כיצד Microsoft שמות שחקנים איומים
Microsoft משמרת טקסונומיה חדשה למתן שמות עבור שחקני איומים בהתאם לערכת הנושא של מזג האוויר. בכוונתנו להבהיר טוב יותר ללקוחות ול חוקרי אבטחה אחרים את הטקסונומיה החדשה. אנו מציעים דרך מאורגנת יותר, מוסחת וקלה להתייחסות לשחקנים מאיים כך שארגונים יכולים לקבוע סדרי עדיפויות ולהגן על עצמם ולהגן על עצמם ולסייע לחקורי אבטחה שכבר התעמתו עם כמות משמעותית של נתוני מודיעין איומים.
Microsoft מסווגת שחקני איומים לחמש קבוצות מפתח:
שחקנים מדינה-מדינה: מפעילי סייבר הפועלים בשמו של או בביוים על-ידי תוכנית מיושרת של מדינה/מדינה, ללא קשר לשאלה אם יש אפשרות לריגול, רווח פיננסי או עונש. Microsoft התצפתה שרוב השחקנים במדינה ממשיכים להתמקד בתפעול ובתקיפות על סוכנויות ממשלתיות, ארגונים בין-ממשלתיים, ארגונים לא ממשלתיים וגוורנימנטאליים, ותגוננות חושבות על מטרות ריגול או מעקב מסורתיות.
שחקנים בעלי מוטיבציה כלכלית: קמפיינים/קבוצות סייבר בביוים על-ידי ארגון/אדם פלילי עם מוטיבציה של רווח פיננסי, שאינם משויכים בבטחה גבוהה למדינה שאינה מדינה או לישות מסחרית ידועה. קטגוריה זו כוללת מפעילים של תוכנת כופר, סכנה לדואר אלקטרוני עסקי, דיוג וקבוצות אחרות עם מניעים פיננסיים או חסכוניות בלבד.
גורמים פוגעניים במגזר הפרטי (PSOAs): פעילות סייבר בהובלת גורמים מסחריים ידועים/חוקיים, אשר יוצרים ומוכרים סוסי סייבר ללקוחות שבחרו לאחר מכן יעדים ופעילו את אומי הסייבר. כלים אלה נצפו כמיקוד וצפתם במשמרות, מגיני זכויות אדם, עיתונאים, תומכי החברה האזרחית ואזרחים פרטיים אחרים, מאיימים על מאמצים רבים של זכויות אדם גלובליות.
פעולות השפעה: קמפיינים של מידע לתקשר באופן מקוון או לא מקוון באופן מניפולטיבי כדי להזיז תפיסה, אופני פעולה או החלטות על-ידי קהלי יעד כדי להמשיך קבוצה או מטרות של מדינה.
קבוצות בפיתוח: הקצאה זמנית הנתונה לפעילות איומים לא ידועה, מתפתחת או מתפתחת. הקצאה זו מאפשרת ל- Microsoft לעקוב אחר קבוצה כערכת מידע דיסקרטית עד שנוכל להגיע בבטחה גבוהה לגבי המקור או הזהות של השחקן שמאחורי הפעולה. לאחר התמלאות הקריטריונים, קבוצה בפיתוח מומרת למעוקב בעל שם או ממוזגת לשמות קיימים.
בטקסונומיה החדשה שלנו, אירוע מזג אוויר או שם משפחה מייצגים אחת מהקטגוריות לעיל. עבור שחקנים מדינה-מדינה, הקצינו שם משפחה למדינה/אזור מוצא קשורים ליוות, כמו טיפון מציין את המקור או הייחוס לסין. עבור שחקנים אחרים, שם המשפחה מייצג מוטיבציה. לדוגמה, Tempest מציין שחקנים בעלי מוטיבציה פיננסית.
לשחקנים איומים באותה משפחת מזג אוויר יש שם תואר כדי להבחין בין קבוצות שחקנים בטקטיקות, טכניקות ונהלים ייחודיים (TTPs), תשתית, יעדים או דפוסים מזוהים אחרים. עבור קבוצות בפיתוח, אנו משתמשים בהתכתבות זמנית של Storm ובמספר בן ארבע ספרות שבו קיימת פעילות איומים חדשה שהתגלתה, לא ידועה, מתפתחת או מתפתחת.
הטבלה מראה כיצד שמות המשפחה החדשים ממופים לשחקנים האיומים שאנחנו עוקבים אחריהם.
| קטגוריית מעורר | סוג | שם משפחה |
|---|---|---|
| מדינה-לאום | סין איראן לבנון (لبنان) קוריאה הצפונית רוסיה (Россия) קוריאה הדרומית טורקיה (Türkiye) וייטנאם (Việt Nam) |
טיפון סופת חול גשם גליון תיל סופת שלג ברד אבק ציקלון |
| מוטיבציה פיננסית | מוטיבציה פיננסית | סופה |
| שחקנים פוגעניים במגזר הפרטי | יחידות PSO | צונמי |
| פעולות השפעה | פעולות השפעה | שיטפון |
| קבוצות בפיתוח | קבוצות בפיתוח | סערה |
השתמש בטבלת העיון הבאה כדי להבין כיצד שמות מעוררי האיומים הישנים שלנו שנחשפו בעבר באופן ציבורי מתורגמים למיסונומיה החדשה שלנו.
| שם שחקן איום | שם קודם | מקור/איום | שמות אחרים |
|---|---|---|---|
| טיפון עתיק | סופה (0558) | סין | |
| סופת שלג תכלת | אקטיניום | רוסיה (Россия) | UNC530, דוב פרימיטיבי, גמארדון |
| צונאמי כחול | שחקן פוגעני במגזר הפרטי | קוביה שחורה | |
| טיפון בראס | בריום | סין | APT41 |
| סופת שלג של צועים | גירסת DEV-0586 | רוסיה (Россия) | |
| זמנית של הסוואה | ת"א ת"א | מוטיבציה פיננסית | FIN6, שלד עכביש |
| ציקלון בד | ביסמות | וייטנאם (Việt Nam) | APT32, OceanLotus |
| צונאמי קרמל | סוורגום (SOURGUM) | שחקן פוגעני במגזר הפרטי | קנדירו (קנדירו) |
| קרמיין צונאמי | גירסת DEV-0196 | שחקן פוגעני במגזר הפרטי | קודרם (קוודרם) |
| פחם טיפון | כרום | סין | פקדי בקרה |
| Cinnamon Tempest | קובץ DEV-0401 | מוטיבציה פיננסית | שפירית הקיסרית, אור הכוכבים של ארד |
| טיפון מעגלי | גירסת DEV-0322 | סין | |
| סיטרין סלט | DEV-0139, DEV-1222 | קוריאה הצפונית | AppleJeus, Labyrinth Chollima, UNC4736 |
| סופת חול בכותנה | DEV-0198 (נפטון) | איראן | מדלף המשנה |
| סיעור חול אדום-ארגמן | קיוריום | איראן | ת"א456, מעטפת צב |
| סופת חול קובייתית | מערכת פיתוח 0228 | איראן | |
| ג'ינס צונאמי | אווה קשר | שחקן פוגעני במגזר הפרטי | DSIRF |
| גליון יהלום | אבץ | קוריאה הצפונית | מבוך צ'ולימה, לזרוס |
| אבן ברקת | תליום | קוריאה הצפונית | Kimsuky, קטיפה צ'ולימה |
| טיפון פלקס | סופה (0919) | סין | פנדה את'ריום |
| סופת שלג ביער | סטרונציום | רוסיה (Россия) | APT28, דוב מהודר |
| סופת שלג | ברום | רוסיה (Россия) | דוב אנרגטי, מטי רכווץ |
| גingham Typhoon | גדוליניום | סין | APT40, לוויתן, TEMP. פריסקופ, קריפטונייט פנדה |
| גרניט טיפון | גליום | סין | |
| סופת חול אפורה | גירסת DEV-0343 | איראן | |
| סיעור חול של לוז | אירופיום | איראן | Cobalt Gypsy, APT34, OilRig |
| אבן ירקן | סופה 0954 | קוריאה הצפונית | TraderTraitor, UNC4899 |
| התחרה הזמנית ביותר | DEV-0950 | מוטיבציה פיננסית | FIN11, TA505 |
| סופת חול לימון | רובידיום | איראן | חתלתול שועל, UNC757, PioneerKitten |
| טיפון מנומר | עופרת | סין | KAOS, Mana, Winnti, Red Diablo |
| לילך טיפון | גירסת DEV-0234 | סין | |
| לונה טמפסט | סערה 0744 | מוטיבציה פיננסית | |
| מיתוסים זמניים | גירסת DEV-0243 | מוטיבציה פיננסית | EvilCorp, UNC2165, Indrik Spider |
| סופת חול מנגו | כספית | איראן | מודיווטר, תולעת זחלים, חתלתול סטטי, טמפ. זגרוס (זגרוס) |
| אבק משיש | צורן | Türkiye | צב ים |
| סופת חול ציפורני חתול | DEV-0500 | איראן | צוות משה |
| סופת שלג חצות | נובליום | רוסיה (Россия) | APT29, דוב נעים |
| סופת חול מנטה | זרחן | איראן | APT35, חתלתול מקסים |
| אבן ירח | יום סערה 1789 | קוריאה הצפונית | |
| טיפון תות | מנגן | סין | APT5, חור מפתח פנדה, TABCTENG |
| חרדל טמפה | גירסת DEV-0206 | מוטיבציה פיננסית | Vallhund סגול |
| צונאמי לילה | גירסת DEV-0336 | שחקן פוגעני במגזר הפרטי | קבוצת NSO |
| טיפון ניילון | ניקל | סין | ke3chang, APT15, ויסן פנדה |
| Octo Tempest | סופה (0875) | מוטיבציה פיננסית | 0ktapus, עכביש מפוזר, UNC3944 |
| Onyx Sleet | פלוטוניום | קוריאה הצפונית | APT45, צ'ולימה שקטה, Andariel, DarkSeoul |
| אופל סלט | אוסמיום | קוריאה הצפונית | קוני (2010) |
| סופת חול בצבע אפרסק | הולמיום | איראן | APT33, חתלתול מעודן |
| ערכת פנינה | DEV-0215 (LAWRENCIUM) | קוריאה הצפונית | |
| Periwinkle Tempest | גירסת DEV-0193 | מוטיבציה פיננסית | עכביש אשף, UNC2053 |
| Phlox Tempest | גירסת DEV-0796 | מוטיבציה פיננסית | ClickPirate, Chrome Loader, טוען Choziosi |
| סופת חול ורודה | אמריציום | איראן | אגיאוס, דדווד, BlackShadow, SharpBoys |
| פיסטוקיו טמפסט | גירסת DEV-0237 | מוטיבציה פיננסית | FIN12 |
| גשם משובץ | פולוניום | לבנון (لبنان) | |
| סופת חול של דלעת | גירסת DEV-0146 | איראן | ZeroCleare |
| טיפון סגול | אשלגן | סין | APT10, Cloudhopper, MenuPass |
| טיפון פטל | רדיום | סין | APT30, לוטוסבולוסום |
| רובי סלט | סריום | קוריאה הצפונית | |
| המבול של רוזה | יום סערה 1099 | רוסיה, תפעול השפעה | |
| סלמון טיפון | נתרן | סין | APT4, מווריק פנדה |
| מלח טיפון | סין | גוסטמפראור, מפורסםספרו | |
| Sangria Tempest | אלברו (אלברו) | מוטיבציה פיננסית | עכביש פחמן, FIN7 |
| סלט ספיר | COPERNICIUM | קוריאה הצפונית | ג'יני ספיידר, BlueNoroff |
| סופת שלג שלשלאות | אירידיום | רוסיה (Россия) | APT44, תולעת חול |
| סופת שלג סודית | קריפטון | רוסיה (Россия) | דוב ארסי, טורלה, נחש |
| שיטפונות של Sefid | סופה 1364 | איראן, תפעול השפעה | |
| טיפון משי | הפניום | סין | |
| סופת חול של עשן | בוהריום | איראן | UNC1549 |
| ספנדקס טמפסט | שימברזו (CHIMBORAZO) | מוטיבציה פיננסית | ת"א505 |
| סופת שלג כוכב | סיבורגיום | רוסיה (Россия) | Callisto, Reuse Team |
| סופה (0062) | סין | צללית כהה, אורונקסי | |
| סופה (0133) | איראן | LYCEUM, HEXANE | |
| סופה (0216) | מוטיבציה פיננסית | עכביש מפותל, UNC2198 | |
| סופה (0257) | קבוצה בפיתוח | UNC1151 | |
| סופה (0324) | מוטיבציה פיננסית | TA543, סגרי | |
| סופה (0381) | מוטיבציה פיננסית | ||
| יום סטורם 0501 | קבוצה בפיתוח | ||
| סערה 0506 | קבוצה בפיתוח | ||
| סופה (0530) | קוריאה הצפונית | H0lyGh0st | |
| סופה (0539) | מוטיבציה פיננסית | אטלס אריה | |
| סערה 0569 | מוטיבציה פיננסית | ||
| סופה (0587) | רוסיה (Россия) | סנטבוט, סנט בר, TA471 | |
| סערה 0744 | מוטיבציה פיננסית | ||
| סופה (0784) | איראן | ||
| סופה (0829) | קבוצה בפיתוח | צוות נברג'ן | |
| סופה (0835) | קבוצה בפיתוח | EvilProxy | |
| סופה (0842) | איראן | ||
| סערה 0844 | קבוצה בפיתוח | ||
| סופה (0861) | איראן | ||
| סערה 0867 | מצרים (مصر) | קפאין | |
| סופה (0971) | מוטיבציה פיננסית | (ממוזג לתוך Octo Tempest) | |
| סופה (0978) | קבוצה בפיתוח | RomCom, צוות המחתרת | |
| סופה 1044 | מוטיבציה פיננסית | דנה בוט | |
| יום סערה 1084 | איראן | DarkBit | |
| סופה 1101 | קבוצה בפיתוח | עמודי עמוד עירום | |
| סופה 1113 | מוטיבציה פיננסית | ||
| סופה 1133 | הרשות הפלסטינית | ||
| סופה 1152 | מוטיבציה פיננסית | ||
| סופה 1167 | אינדונזיה | ||
| יום סערה 1175 | מוטיבציה פיננסית | ||
| סופה 1283 | קבוצה בפיתוח | ||
| סופה 1286 | קבוצה בפיתוח | ||
| יום סערה 1295 | קבוצה בפיתוח | גדולה | |
| סופה 1516 | רוסיה, תפעול השפעה | ||
| סערה 1567 | מוטיבציה פיננסית | אקירה | |
| יום סערה 1575 | קבוצה בפיתוח | Dadsec | |
| סופה 1660 | איראן, תפעול השפעה | ||
| יום סערה 1674 | מוטיבציה פיננסית | ||
| יום סערה 1679 | רוסיה, תפעול השפעה | ||
| יום סערה 1804 | איראן, תפעול השפעה | ||
| יום סערה 1805 | איראן, תפעול השפעה | ||
| סופה 1811 | מוטיבציה פיננסית | ||
| יום סערה 1841 | רוסיה, תפעול השפעה | ||
| יום סערה 1849 | סין | UAT4356 | |
| סופה 1852 | קבוצה בפיתוח | ||
| סופה (2035) | איראן, תפעול השפעה | ||
| תות זמני | מוטיבציה פיננסית | LAPSUS$ | |
| סופת שלגים זוהמה | רוסיה (Россия) | ||
| שיטפונות טאיזי | יום סערה 1376 | סין, תפעול השפעה | ספאמופלאז', דרגון ברידג' |
| טמפה עגבניה | ספרור (SPURR) | מוטיבציה פיננסית | Vatet |
| טמפה ונילית | גירסת DEV-0832 | מוטיבציה פיננסית | |
| זמנית קטיפה | מס' DEV-0504 | מוטיבציה פיננסית | |
| ויולט טיפון | זירקוניום | סין | APT31 |
| וולט טיפון | סין | צללית ארד, ואנגארד פנדה | |
| יין זמני | תות תות | מוטיבציה פיננסית | וואלהרמה |
| Wisteria Tsunami | גירסת DEV-0605 | שחקן פוגעני במגזר הפרטי | סייבר ארווט |
| הידד זיגזג | דובניום | קוריאה הדרומית | מלון כהה, טפאו |
קרא את ההכרזה שלנו על הטקסונומיה החדשה לקבלת מידע נוסף: https://aka.ms/threatactorsblog
מציבים מודיעין בידי מומחי אבטחה
פרופילי Intel ב- בינת איומים של Microsoft Defender להביא תובנות חיוניות לגבי שחקני איומים. תובנות אלה מאפשרות לצוותי אבטחה לקבל את ההקשר הדרוש להם בזמן שהם הכנה לאיומים ולהגיב להם.
בנוסף, ה בינת איומים של Microsoft Defender API של פרופילי Intel מספק את הניראות העדכנית ביותר של תשתית מעוררי איומים בתעשייה כיום. מידע מעודכן הוא חיוני בהפיכת צוותי פעולות אבטחה ובינת איומים (SecOps) לייעל את זרימות העבודה המתקדמות שלהם לציד וניתוח איומים. קבל מידע נוסף על API זה בתיעוד: השתמש בממשקי ה- API של בינה לאיומים ב- Microsoft Graph (תצוגה מקדימה).
משאבים
השתמש בשאילתה הבאה ב- Microsoft Defender XDR ומוצרי אבטחה אחרים של Microsoft התומכים בשפת השאילתות Kusto (KQL) כדי לקבל מידע אודות שחקן איום המשתמש בשם הישן, בשם החדש או בשם התעשייה:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
ניתן למצוא גם את הקבצים הבאים המכילים את המיפוי המקיף של שמות של מעוררי איומים ישנים עם שמותיהם החדשים: