Hogyan nevezi el a Microsoft a fenyegetési szereplőket?
A Microsoft az időjárás témájához igazított új elnevezési osztályozásra váltott a veszélyforrás-szereplők számára. Az új osztályozással szeretnénk egyértelműbbé tenni az ügyfelek és más biztonsági kutatók számára. Szervezettebb, tagoltabb és egyszerűbb módszert kínálunk a fenyegetési szereplőkre való hivatkozáshoz, hogy a szervezetek jobban rangsorolhassák és megvédjék magukat, és segítséget nyújthassunk a biztonsági kutatóknak, akik már eleve túl sok fenyegetésfelderítési adattal szembesültek.
A Microsoft öt fő csoportba sorolja a fenyegetési szereplőket:
Nemzetállami szereplők: nemzet-/államigazítási program nevében eljáró vagy irányított kiberszereplők, függetlenül attól, hogy kémkedés, pénzügyi nyereség vagy megtorlás céljából járnak el. A Microsoft megfigyelte, hogy a legtöbb nemzetállami szereplő továbbra is a kormányzati szervek, kormányközi szervezetek, nem kormányzati szervezetek, valamint a hagyományos kémkedési vagy megfigyelési célokra szolgáló think tankok elleni műveleteket és támadásokat összpontosítja.
Pénzügyileg motivált szereplők: bűnszervezet/személy által irányított kiberkampányok/csoportok, amelyek pénzügyi haszonszerzési motivációval járnak, és nem kapcsolódnak nagy bizalommal egy ismert, nemzeten kívüli államhoz vagy kereskedelmi entitáshoz. Ebbe a kategóriába tartoznak a zsarolóprogram-kezelők, az üzleti e-mailek feltörése, az adathalászat és más, tisztán pénzügyi vagy zsarolási motivációval rendelkező csoportok.
A magánszektor sértő szereplői (PSOA-k): olyan kereskedelmi szereplők által vezetett kibertevékenységek, amelyek ismert/jogos jogi személyek, amelyek kiberfegyvereket hoznak létre és adnak el azoknak az ügyfeleknek, akik ezután célokat választanak ki és működtetik a kiberfegyvereket. Ezeket az eszközöket a disszidenseket, az emberijog-védőket, az újságírókat, a civil társadalom tanácsadóit és más magánpolgárokat célozták meg és támogatták, ami számos globális emberi jogi erőfeszítést fenyegetett.
Befolyásolási műveletek: az online vagy offline kommunikációs kampányok manipulatív módon, hogy a célközönségek észleléseit, viselkedését vagy döntéseit egy csoport vagy egy nemzet érdekeinek és célkitűzéseinek továbbemelése érdekében váltsa át.
Fejlesztés alatt álló csoportok: egy ismeretlen, kialakulóban lévő vagy fejlődő veszélyforrás-tevékenység ideiglenes megjelölése. Ez a megjelölés lehetővé teszi a Microsoft számára, hogy különálló információhalmazként nyomon kövesse a csoportokat, amíg a művelet mögött álló szereplő eredetével vagy identitásával kapcsolatban nagy megbízhatóságot nem érünk el. Ha a feltételek teljesülnek, a fejlesztés alatt álló csoport nevesített szereplővé lesz konvertálva, vagy egyesítve lesz a meglévő nevekben.
Az új osztályozásban egy időjárási esemény vagy családnév a fenti kategóriák egyikét jelöli. A nemzetállami szereplők esetében a családnevet hozzárendeltük egy forráshoz kötött országhoz/régióhoz, például a Typhoon a Kínának való származást vagy forrásmegjelölést jelöli. Más szereplők esetében a családnév a motivációt jelenti. A Tempest például pénzügyileg motivált szereplőket jelöl.
Az ugyanabban az időjárás-családban lévő fenyegetést jelző szereplőknek melléknevük van, amely megkülönbözteti az aktorcsoportokat különböző taktikákkal, technikákkal és eljárásokkal (TSP-k), infrastruktúrával, célkitűzésekkel vagy más azonosított mintákkal. A fejlesztés alatt álló csoportok esetében a Storm ideiglenes megjelölését és egy négyjegyű számot használunk, ahol egy újonnan felfedezett, ismeretlen, kialakulóban lévő vagy fejlődő fenyegetési tevékenységcsoport található.
A táblázat bemutatja, hogyan képezik le az új családnevek az általunk nyomon követett fenyegetési szereplőket.
| Aktorkategória | Típus | Családnév |
|---|---|---|
| Nemzetállam | Kína Irán Libanon Észak-Korea Oroszország Dél-Korea Törökország Vietnam |
Tájfun Homokvihar Eső Szikra Blizzard Jégeső Por Ciklon |
| Pénzügyileg motivált | Pénzügyileg motivált | Tempest |
| A magánszektor támadó szereplői | PSOA-k | Szökőár |
| Befolyásolási műveletek | Befolyásolási műveletek | Árvíz |
| Fejlesztés alatt lévő csoportok | Fejlesztés alatt lévő csoportok | Vihar |
Az alábbi referenciatáblázat segítségével megtudhatja, hogyan fordítjuk le a korábban nyilvánosan közzétett régi fenyegetés aktorneveket az új osztályozási rendszerünkre.
| Fenyegetés aktorának neve | Előző név | Forrás/fenyegetés | Egyéb nevek |
|---|---|---|---|
| Aqua Blizzard | ACTINIUM | Oroszország | UNC530, Primitív medve, Gamaredon |
| Kék szökőár | A magánszektor támadó szereplője | Fekete kocka | |
| Sárgaréz tájszó | BÁRIUM | Kína | APT41 |
| Kadét hóvihar | DEV-0586 | Oroszország | |
| Camouflage Tempest | TAAL | Pénzügyileg motivált | FIN6, Csontváz pók |
| Vászon ciklon | BIZMUT | Vietnam | APT32, OceanLotus |
| Karamell szökőár | SOURGUM | A magánszektor támadó szereplője | Candiru |
| Carmine Tsunami | DEV-0196 | A magánszektor támadó szereplője | QuaDream |
| Charcoal Typhoon | KRÓM | Kína | ControlX |
| Fahéj tempest | DEV-0401 | Pénzügyileg motivált | Dragonfly császár, bronz csillagfény |
| Kör tífusz | DEV-0322 | Kína | |
| Citrin lé | DEV-0139, DEV-1222 | Észak-Korea | AppleJeus, Labyrinth Chollima, UNC4736 |
| Pamut homokvihar | DEV-0198 (NEPTUNIUM) | Irán | Vice Leaker |
| Crimson-homokvihar | CURIUM | Irán | TA456, Tortoise Shell |
| Kuboid homokvihar | DEV-0228 | Irán | |
| Denim Tsunami | CSOMÓSFŰ | A magánszektor támadó szereplője | DSIRF |
| Rombusz szikra | CINK | Észak-Korea | Labyrinth Chollima, Lazarus |
| Smaragd lé | TALLIUM | Észak-Korea | Kimsuky, Bársony Chollima |
| Len-tífusz | Storm-0919 | Kína | Ethereal Panda |
| Erdei hóvihar | STRONCIUM | Oroszország | APT28, Fancy Bear |
| Ghost Blizzard | BRÓM | Oroszország | Energikus medve, Crouching Yeti |
| Gingham-tájfun | GADOLÍNIUM | Kína | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Gránit tájfun | GALLIUM | Kína | |
| Szürke homokvihar | DEV-0343 | Irán | |
| Mogyorós homokvihar | EUROPIUM | Irán | Kobalt cigány, APT34, OilRig |
| Jade Sleet | Storm-0954 | Észak-Korea | TraderTraitor, UNC4899 |
| Csipke tempest | DEV-0950 | Pénzügyileg motivált | FIN11, TA505 |
| Citromos homokvihar | RUBIDIUM | Irán | Fox Cica, UNC757, PioneerKitten |
| Lila tífusz | DEV-0234 | Kína | |
| Manatee Tempest | DEV-0243 | Pénzügyileg motivált | EvilCorp, UNC2165, Indrik Spider |
| Mango-homokvihar | HIGANY | Irán | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagrosz |
| Márvány por | SZILÍCIUM | Türkiye | Tengeri teknős |
| Körömvirág-homokvihar | DEV-0500 | Irán | Moses Staff |
| Midnight Blizzard | NOBELIUM | Oroszország | APT29, Hangulatos medve |
| Menta homokvihar | FOSZFOR | Irán | APT35, bájos cica |
| Mulberry Typhoon | MANGÁN | Kína | APT5, Kulcslyuk Panda, TABCTENG |
| Mustár tempest | DEV-0206 | Pénzügyileg motivált | Lila Vallhund |
| Éjszakai szökőár | DEV-0336 | A magánszektor támadó szereplője | NSO-csoport |
| Nylon Typhoon | NIKKEL | Kína | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Pénzügyileg motivált | 0ktapus, szétszórt pók, UNC3944 |
| Onyx Sleet | PLUTÓNIUM | Észak-Korea | Silent Chollima, Andariel, DarkSeoul |
| Opál szikra | OZMIUM | Észak-Korea | Konni |
| Őszibarack homokvihar | HOLMIUM | Irán | APT33, finomított cica |
| Pearl Sleet | DEV-0215 (LAWRENCIUM) | Észak-Korea | |
| Periwinkle Tempest | DEV-0193 | Pénzügyileg motivált | Wizard Spider, UNC2053 |
| Phlox Tempest | DEV-0796 | Pénzügyileg motivált | ClickPirate, Chrome Loader, Choziosi loader |
| Rózsaszín homokvihar | AMERICIUM | Irán | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pisztácia tempest | DEV-0237 | Pénzügyileg motivált | FIN12 |
| Plaid Rain | POLÓNIUM | Libanon | |
| Sütőtök homokvihar | DEV-0146 | Irán | ZeroCleare |
| Raspberry Typhoon | RADIUM | Kína | APT30, LotusBlossom |
| Ruby Sleet | CÉIUM | Észak-Korea | |
| Lazac-tájfun | NÁTRIUM | Kína | APT4, Maverick Panda |
| Sangria Tempest | ELBRUS | Pénzügyileg motivált | Szén pók, FIN7 |
| Zafír szikra | COPERNICIUM | Észak-Korea | Genie Spider, BlueNoroff |
| Seashell Blizzard | IRIDIUM | Oroszország | APT44, Homokféreg |
| Secret Blizzard | KRIPTON | Oroszország | Mérges medve, Turla, Kígyó |
| Selyem tájfun | HAFNIUM | Kína | |
| Füstös homokvihar | BOHRIUM | Irán | |
| Spandex Tempest | CHIMBORAZO | Pénzügyileg motivált | TA505 |
| Star Blizzard | SEABORGIUM | Oroszország | Callisto, Csapat újrafelhasználása |
| Storm-0062 | Kína | DarkShadow, Oro0lxy | |
| Storm-0133 | Irán | LYCEUM, HEXÁN | |
| Storm-0216 | Pénzügyileg motivált | Csavart pók, UNC2198 | |
| Storm-0257 | Csoport fejlesztés alatt | UNC1151 | |
| Storm-0324 | Pénzügyileg motivált | TA543, Sagrid | |
| Storm-0381 | Pénzügyileg motivált | ||
| Storm-0530 | Észak-Korea | H0lyGh0st | |
| Storm-0539 | Pénzügyileg motivált | ||
| Storm-0558 | Kína | ||
| Storm-0569 | Pénzügyileg motivált | ||
| Storm-0587 | Oroszország | SaintBot, Saint Bear, TA471 | |
| Storm-0744 | Pénzügyileg motivált | ||
| Storm-0784 | Irán | ||
| Storm-0829 | Csoport fejlesztés alatt | Nwgen csapat | |
| Storm-0835 | Csoport fejlesztés alatt | EvilProxy | |
| Storm-0842 | Irán | ||
| Storm-0861 | Irán | ||
| Storm-0867 | Egyiptom | Koffein | |
| Storm-0971 | Pénzügyileg motivált | (Az Octo Tempestbe egyesítve) | |
| Storm-0978 | Csoport fejlesztés alatt | RomCom, underground csapat | |
| Storm-1044 | Pénzügyileg motivált | Danabot | |
| Storm-1084 | Irán | Sötétbit | |
| Storm-1099 | Oroszország | ||
| Storm-1101 | Csoport fejlesztés alatt | Meztelen lapok | |
| Storm-1113 | Pénzügyileg motivált | ||
| Storm-1133 | Palesztin fennhatóság | ||
| Storm-1152 | Pénzügyileg motivált | ||
| Storm-1167 | Indonézia | ||
| Storm-1283 | Csoport fejlesztés alatt | ||
| Storm-1286 | Csoport fejlesztés alatt | ||
| Storm-1295 | Csoport fejlesztés alatt | Nagyság | |
| Storm-1364 | Irán | ||
| Storm-1567 | Pénzügyileg motivált | Akira | |
| Storm-1575 | Csoport fejlesztés alatt | Dadsec | |
| Storm-1674 | Pénzügyileg motivált | ||
| Eper tempest | Pénzügyileg motivált | LAPSUS$ | |
| Sunglow Blizzard | Oroszország | ||
| Paradicsom tempest | SPURR | Pénzügyileg motivált | Áfakészlet |
| Vanília tempest | DEV-0832 | Pénzügyileg motivált | |
| Bársonyos tempest | DEV-0504 | Pénzügyileg motivált | |
| Ibolya tájfun | CIRKÓNIUM | Kína | APT31 |
| Volt tájfun | Kína | BRONZ SZILUETT, VANGUARD PANDA | |
| Bor tempest | PARINACOTA | Pénzügyileg motivált | Wadhrama |
| Wisteria Tsunami | DEV-0605 | A magánszektor támadó szereplője | CyberRoot |
| Zigzag jégeső | DUBNIUM | Dél-Korea | Dark Hotel, Tapaoux |
További információért olvassa el közleményünket az új osztályozásról: https://aka.ms/threatactorsblog
Intelligencia használata biztonsági szakemberek kezébe
Az Intel-profilok Microsoft Defender Intelligens veszélyforrás-felderítés kulcsfontosságú megállapításokat nyújtanak a fenyegetést jelentő szereplőkről. Ezek az elemzések lehetővé teszik a biztonsági csapatok számára, hogy a fenyegetésekre való felkészülés és reagálás során megkapják a szükséges környezetet.
Emellett a Microsoft Defender Intelligens veszélyforrás-felderítés Intel Profiles API biztosítja a legfrissebb fenyegetési aktor-infrastruktúra láthatóságát az iparágban. A frissített információk elengedhetetlenek ahhoz, hogy lehetővé tegye a fenyegetésfelderítési és biztonsági műveleti (SecOps-) csapatok számára a fejlett veszélyforrás-keresési és -elemzési munkafolyamatok egyszerűsítését. További információ erről az API-ról a dokumentációban: A fenyegetésfelderítési API-k használata a Microsoft Graphban (előzetes verzió).
Források
Használja az alábbi lekérdezést Microsoft Defender XDR és a Kusto lekérdezési nyelvet (KQL) támogató egyéb Microsoft biztonsági termékekről, hogy információkat kapjon egy fenyegetést kezelő szereplőről a régi név, az új név vagy az iparág neve alapján:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
A következő fájlok is elérhetők, amelyek a fenyegetés aktorneveinek és új neveiknek átfogó leképezését tartalmazzák:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: