Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft utilise une taxonomie de nommage pour les acteurs des menaces alignée sur le thème de la météo. Nous avons l’intention d’apporter une meilleure clarté aux clients et aux autres chercheurs en sécurité avec cette taxonomie. Nous offrons un moyen plus organisé, plus articulé et plus simple de référencer les acteurs des menaces afin que les organisations puissent mieux hiérarchiser et se protéger. Nous visons également à aider les chercheurs en sécurité, qui sont déjà confrontés à une quantité écrasante de données de renseignement sur les menaces.
Microsoft classe les acteurs des menaces en cinq groupes clés :
Acteurs des États-unis : cyber-opérateurs agissant pour le compte d’un pays ou d’un programme affilié à l’État, qu’il s’agisse d’espionnage, de gain financier ou de rétribution. Microsoft a observé que la plupart des acteurs des États-unis continuent de concentrer les opérations et les attaques sur les agences gouvernementales, les organisations intergouvernementales, les organisations non gouvernementales et les groupes de réflexion pour les objectifs traditionnels d’espionnage ou de surveillance.
Acteurs financièrement motivés : cyber-campagnes/groupes dirigés par un organization/personne criminelle avec des motivations de gain financier et ne sont pas associées à une confiance élevée à un état non-nation connu ou à une entité commerciale. Cette catégorie inclut les opérateurs de rançongiciel, la compromission des e-mails professionnels, le hameçonnage et d’autres groupes avec des motivations purement financières ou d’extorsion.
Acteurs offensifs du secteur privé (PSOA) : cyber-activité dirigée par des acteurs commerciaux qui sont des entités juridiques connues/légitimes, qui créent et vendent des cyberarmes à des clients qui choisissent ensuite des cibles et utilisent les cyberarmes. Ces outils ont été observés ciblant et surveilant des dissidents, des défenseurs des droits de l’homme, des journalistes, des défenseurs de la société civile et d’autres citoyens privés, menaçant de nombreux efforts mondiaux en matière de droits humains.
Opérations d’influence : campagnes d'information communiquées en ligne ou hors ligne de manière manipulatrice pour modifier les perceptions, les comportements ou les décisions des publics cibles afin de favoriser les intérêts et les objectifs d'un groupe ou d'une nation.
Groupes en développement : désignation temporaire donnée à une activité de menace inconnue, émergente ou en cours de développement. Cette désignation permet à Microsoft de suivre un groupe en tant qu’ensemble discret d’informations jusqu’à ce que nous puissions atteindre un niveau de confiance élevé quant à l’origine ou à l’identité de l’acteur derrière l’opération. Une fois les critères remplis, un groupe en développement est converti en acteur nommé ou fusionné à des noms existants.
Dans cette taxonomie, un événement météorologique ou un nom de famille représente l’une des catégories ci-dessus. Pour les acteurs de l’État-nation, nous avons attribué un nom de famille à un pays/région d’origine lié à l’attribution. Par exemple, Typhoon indique l’origine ou l’attribution à la Chine. Pour les autres acteurs, le nom de famille représente une motivation. Par exemple, Tempest indique des acteurs financièrement motivés.
Les acteurs des menaces au sein de la même famille météorologique reçoivent un adjectif pour distinguer les groupes d’acteurs avec des tactiques, techniques et procédures distinctes, une infrastructure, des objectifs ou d’autres modèles identifiés. Pour les groupes en développement, nous utilisons une désignation temporaire de Storm et un nombre à quatre chiffres où il existe un cluster de menaces nouvellement découvert, inconnu, émergent ou en développement.
Le tableau suivant montre comment les noms de famille sont mappés aux acteurs de menace que nous suivons.
| Catégorie d’acteur de menace | Type | Nom de la famille |
|---|---|---|
| État-nation | Chine Allemagne Inde Iran Corée du Nord Liban Pakistan Autorité palestinienne Russie Singapour Corée du Sud Espagne Syrie Turquie Ukraine États-Unis Vietnam |
Typhon Coup de vent Mousson Tempête de sable Neige fondue Pluie Tourbillon Éclair Tempête de neige Rafale Grêle Derecho Brume Poussière Gel Tornade Cyclone |
| Motivation financière | Motivation financière | Tempête |
| Acteurs offensifs du secteur privé | PSOA | Tsunami |
| Opérations d’influence | Opérations d’influence | Inondation |
| Groupes en cours de développement | Groupes en cours de développement | Storm |
Le tableau suivant répertorie les noms des acteurs de menace divulgués publiquement avec leur origine ou catégorie d’acteur de menace, les noms précédents et les noms correspondants utilisés par d’autres fournisseurs de sécurité, le cas échéant. Cette page sera mise à jour à mesure que d’autres informations sur les noms d’autres fournisseurs seront disponibles.
| Nom de l’acteur de menace | Catégorie d’acteur d’origine/menace | Autres noms |
|---|---|---|
| Pluie d’améthyste | Liban | VolcanTimber, Cèdre volatile |
| Typhon antique | Chine | Storm-0558 |
| Aqua Blizzard | Russie | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| Berry Sandstorm | Iran | Storm-0852 |
| Tsunami bleu | Israël, acteur offensif du secteur privé | |
| Typhon en laiton | Chine | BARIUM, WICKED PANDA, APT41 |
| Brocade Typhoon | Chine | BORON, GOTHIC PANDA, UPS, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Tempête de sable bourguignon | Iran | REMIX KITTEN, Cadelle, Chafer |
| Blizzard des cadets | Russie | DEV-0586, EMBER BEAR |
| Typhon canary | Chine | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Cyclone toilé | Vietnam | BISMUTH, OCEAN BUFFALO, OceanLotus, APT32 |
| Tsunami caramel | Israël, acteur offensif du secteur privé | DEV-0236 |
| Tsunami carmin | Acteur offensif du secteur privé | |
| Typhon au charbon de bois | Chine | CHROMIUM, AQUATIC PANDA, ControlX, RedHotel, BRONZE UNIVERSITY |
| Typhon à damnés | Chine | CHLORE, DEEP PANDA, ATG50, APT19, TG-3551, Gargoyle rouge |
| Tempête de cannelle | Chine, Motivé financièrement | DEV-0401, HighGround |
| Typhon tournant | Chine | DEV-0322, EMISSARY PANDA, APT6, APT27 |
| Grenouille citrine | Corée du Nord | Storm-0139, Storm-1222, LABYRINTH CHOLLIMA |
| Tempête de sable cotonnière | Iran | NEPTUNIUM, HAYWIRE KITTEN, Vice Leaker |
| CovertNetwork-1658 | Réseau couvert | ORB07 |
| Croissant typhon | Chine | CÉSIUM |
| Tempête de sable cramoisi | Iran | CURIUM, IMPERIAL KITTEN, Tortoise Shell, HOUSEBLEND, TA456 |
| Cuboid Sandstorm | Iran | DEV-0228, IMPERIAL KITTEN |
| Denim Tsunami | Autriche, acteur offensif du secteur privé | DEV-0291 |
| Diamant satiné | Corée du Nord | ZINC, LABYRINTHE CHOLLIMA, Artémis noir,Zarus |
| Émeraude satiné | Corée du Nord | THALLIUM, VELVET CHOLLIMA, RGB-D5, Black Banshee, Kimsuky, Greendinosa |
| Fallow Squall | Singapour | PLATINE, PARASITE, RUBYVINE, GINGERSNAP |
| Flax Typhoon | Chine | Storm-0919, ETHEREAL PANDA |
| Forest Blizzard | Russie | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Ghost Blizzard | Russie | BROMINE, BERSERK BEAR, TG-4192, Koala Team, Blue Kraken, Crouching Yeti, Dragonfly |
| Gingham Typhoon | Chine | GADOLINIUM, KRYPTONITE PANDA, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Granite Typhoon | Chine | GALLIUM, PANDA FANTÔME |
| Gray Sandstorm | Iran | DEV-0343 |
| Hazel Sandstorm | Iran | EUROPIUM, HELIX KITTEN, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Typhon cardiaque | Chine | HÉLIUM, AURORA PANDA, APT17, Lynx caché, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| Hexagone Typhon | Chine | HYDROGEN, NUMBERED PANDA, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE |
| Typhon houndstooth | Chine | HASSIUM, DRAGNET PANDA, isoon, deepclif |
| Jade Sleet | Corée du Nord | Storm-0954, LABYRINTH CHOLLIMA |
| Lace Tempest | Motivation financière | DEV-0950 |
| Lemon Sandstorm | Iran | RUBIDIUM, PIONEER KITTEN |
| Typhon léopard | Chine | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Lilac Typhoon | Chine | DEV-0234 |
| Typhon de lin | Chine | IODE, PANDA ÉMISSAIRE, Phoenix Rouge, Hippopotame, Lucky Mouse, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Motivation financière | |
| Poussière de magenta | Turquie | PROMETHIUM, StrongPity, SmallPity |
| Manatee Tempest | Russie | DEV-0243, INDRIK SPIDER |
| Mango Sandstorm | Iran | MERCURY, STATIC KITTEN, SeedWorm, TEMP. Zagros, MuddyWater |
| Marbled Dust | Turquie | SILICON, COSMIC WOLF, Sea Turtle, UNC1326 |
| Marigold Sandstorm | Iran | DEV-500, CHATON VENGEUR |
| Midnight Blizzard | Russie | NOBELIUM, COZY BEAR, UNC2452, APT29 |
| Mint Sandstorm | Iran | PHOSPHORE, CHARMANT CHATON, Parastoo, Newscaster, APT35 |
| Sleet de pierre de lune | Corée du Nord | Storm-1789, LABYRINTH CHOLLIMA |
| Mulberry Typhoon | Chine | MANGANÈSE, KEYHOLE PANDA, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, APT5, ATG48, TG-2754, tabcteng |
| Mustard Tempest | Motivation financière | DEV-0206, INDRIK SPIDER |
| Inondation de la Neva | Russie, Opérations d’influence | Storm-1516, CopyCop |
| Night Tsunami | Israël | DEV-0336 |
| Nylon Typhoon | Chine | NICKEL, VIXEN PANDA, Dragon ludique, RedRiver, ke3chang, APT15, Mirage |
| Octo Tempest | Motivation financière | SCATTERED SPIDER, 0ktapus |
| Onyx Sleet | Corée du Nord | PLUTONIUM, SILENT CHOLLIMA, StoneFly, Tdrop2 campagne, DarkSeoul, Black Chollima, Andariel, APT45 |
| Opal Sleet | Corée du Nord | OSMIUM, VELVET CHOLLIMA, Planedown, Konni, APT43 |
| Peach Sandstorm | Iran | HOLMIUM, CHATON RAFFINÉ, APT33, Elfin |
| Pearl Sleet | Corée du Nord | LAWRENCIUM |
| Periwinkle Tempest | Russie | DEV-0193, WIZARD SPIDER |
| Phlox Tempest | Israël, Motivé financièrement | DEV-0796 |
| Pink Sandstorm | Iran | AMERICIUM, SPECTRAL KITTEN, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Pinstripe Lightning | NIOBIUM, RENEGADE CHACAL, Faucons du Désert, Scimitar, Vipère aride | |
| Pistachio Tempest | Motivation financière | DEV-0237 |
| Pluie d'écailles | Liban | POLONIUM, CHACAL INCENDIAIRE |
| Tempête de sable citrouille | Iran | DEV-0146 |
| Typhon violet | Chine | POTASSIUM, STONE PANDA, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Typhon framboise | Chine | RADIUM, LOTUS PANDA, LotusBlossom, APT30 |
| Tempête de sable rouge | Iran | Storm-0842, BANISHED KITTEN, Void Manticore |
| Ruby satiné | Corée du Nord | CERIUM, VELVET CHOLLIMA |
| Ruza Flood | Russie, Opérations d’influence | |
| Typhon saumoné | Chine | SODIUM, MAVERICK PANDA, APT4 |
| Typhon de sel | Chine | OPERATOR PANDA, GhostEmperor, FamousSparrow |
| Tempête sangria | Ukraine, motivé financièrement | ELBRUS, CARBON SPIDER |
| Saphir satiné | Corée du Nord | RECONFIGURIUM, STARDUST CHOLLIMA, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Typhon Satin | Chine | SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| Blizzard coquille | Russie | IRIDIUM, VOODOO BEAR, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Blizzard secret | Russie | KRYPTON, VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Sefid Flood | Iran, Opérations d’influence | |
| Typhon d’ombre | Chine | Storm-0062, DarkShadow, Oro0lxy |
| Typhon soyeux | Chine | HAFNIUM, PANDA MURKY, timmy |
| Tempête de sable fumante | Iran | IMPERIAL CHATON, UNC1549 |
| Tempête spontanée | Motivation financière | MONTY SPIDER, TA505 |
| Blizzard étoilé | Russie | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Motivation financière | TUNNEL SPIDER, UNC2198 |
| Storm-0230 | Groupe en cours de développement | WIZARD SPIDER, Conti Team 1 |
| Storm-0247 | Chine | ToddyCat, Websiic |
| Storm-0252 | Groupe en cours de développement | CHATTY SPIDER |
| Storm-0288 | Groupe en cours de développement | FIN8 |
| Storm-0302 | Groupe en cours de développement | NARWHAL SPIDER, TA544 |
| Storm-0408 | Groupe en cours de développement | |
| Storm-0485 | Groupe en cours de développement | |
| Storm-0501 | Motivation financière | |
| Storm-0538 | Groupe en cours de développement | SKELETON SPIDER, FIN6 |
| Storm-0539 | Motivation financière | |
| Storm-0569 | Motivation financière | |
| Storm-0671 | Groupe en cours de développement | UNC2596, Tropicalscorpius |
| Storm-0940 | Chine | |
| Storm-0978 | Russie | RomCom, Underground Team |
| Storm-1101 | Groupe en cours de développement | |
| Storm-1113 | Motivation financière | APOTHECARY SPIDER |
| Storm-1152 | Motivation financière | |
| Tempête 1175 | Chine, Motivé financièrement | |
| Tempête 1194 | Groupe en cours de développement | MONTI |
| Tempête 1249 | Groupe en cours de développement | |
| Tempête 1516 | Russie, Opérations d’influence | |
| Storm-1567 | Motivation financière | PUNK SPIDER |
| Storm-1674 | Motivation financière | |
| Tempête 1679 | Opérations d’influence | |
| Tempête 1811 | Motivation financière | CURLY SPIDER |
| Tempête 1865 | Groupe en cours de développement | |
| Storm-1982 | Chine | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Opérations d’influence | |
| Storm-2077 | Chine | TAG-100 |
| Storm-2372 | Groupe en cours de développement | |
| Tempête fraisée | Motivation financière | DEV-0537, SLIPPY SPIDER, LAPSUS$ |
| Blizzard ensoleillé | DEV-0665 | |
| Swirl Typhoon | Chine | TELLURIUM, STALKER PANDA, Tick, Bronze Butler, REDBALDKNIGHT |
| Typhon Taffeta | Chine | TECHNETIUM, TURBINE PANDA, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Inondation de Taizi | Chine, Opérations d’influence | Dragonbridge, Spamouflage |
| Typhon tomblé | Chine | THORIUM, Karst |
| Typhon Twill | Chine | TANTALE, MUSTANG PANDA, PRÉSIDENT DE BRONZE,LumineurMoth |
| Tempête vanille | Motivation financière | DEV-0832, VICE SPIDER, Vice Society |
| Tempête veloutée | Motivation financière | DEV-0504, ALPHA SPIDER |
| Typhon violet | Chine | ZIRCONIUM, JUGEMENT PANDA, Caméléon, APT31, WebFans |
| Void Blizzard | Russie | Ours de lessive |
| Inondation de la Volga | Russie, Opérations d’influence | Storm-1841, Rybar |
| Volt Typhoon | Chine | AVANT-GARDE PANDA, SILHOUETTE EN BRONZE |
| Tempest de blé | Motivation financière | OR, Gatak |
| Tsunami glycine | Inde, acteur offensif du secteur privé | DEV-0605, MintedSoil |
| Déluge de Yulong | Chine, Opérations d’influence | Tempête 1852 |
| Grêle torsadée | Corée | DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
Pour plus d’informations, lisez notre annonce sur cette taxonomie : https://aka.ms/threatactorsblog
Mettre le renseignement entre les mains des professionnels de la sécurité
Les profils Intel dans Microsoft Defender Threat Intelligence apportent des insights essentiels sur les acteurs des menaces. Ces informations permettent aux équipes de sécurité d’obtenir le contexte dont elles ont besoin lorsqu’elles se préparent aux menaces et y répondent.
En outre, l’API Microsoft Defender Threat Intelligence Intel Profiles offre la visibilité de l’infrastructure d’acteur de menace la plus récente dans le secteur aujourd’hui. Les informations mises à jour sont essentielles pour permettre aux équipes chargées du renseignement sur les menaces et des opérations de sécurité (SecOps) de rationaliser leurs flux de travail de recherche et d'analyse des menaces avancées. Pour en savoir plus sur cette API, consultez la documentation : utilisez les API Threat Intelligence dans Microsoft Graph (préversion).
Ressources
Utilisez la requête suivante sur Microsoft Defender XDR et d’autres produits de sécurité Microsoft prenant en charge le langage de requête Kusto (KQL) pour obtenir des informations sur un acteur de menace à l’aide de l’ancien nom, du nouveau nom ou du nom du secteur :
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Les fichiers suivants contenant le mappage complet des anciens noms d’acteur de menace avec leurs nouveaux noms sont également disponibles :