Vorgang erreichen können. Sobald die Kriterien erfüllt sind, wird eine Gruppe in der Entwicklung in einen benannten Akteur konvertiert oder in vorhandene Namen zusammengeführt.
In dieser Taxonomie stellt ein Wetterereignis oder familienname eine der oben genannten Kategorien dar. Für nationalstaatliche Akteure haben wir einen Familiennamen einem Land/einer Herkunftsregion zugewiesen, die an die Zuordnung gebunden ist. Beispielsweise gibt Typhoon den Ursprung oder die Zuordnung zu China an. Für andere Akteure stellt der Familienname eine Motivation dar. Tempest weist beispielsweise auf finanziell motivierte Akteure hin.
Bedrohungsakteure innerhalb derselben Wetterfamilie erhalten ein Adjektiv, um Akteurgruppen mit unterschiedlichen Taktiken, Techniken und Verfahren (TTPs), Infrastruktur, Zielen oder anderen identifizierten Mustern zu unterscheiden. Für Gruppen, die sich in der Entwicklung befinden, verwenden wir die temporäre Bezeichnung Storm und eine vierstellige Zahl, bei der ein neu entdeckter, unbekannter, sich entwickelnder Cluster mit Bedrohungsaktivitäten vorhanden ist.
Die folgende Tabelle zeigt, wie die Familiennamen den von uns nachverfolgten Bedrohungsakteuren zugeordnet werden.
| Kategorie "Bedrohungsakteur" | Typ | Familienname |
|---|---|---|
| Nationalstaat | China Deutschland Indien Iran Nordkorea Libanon Pakistan Palästinensische Gebiete Russland Singapur Südkorea Spanien Syrien Türkei Ukraine Vereinigte Staaten Vietnam |
Taifun Sturm Monsun Sandsturm Schneeregen Regen Wirbelwind Blitz Blizzard Bö Hagel Derecho Dunst Staub Frost Tornado Zyklon |
| Finanziell motiviert | Finanziell motiviert | Sturm |
| Offensive Akteure des Privatsektors | PSOAs | Tsunami |
| Beeinflussen von Vorgängen | Beeinflussen von Vorgängen | Flut |
| Gruppen in der Entwicklung | Gruppen in der Entwicklung | Sturm |
In der folgenden Tabelle sind die Namen öffentlich bekannt gegebener Bedrohungsakteur mit ihrer Herkunfts- oder Bedrohungsakteurkategorie, früheren Namen und entsprechenden Namen aufgeführt, die von anderen Sicherheitsanbietern verwendet werden, sofern verfügbar. Diese Seite wird aktualisiert, sobald weitere Informationen zu den Namen anderer Anbieter verfügbar sind.
| Name des Bedrohungsakteurs | Kategorie "Ursprung/Bedrohungsakteur" | Andere Namen |
|---|---|---|
| Amethyst Regen | Libanon | VolcanicTimber, Volatile Cedar |
| Antiker Taifun | China | Storm-0558 |
| Aqua Blizzard | Russland | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| Beerensandsturm | Iran | Storm-0852 |
| Blauer Tsunami | Israel, Offensivakteur des Privatsektors | |
| Messing-Taifun | China | BARIUM, BÖSE PANDA, APT41 |
| Brocade Typhoon | China | BOR, GOTHIC PANDA, UPS, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Burgunder Sandsturm | Iran | REMIX KITTEN, Cadelle, Chafer |
| Cadet Blizzard | Russland | DEV-0586, GLUTBÄR |
| Canary-Typhoon | China | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Canvas Cyclone | Vietnam | BISMUTH, OCEAN BUFFALO, OceanLotus, APT32 |
| Karamell-Tsunami | Israel, Offensivakteur des Privatsektors | DEV-0236 |
| Carmine Tsunami | Offensivakteur des Privatsektors | |
| Holzkohle-Typhoon | China | CHROMIUM, AQUATIC PANDA, ControlX, RedHotel, BRONZE UNIVERSITY |
| Überprüfter Typhoon | China | CHLOR, DEEP PANDA, ATG50, APT19, TG-3551, Red Gargoyle |
| Zimt-Sturm | China, finanziell motiviert | DEV-0401, HighGround |
| Kreistyphoon | China | DEV-0322, EMISSARY PANDA, APT6, APT27 |
| Citrin-Süss | Nordkorea | Storm-0139, Storm-1222, LABYRINTH CHOLLIMA |
| Baumwollsandsturm | Iran | NEPTUNIUM, HAYWIRE KÄTZCHEN, Vice Leaker |
| CovertNetwork-1658 | Verdecktes Netzwerk | ORB07 |
| Crescent Typhoon | China | CÄSIUM |
| Crimson Sandstorm | Iran | CURIUM, KAISERKÄTZCHEN, Schildkröte Shell, HOUSEBLEND, TA456 |
| Kuboider Sandsturm | Iran | DEV-0228, IMPERIAL KÄTZCHEN |
| Denim Tsunami | Österreich, Offensivakteur des Privatsektors | DEV-0291 |
| Diamantleet | Nordkorea | ZINK, LABYRINTH CHOLLIMA, Schwarze Artemis, Lazarus |
| Smaragdleet | Nordkorea | THALLIUM, SAMT CHOLLIMA, RGB-D5, Black Banshee, Kimsuky, Greendinosa |
| Fallow Squall | Singapur | PLATIN, PARASITE, RUBYVINE, GINGERSNAP |
| Flax-Typhoon | China | Storm-0919, ETHEREAL PANDA |
| Wald-Schneesturm | Russland | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Russland | BROMIN, BERSERK BEAR, TG-4192, Koala Team, Blue Kraken, Crouching Yeti, Libelle |
| Gingham Typhoon | China | GADOLINIUM, KRYPTONIT PANDA, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Granit-Typhoon | China | GALLIUM, PHANTOM PANDA |
| Grauer Sandsturm | Iran | DEV-0343 |
| Haszel Sandsturm | Iran | EUROPIUM, HELIX KÄTZCHEN, KOLBALT GYPSY, Crambus, OilRig, APT34 |
| Herzfehler | China | HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| Hexagon Typhoon | China | HYDROGEN, NUMBERED PANDA, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE |
| Houndstooth Typhoon | China | HASSIUM, DRAGNET PANDA, isoon, deepclif |
| Jade Sleet | Nordkorea | Storm-0954, LABYRINTH CHOLLIMA |
| Spitze Tempest | Finanziell motiviert | DEV-0950 |
| Zitronensandsturm | Iran | RUBIDIUM, PIONIERKÄTZCHEN |
| Leoparden-Taifun | China | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lilac Typhoon | China | DEV-0234 |
| Leinen-Typhoon | China | IODINE, EMISSARY PANDA, Red Phoenix, Hippo, Lucky Mouse, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Finanziell motiviert | |
| Magenta-Staub | Türkei | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Russland | DEV-0243, INDRIK SPIDER |
| Mango Sandsturm | Iran | MERCURY, STATIC KITTEN, SeedWorm, TEMP. Zagros, MuddyWater |
| Marmorierter Staub | Türkei | SILICON, COSMIC WOLF, Meeresschildkröte, UNC1326 |
| Ringelblume Sandsturm | Iran | DEV-500, VENGEFUL KÄTZCHEN |
| Midnight Blizzard | Russland | NOBELIUM, GEMÜTLICHER BÄR, UNC2452, APT29 |
| Mint Sandstorm | Iran | PHOSPHOR, CHARMANTES KÄTZCHEN, Parastoo, Newscaster, APT35 |
| Moonstone Sleet | Nordkorea | Storm-1789, LABYRINTH CHOLLIMA |
| Maulbeeren-Typhoon | China | MANGAN, KEYHOLE PANDA, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, APT5, ATG48, TG-2754, tabcteng |
| Senf Tempest | Finanziell motiviert | DEV-0206, INDRIK SPIDER |
| Newa-Flut | Russland, Einflussoperationen | Storm-1516, CopyCop |
| Nacht-Tsunami | Israel | DEV-0336 |
| Nylon-Typhoon | China | NICKEL, VIXEN PANDA, Verspielter Drache, RedRiver, ke3chang, APT15, Mirage |
| Octo Tempest | Finanziell motiviert | STREUSPINNE, 0ktapus |
| Onyx Sleet | Nordkorea | PLUTONIUM, SILENT CHOLLIMA, StoneFly, Tdrop2 Kampagne, DarkSeoul, Black Chollima, Andariel, APT45 |
| Opalleet | Nordkorea | OSMIUM, SAMT CHOLLIMA, Planedown, Konni, APT43 |
| Pfirsich Sandsturm | Iran | HOLMIUM, RAFFINIERTES KÄTZCHEN, APT33, Elfin |
| Pearl Sleet | Nordkorea | LAWRENCIUM |
| Periwinkle Tempest | Russland | DEV-0193, WIZARD SPIDER |
| Phlox Tempest | Israel, finanziell motiviert | DEV-0796 |
| Rosa Sandsturm | Iran | AMERICIUM, SPECTRAL KITTEN, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, RENEGADE SCHAKAL, Wüstenfalken, Scimitar, Aride Viper | |
| Pistazien-Tempest | Finanziell motiviert | DEV-0237 |
| Plaid Rain | Libanon | POLONIUM, BRANDSCHAKAL |
| Kürbissandsturm | Iran | DEV-0146 |
| Violetter Tipphoon | China | KALIUM, STONE PANDA, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Raspberry-Typhoon | China | RADIUM, LOTUS PANDA, LotusBlossom, APT30 |
| Roter Sandsturm | Iran | Storm-0842, VERBANNTE KÄTZCHEN, Void Manticore |
| Ruby Sleet | Nordkorea | CERIUM, SAMT CHOLLIMA |
| Ruza-Flut | Russland, Einflussoperationen | |
| Lachs-Typhoon | China | NATRIUM, MAVERICK PANDA, APT4 |
| Salt-Typhoon | China | OPERATOR PANDA, GhostEmperor, FamousSparrow |
| Sangria Tempest | Ukraine, Finanziell motiviert | ELBRUS, CARBON SPIDER |
| Saphirblau Sleet | Nordkorea | COPERNICIUM, STARDUST CHOLLIMA, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Satin-Typhoon | China | SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Russland | IRIDIUM, VOODOO BEAR, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Geheimer Schneesturm | Russland | KRYPTON, GIFTBÄR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid-Flut | Iran, Einflussoperationen | |
| Schatten-Typhoon | China | Storm-0062, DarkShadow, Oro0lxy |
| Seidentyphoon | China | HAFNIUM, MURKY PANDA, timmy |
| Rauchsandsturm | Iran | KAISERKÄTZCHEN, UNC1549 |
| Spandex Tempest | Finanziell motiviert | MONTY SPIDER, TA505 |
| Star Blizzard | Russland | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Finanziell motiviert | TUNNEL SPIDER, UNC2198 |
| Storm-0230 | Gruppe in Entwicklung | WIZARD SPIDER, Conti Team 1 |
| Storm-0247 | China | ToddyCat, Websiic |
| Storm-0252 | Gruppe in Entwicklung | GESCHWÄTZIGE SPINNE |
| Storm-0288 | Gruppe in Entwicklung | FIN8 |
| Storm-0302 | Gruppe in Entwicklung | NARWHAL SPIDER, TA544 |
| Storm-0408 | Gruppe in Entwicklung | |
| Storm-0485 | Gruppe in Entwicklung | |
| Storm-0501 | Finanziell motiviert | |
| Storm-0538 | Gruppe in Entwicklung | SKELETON SPIDER, FIN6 |
| Storm-0539 | Finanziell motiviert | |
| Storm-0569 | Finanziell motiviert | |
| Storm-0671 | Gruppe in Entwicklung | UNC2596, Tropicalscorpius |
| Storm-0940 | China | |
| Storm-0978 | Russland | RomCom, Underground Team |
| Storm-1101 | Gruppe in Entwicklung | |
| Storm-1113 | Finanziell motiviert | APOTHECARY SPIDER |
| Storm-1152 | Finanziell motiviert | |
| Storm-1175 | China, finanziell motiviert | |
| Storm-1194 | Gruppe in Entwicklung | MONTI |
| Storm-1249 | Gruppe in Entwicklung | |
| Storm-1516 | Russland, Einflussoperationen | |
| Storm-1567 | Finanziell motiviert | PUNK SPIDER |
| Storm-1674 | Finanziell motiviert | |
| Storm-1679 | Beeinflussen von Vorgängen | |
| Storm-1811 | Finanziell motiviert | GESCHWEIFTE SPINNE |
| Storm-1865 | Gruppe in Entwicklung | |
| Storm-1982 | China | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Einflussoperationen | |
| Storm-2077 | China | TAG-100 |
| Storm-2372 | Gruppe in Entwicklung | |
| Erdbeer-Sturm | Finanziell motiviert | DEV-0537, SLIPPY SPIDER, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Wirbeltyphoon | China | TELLURIUM, STALKER PANDA, Tick, Bronze Butler, REDBALDKNIGHT |
| Taffeta Typhoon | China | TECHNETIUM, TURBINE PANDA, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Taizi-Flut | China, Einfluss auf Operationen | Dragonbridge, Spamouflage |
| Tumbleweed Typhoon | China | THORIUM, Karst |
| Twill-Typhoon | China | TANTALUM, MUSTANG PANDA, BRONZE PRÄSIDENT, LuminousMoth |
| Vanilla Tempest | Finanziell motiviert | DEV-0832, VICE SPIDER, Vice Society |
| Samt-Tempest | Finanziell motiviert | DEV-0504, ALPHA SPIDER |
| Violetter Typhoon | China | ZIRCONIUM, JUDGMENT PANDA, Chameleon, APT31, WebFans |
| Void Blizzard | Russland | Wäschebär |
| Wolga-Flut | Russland, Einflussoperationen | Storm-1841, Rybar |
| Volt-Typhoon | China | VANGUARD PANDA, BRONZE SILHOUETTE |
| Weizen-Tempest | Finanziell motiviert | GOLD, Gatak |
| Wisteria Tsunami | Indien, Offensivakteur des Privatsektors | DEV-0605, MintedSoil |
| Yulong-Flut | China, Einfluss auf Operationen | Storm-1852 |
| Zickzack-Hagel | Korea | DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
Weitere Informationen finden Sie in unserer Ankündigung zu dieser Taxonomie: https://aka.ms/threatactorsblog
Intelligenz in die Hände von Sicherheitsexperten geben
Intel-Profile in Microsoft Defender Threat Intelligence wichtige Erkenntnisse über Bedrohungsakteure liefern. Diese Erkenntnisse ermöglichen es Sicherheitsteams, den Kontext zu erhalten, den sie benötigen, um sich auf Bedrohungen vorzubereiten und darauf zu reagieren.
Darüber hinaus bietet die Microsoft Defender Threat Intelligence Intel Profiles-API die aktuellste Sichtbarkeit der Infrastruktur von Bedrohungsakteurn in der Branche. Aktualisierte Informationen sind von entscheidender Bedeutung, um Teams für Threat Intelligence und Security Operations (SecOps) zu ermöglichen, ihre Workflows zur erweiterten Bedrohungssuche und -analyse zu optimieren. Weitere Informationen zu dieser API finden Sie in der Dokumentation: Verwenden der Threat Intelligence-APIs in Microsoft Graph (Vorschauversion).
Ressourcen
Verwenden Sie die folgende Abfrage für Microsoft Defender XDR und andere Microsoft-Sicherheitsprodukte, die die Kusto-Abfragesprache (KQL) unterstützen, um Informationen zu einem Bedrohungsakteur unter Verwendung des alten Namens, des neuen Namens oder des Branchennamens abzurufen:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Die folgenden Dateien, die die umfassende Zuordnung alter Bedrohungsakteurnamen mit ihren neuen Namen enthalten, sind ebenfalls verfügbar: