הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
Microsoft משתמשת בטקסונומיה למתן שמות עבור שחקני איומים בהתאם לערכת הנושא של מזג האוויר. בכוונתנו להבהיר טוב יותר ללקוחות ולחקרי אבטחה אחרים בטקסונומיה זו. אנו מציעים דרך מאורגנת יותר, מוסקת וקלה להתייחסות לשחקנים מאיים כדי שארגונים יוכלו לקבוע סדרי עדיפויות ולהגן על עצמם בצורה טובה יותר. אנו שואפים גם לסייע לחקור את האבטחה, שכבר נתקלו בכמות משמעותית של נתוני מודיעין איומים.
Microsoft מסווגת שחקני איומים לחמש קבוצות מפתח:
שחקנים מדינה-מדינה: מפעילי סייבר הפועלים בשמו של או בביוים על-ידי תוכנית מיושרת של מדינה/מדינה, ללא קשר לשאלה אם יש אפשרות לריגול, רווח פיננסי או עונש. Microsoft התצפתה שרוב השחקנים במדינה ממשיכים להתמקד בתפעול ובתקיפות על סוכנויות ממשלתיות, ארגונים בין-ממשלתיים, ארגונים לא ממשלתיים וגוורנימנטאליים, ותגוננות חושבות על מטרות ריגול או מעקב מסורתיות.
שחקנים בעלי מוטיבציה כלכלית: קמפיינים/קבוצות סייבר בביוים על-ידי ארגון/אדם פלילי עם מוטיבציה לרווח פיננסי, שאינם משויכים בבטחה גבוהה למדינה שאינה מדינה או לישות מסחרית ידועה. קטגוריה זו כוללת מפעילים של תוכנת כופר, סכנה לדואר אלקטרוני עסקי, דיוג וקבוצות אחרות עם מניעים פיננסיים או חסכוניות בלבד.
גורמים פוגעניים במגזר הפרטי (PSOAs): פעילות סייבר בהובלת גורמים מסחריים ידועים/חוקיים, אשר יוצרים ומוכרים סוסי סייבר ללקוחות שבחרו לאחר מכן יעדים ופעילו את אומי הסייבר. כלים אלה נצפו כמיקוד וסקר של זהויות, מגיני זכויות אדם, עיתונאים, תומכי החברה האזרחית ואזרחים פרטיים אחרים, מאיימים על מאמצים רבים של זכויות אדם גלובליות.
פעולות השפעה: קמפיינים של מידע לתקשר באופן מקוון או לא מקוון באופן מניפולטיבי כדי להזיז תפיסה, אופני פעולה או החלטות על-ידי קהלי יעד כדי להמשיך קבוצה או מטרות של מדינה.
קבוצות בפיתוח: הקצאה זמנית הנתונה לפעילות איומים לא ידועה, מתפתחת או מתפתחת. הקצאה זו מאפשרת ל- Microsoft לעקוב אחר קבוצה כערכת מידע דיסקרטית עד שנוכל להגיע בבטחה גבוהה לגבי המקור או הזהות של השחקן שמאחורי הפעולה. לאחר התמלאות הקריטריונים, קבוצה בפיתוח מומרת למעוקב בעל שם או ממוזגת לשמות קיימים.
בטקסונומיה זו, אירוע מזג אוויר או שם משפחה מייצגים אחת מהקטגוריות לעיל. עבור שחקנים מדינה-מדינה, הקצינו שם משפחה למדינה/אזור מוצא קשורים לייחוס. לדוגמה, Typhoon מציין מקור או ייחוס לסין. עבור שחקנים אחרים, שם המשפחה מייצג מוטיבציה. לדוגמה, Tempest מציין שחקנים בעלי מוטיבציה פיננסית.
לשחקנים איומים באותה משפחת מזג אוויר יש שם תואר כדי להבחין בין קבוצות שחקנים בטקטיקות, טכניקות ונהלים ייחודיים (TTPs), תשתית, יעדים או דפוסים מזוהים אחרים. עבור קבוצות בפיתוח, אנו משתמשים בהתכתבות זמנית של Storm ובמספר בן ארבע ספרות שבו קיימת פעילות איומים חדשה שהתגלתה, לא ידועה, מתפתחת או מתפתחת.
הטבלה הבאה מראה כיצד שמות המשפחה ממופים לשחקנים האיומים שאנחנו עוקבים אחריהם.
| קטגוריית מעורר איומים | סוג | שם משפחה |
|---|---|---|
| מדינה-לאום | סין גרמניה (Deutschland) הודו איראן קוריאה הצפונית לבנון (لبنان) פקיסטן הרשות הפלסטינית רוסיה (Россия) סינגפור קוריאה הדרומית ספרד (España) סוריה Türkiye אוקראינה (Україна) ארצות הברית וייטנאם (Việt Nam) |
טיפון גייל המונסון סופת חול גליון תיל גשם סופה ברק סופת שלג קוו תות ברד דאצ'ו (Derecho) אובך אבק כפור טורנדו ציקלון |
| מוטיבציה פיננסית | מוטיבציה פיננסית | סופה |
| שחקנים פוגעניים במגזר הפרטי | יחידות PSO | צונמי |
| פעולות השפעה | פעולות השפעה | שיטפון |
| קבוצות בפיתוח | קבוצות בפיתוח | סערה |
הטבלה הבאה מפרטת שמות מעוררי איומים שנחשפו לציבור עם קטגוריית המעומעום המקורי או האיום שלהם, שמות קודמים ושמות תואמים שנמצאים בשימוש על-ידי ספקי אבטחה אחרים, אם זמינים. דף זה יעודכן כאשר מידע נוסף על שמות ספקים אחרים יהפוך לזמין.
| שם שחקן איום | קטגוריית מעורר מקור/איום | שמות אחרים |
|---|---|---|
| גשם Amethyst | לבנון (لبنان) | וולקני טימבר, ארזים נדיפים |
| טיפון עתיק | סין | סופה (0558) |
| סופת שלג תכלת | רוסיה (Россия) | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| סופת חול של גרגרי יער | איראן | סופה (0852) |
| צונאמי כחול | ישראל, שחקן פוגעני במגזר הפרטי | |
| טיפון בראס | סין | BARIUM, וילי פנדה, APT41 |
| Brocade Typhoon | סין | BORON, פנדה גותית, UPS, APT3, OLDCARP, TG-0110, סילבאן אדום, סייברן |
| סופת חול בורדו | איראן | חתלתול REMIX, קואל, שאפר |
| סופת שלג של צועים | רוסיה (Россия) | DEV-0586, EMBER BEAR |
| Canary Typhoon | סין | מעגל פנדה, APT24, פלמרוורם, בלקטק |
| ציקלון בד | וייטנאם (Việt Nam) | ביסמוט, אושן באפלו, אושן לטוס, APT32 |
| צונאמי קרמל | ישראל, שחקן פוגעני במגזר הפרטי | גירסת DEV-0236 |
| קרמיין צונאמי | שחקן פוגעני במגזר הפרטי | |
| פחם טיפון | סין | CHROMIUM, אקומטי פנדה, ControlX, רדהוטל, אוניברסיטת ארד |
| טיפון בודק | סין | כלור, פנדה עמוקה, ATG50, APT19, TG-3551, גרגויל אדום |
| Cinnamon Tempest | סין, מוטיבציה פיננסית | DEV-0401, HighGround |
| טיפון מעגלי | סין | DEV-0322, השליח פנדה, APT6, APT27 |
| סיטרין סלט | קוריאה הצפונית | סערה-0139, סערה-1222, מבוך כללימה |
| סופת חול בכותנה | איראן | נפטון, הייוויר חתלתול, סגן דולף |
| CovertNetwork-1658 | רשת מכסה | ORB07 |
| חצי סהר טיפון | סין | צזיום |
| סיעור חול אדום-ארגמן | איראן | קוריום, חתלתול אימפריאלי, צדפת צב, HOUSEBLEND, TA456 |
| סופת חול קובייתית | איראן | DEV-0228, חתלתול אימפריאלי |
| ג'ינס צונאמי | אוסטריה, שחקן פוגעני במגזר הפרטי | תקן DEV-0291 |
| גליון יהלום | קוריאה הצפונית | אבץ, LABYRINTH CHOLLIMA, Black Artemis, Lazarus |
| אבן ברקת | קוריאה הצפונית | THALLIUM, קטיפה CHOLLIMA, RGB-D5, Black Banshee, Kimsuky, Greendinosa |
| Fallow Squall | סינגפור | פלטינה, טפיל, רוביווין, ג'ינג'ים |
| טיפון פלקס | סין | סערה-0919, פנדה את'ריום |
| סופת שלג ביער | רוסיה (Россия) | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| סופת שלג | רוסיה (Россия) | BROMINE, BERSERK BEAR, TG-4192, Koala Team, Blue Kraken, Crouching Yeti, Dragonfly |
| גingham Typhoon | סין | גאודיניום, קריפטונייט פנדה, טמפ. פריסקופ, לוויתן, ג'יידור, APT40, קדחתן |
| גרניט טיפון | סין | גאליום, פנטום פנדה |
| סופת חול אפורה | איראן | גירסת DEV-0343 |
| סיעור חול של לוז | איראן | EUROPIUM, HELIX KITTEN, COLBALT GYPSY, Crambus, OilRig, APT34 |
| לב טיפון | סין | HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| משושה טיפון | סין | מימן, פנדה ממוספרת, צוות Calc, אנוביס אדום, APT12, DNS-Calc, HORDE |
| קלונדסטות טיפון | סין | HASSIUM, DRAGNET PANDA, isoon, deepclif |
| אבן ירקן | קוריאה הצפונית | סערה-0954, מבוך כללימה |
| התחרה הזמנית ביותר | מוטיבציה פיננסית | DEV-0950 |
| סופת חול לימון | איראן | רוביניום, חתלתול חלוצים |
| טיפון מנומר | סין | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| לילך טיפון | סין | גירסת DEV-0234 |
| טיפון מצעים | סין | IODINE, EMISSARY PANDA, Red Phoenix, היפופוטם, Lucky Mouse, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| לונה טמפסט | מוטיבציה פיננסית | |
| אבק מגנטה | Türkiye | PROMETHIUM, StrongPity, SmallPity |
| מיתוסים זמניים | רוסיה (Россия) | DEV-0243, עכביש INDRIK |
| סופת חול מנגו | איראן | כספית, חתלתול סטטי, תולעת תולעת, טמפ. זגורי, מודיווטר |
| אבק משיש | Türkiye | סיליקון, זאב קוסמי, צב ים, UNC1326 |
| סופת חול ציפורני חתול | איראן | DEV-500, חתלתול נקבני |
| סופת שלג חצות | רוסיה (Россия) | נובליום, דוב נעים, UNC2452, APT29 |
| סופת חול מנטה | איראן | זרחן, חתלתול מקסים, פרסטוס, שידור חדשות, APT35 |
| אבן ירח | קוריאה הצפונית | סערה-1789, מבוך צ'ולימה |
| טיפון תות | סין | MANGANESE, KEYHOLE PANDA, Backdoor-DPD, COVENANT, CYSERVICE, בקבוק, Red Horus, Red Naga, Auriga, APT5, ATG48, TG-2754, tabcteng |
| חרדל טמפה | מוטיבציה פיננסית | DEV-0206, INDRIK SPIDER |
| הצפת תקווה | רוסיה, תפעול השפעה | סערה-1516, העתקCop |
| צונאמי לילה | ישראל | גירסת DEV-0336 |
| טיפון ניילון | סין | ניקל, שועלה פנדה, דרקון משחק, RedRiver, ke3chang, APT15, Mirage |
| Octo Tempest | מוטיבציה פיננסית | עכביש מפוזר, 0ktapus |
| Onyx Sleet | קוריאה הצפונית | PLUTONIUM, SILENT CHOLLIMA, StoneFly, Tdrop2 campaign, DarkSeoul, Black Chollima, Andariel, APT45 |
| אופל סלט | קוריאה הצפונית | OSMIUM, קטיפה CHOLLIMA, Planedown, Konni, APT43 |
| סופת חול בצבע אפרסק | איראן | HOLMIUM, חתלתול מעודן, APT33, Elfin |
| ערכת פנינה | קוריאה הצפונית | לורנציום |
| Periwinkle Tempest | רוסיה (Россия) | DEV-0193, אשף עכביש |
| Phlox Tempest | ישראל, מוטיבציה פיננסית | גירסת DEV-0796 |
| סופת חול ורודה | איראן | אמריציום, חתלתול ספקטראלי, אגריוס, דדווד, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| ברק עם פסים מצמדים | NIOBIUM, RENEGADE JACKAL, Desert Falcons, Scimitar, Arid Viper | |
| פיסטוקיו טמפסט | מוטיבציה פיננסית | גירסת DEV-0237 |
| גשם משובץ | לבנון (لبنان) | פולוניום, ת'קן ההגלגלות |
| סופת חול של דלעת | איראן | גירסת DEV-0146 |
| טיפון סגול | סין | אשלגן, אבן פנדה, גולם, רשעגרב, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, Foxtrot, Foxmail, MenuPass, Red Apollo |
| טיפון פטל | סין | RADIUM, LOTUS PANDA, LotusBlossom, APT30 |
| סופת חול אדומה | איראן | סופה-0842, חתלתול מגורש, ריק מנטיקור |
| רובי סלט | קוריאה הצפונית | צ'ריום, ולווט צ'ולימה |
| המבול של רוזה | רוסיה, תפעול השפעה | |
| סלמון טיפון | סין | SODIUM, MAVERICK PANDA, APT4 |
| מלח טיפון | סין | אופרטור פנדה, גוסטמפרור, מפורסםספרו |
| Sangria Tempest | אוקראינה, מוטיבציה פיננסית | אלברו, עכביש פחמן |
| סלט ספיר | קוריאה הצפונית | COPERNICIUM, STARDUST CHOLLIMA, ג'יני ספיידר, BlueNoroff, CageyChameleon, CryptoCore |
| סאטן טיפון | סין | SCANDIUM, דינמיט פנדה, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| סופת שלג שלשלאות | רוסיה (Россия) | IRIDIUM, VOODOO BEAR, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| סופת שלג סודית | רוסיה (Россия) | קריפטון, דוב ארסי, אורובורוס, נחש, פייתון כחול, טורלה, ריית', ATG26 |
| שיטפונות של Sefid | איראן, תפעול השפעה | |
| טיפון צל | סין | סופה-0062, דארל, אורונקסי |
| טיפון משי | סין | הפניום, מרקי פנדה, טימי |
| סופת חול של עשן | איראן | חתלתול אימפריאלי, UNC1549 |
| ספנדקס טמפסט | מוטיבציה פיננסית | מונטי ספיידר, TA505 |
| סופת שלג כוכב | רוסיה (Россия) | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| סופה (0216) | מוטיבציה פיננסית | עכביש מנהרה, UNC2198 |
| סופה (0230) | קבוצה בפיתוח | אשף עכביש, Conti Team 1 |
| יום סערה 0247 | סין | טודיקט, ווסיית |
| סופה (0252) | קבוצה בפיתוח | עכביש פטפטן |
| סופה (0288) | קבוצה בפיתוח | מס FIN8 |
| סופה (0302) | קבוצה בפיתוח | עכביש נארוואל, טאי544 |
| סערה 0408 | קבוצה בפיתוח | |
| סערה 0485 | קבוצה בפיתוח | |
| יום סטורם 0501 | מוטיבציה פיננסית | |
| סופה (0538) | קבוצה בפיתוח | שלד עכביש, FIN6 |
| סופה (0539) | מוטיבציה פיננסית | |
| סערה 0569 | מוטיבציה פיננסית | |
| יום סטורם 0671 | קבוצה בפיתוח | UNC2596, טרופיסקרבוס |
| סופה (0940) | סין | |
| סופה (0978) | רוסיה (Россия) | RomCom, צוות המחתרת |
| סופה 1101 | קבוצה בפיתוח | |
| סופה 1113 | מוטיבציה פיננסית | עכביש רוקחות |
| סופה 1152 | מוטיבציה פיננסית | |
| יום סערה 1175 | סין, מוטיבציה פיננסית | |
| יום סערה 1194 | קבוצה בפיתוח | מונטי |
| סופה 1249 | קבוצה בפיתוח | |
| סופה 1516 | רוסיה, תפעול השפעה | |
| סערה 1567 | מוטיבציה פיננסית | עכביש פאנק |
| יום סערה 1674 | מוטיבציה פיננסית | |
| יום סערה 1679 | פעולות השפעה | |
| סופה 1811 | מוטיבציה פיננסית | עכביש מסולסל |
| יום סערה 1865 | קבוצה בפיתוח | |
| סופה (1982) | סין | מתגנבת, UNK_SweetSpecter |
| סופה (2035) | איראן, תפעול השפעה | |
| סופה (2077) | סין | תגית תגית 100 |
| סופה 2372 | קבוצה בפיתוח | |
| תות זמני | מוטיבציה פיננסית | DEV-0537, עכביש מחליק, הקפות$ |
| סופת שלגים זוהמה | גירסת DEV-0665 | |
| מערבולת טיפון | סין | TELLURIUM, המטריד פנדה, סמן, ארד בטלר, REDBALDKNIGHT |
| טפטה טיפון | סין | TECHNETIUM, טורבינה פנדה, TG-0055, אדום קובול, ג'רזימייקס, APT26, BEARCLAW |
| שיטפונות טאיזי | סין, תפעול השפעה | דרגונברידג', ספאמופלאז' |
| טיפון טאמבלוויד | סין | תוריום, קרסט |
| Twill Typhoon | סין | טנטלומים, סוס פרא פנדה, נשיא ארד, LuminousMoth |
| טמפה ונילית | מוטיבציה פיננסית | DEV-0832, סגן ספיידר, סמנכ"ל |
| זמנית קטיפה | מוטיבציה פיננסית | DEV-0504, אלפא ספיידר |
| ויולט טיפון | סין | ZIRCONIUM, JUDGMENT PANDA, Chameleon, APT31, WebFans |
| ביטול סופת שלג | רוסיה (Россия) | דוב כביסה |
| הצפת וולגה | רוסיה, תפעול השפעה | סערה-1841, רייבר |
| וולט טיפון | סין | ואנגארד פנדה, צללית ארד |
| טמפה חיטה | מוטיבציה פיננסית | GOLD, Gatak |
| Wisteria Tsunami | הודו, שחקן פוגעני במגזר הפרטי | DEV-0605, מינטSoil |
| שיטפונות יולונג | סין, תפעול השפעה | סופה 1852 |
| הידד זיגזג | קוריאה (대한민국) | דובניום, עגורן צל, הימים, טמפלאר, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
קרא את ההכרזה שלנו על טקסונומיה זו לקבלת מידע נוסף: https://aka.ms/threatactorsblog
מציבים מודיעין בידי מומחי אבטחה
פרופילי Intel ב- בינת איומים של Microsoft Defender להביא תובנות חיוניות לגבי שחקני איומים. תובנות אלה מאפשרות לצוותי אבטחה לקבל את ההקשר הדרוש להם בזמן שהם הכנה לאיומים ולהגיב להם.
בנוסף, ה בינת איומים של Microsoft Defender API של פרופילי Intel מספק את הניראות העדכנית ביותר של תשתית מעוררי איומים בתעשייה כיום. מידע מעודכן הוא חיוני בהפיכת צוותי פעולות אבטחה ובינת איומים (SecOps) לייעל את זרימות העבודה המתקדמות שלהם לציד וניתוח איומים. קבל מידע נוסף על API זה בתיעוד: השתמש בממשקי ה- API של בינה לאיומים ב- Microsoft Graph (תצוגה מקדימה).
משאבים
השתמש בשאילתה הבאה ב- Microsoft Defender XDR ומוצרי אבטחה אחרים של Microsoft התומכים בשפת השאילתות Kusto (KQL) כדי לקבל מידע אודות שחקן איום המשתמש בשם הישן, בשם החדש או בשם התעשייה:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
ניתן למצוא גם את הקבצים הבאים המכילים את המיפוי המקיף של שמות של מעוררי איומים ישנים עם שמותיהם החדשים: