Microsoft が脅威アクターに名前を付けする方法
重要
Microsoft は、天気のテーマに合わせて、脅威アクター向けの新しい名前付け分類に移行しました。 新しい分類では、お客様や他のセキュリティ研究者が既に圧倒的な量の脅威インテリジェンス データに直面しており、組織がより優先順位を付け、保護できるように、脅威アクターを参照するためのより組織的で明確で簡単な方法を提供する予定です。
Microsoft では、脅威アクターを 5 つのキー グループに分類します。
国家のアクター: スパイ、金銭的利益、または報復の有無に関係なく、国家/国家連携プログラムの代理または監督を行うサイバーオペレーター。 Microsoft は、ほとんどの国家国家アクターが、従来のスパイや監視の目的のために、政府機関、政府間組織、非政府組織、シンク タンクに対する運用と攻撃に焦点を当て続けていると観察しています。
財務上動機付けられたアクター: 犯罪organization/財務上の利益の動機を持ち、既知の非国家または商業主体に高い信頼と関連付けられていないサイバー キャンペーン/グループ。 このカテゴリには、ランサムウェアオペレーター、ビジネスメールの侵害、フィッシング、純粋な金銭的または強要的な動機を持つその他のグループが含まれます。
民間部門の攻撃的アクター (PSOA): 既知または正当な法人である商用アクターが主導するサイバーアクティビティ。サイバー攻撃を作成して販売し、ターゲットを選択してサイバーウィーポンを運用する顧客に提供します。 これらのツールは、反体制派、人権擁護者、ジャーナリスト、市民社会の支持者、その他の民間人を標的にして監視してきたため、多くの世界的な人権活動を脅かしています。
影響操作: オンラインまたはオフラインでコミュニケーションを取る情報キャンペーンを操作的に行い、対象ユーザーによる認識、行動、または決定を、グループまたは国の利益と目標をさらに向上させます。
開発中のグループ: 未知の脅威アクティビティ、新興アクティビティ、または開発中の脅威アクティビティに対して指定された一時的な指定です。これにより、Microsoft は、操作の背後にあるアクターの発生元または ID について高い信頼を得るまで、個別の情報セットとして追跡できます。 条件が満たされると、開発中のグループが名前付きアクターに変換されるか、既存の名前にマージされます。
新しい分類では、気象イベントまたは 家族名 は、上記のカテゴリのいずれかを表します。 国家のアクターの場合、台風は中国への起源または帰属を示すように、属性に関連付けられた原産国に姓を割り当てます。 他のアクターの場合、ファミリ名は動機を表します。 たとえば、Tempest は、財務上動機付けられたアクターを示します。 同じ気象ファミリ内の脅威アクターには、異なる戦術、手法、手順 (TCP)、インフラストラクチャ、目的、またはその他の識別されたパターンを持つアクター グループを区別するための形容詞が与えられる。 新しく検出された、未知の、新しい、新しい、または開発する脅威アクティビティのクラスターがある開発中のグループの場合、Storm と 4 桁の数値の一時的な指定を使用して、操作の背後にあるアクターの起源または ID に関する高い信頼に達するまで、一意の情報セットとして追跡できます。
次の表は、新しいファミリ名が、追跡する脅威アクターのサンプリングにどのようにマップされるかを示しています。
| アクター カテゴリ | 型 | ファミリ名 |
|---|---|---|
| 国家 | 中国 イラン レバノン 北朝鮮 ロシア 韓国 トルコ ベトナム |
台風 砂嵐 雨 みぞれ ブリザード 雹 ほこり サイクロン |
| 財務上の動機付け | 財務上の動機付け | 嵐 |
| 民間部門の攻撃的アクター | PSOA | 津波 |
| 影響操作 | 影響操作 | 洪水 |
| 開発中のグループ | 開発中のグループ | 嵐 |
以前に公開された古い脅威アクター名が新しい分類にどのように変換されるかを理解するには、次の参照表を使用します。
| 前の名前 | 新しい名前 | 配信元/脅威 | その他の名前 |
|---|---|---|---|
| アクチニウム | アクア ブリザード | ロシア | UNC530、プリミティブ ベア、ガマレードン |
| AMERICIUM | ピンク サンドストーム | イラン | Agrius、Deadwood、BlackShadow、SharpBoys |
| バリウム | 真鍮台風 | 中国 | APT41 |
| ビスマス | キャンバス サイクロン | ベトナム | APT32、OceanLotus |
| BOHRIUM | 煙砂嵐 | イラン | |
| 臭素 | ゴースト ブリザード | ロシア | 元気なクマ, うずくまっているイエティ |
| セリウム | Ruby Sleet | 北朝鮮 | |
| チンボラソ | スパンデックステンペスト | 財務上の動機付け | TA505 |
| クロム | 炭台風 | 中国 | ControlX |
| COPERNICIUM | サファイアスレット | 北朝鮮 | Genie Spider, BlueNoroff |
| CURIUM | 真紅の砂嵐 | イラン | TA456、トータスシェル |
| DUBNIUM | ジグザグ雹 | 韓国 | ダーク ホテル タパオ |
| Elbrus | Sangria Tempest | 財務上の動機付け | カーボンスパイダー、FIN7 |
| ユウロピウム | ヘーゼル サンドストーム | イラン | コバルトジプシー、APT34、OilRig |
| ガドリニウム | ギンガム台風 | 中国 | APT40、Leviathan、TEMP。ペリスコープ、クリプトナイトパンダ |
| ガリウム | 花崗岩台風 | 中国 | |
| ハフニウム | シルク台風 | 中国 | |
| ホルミウム | ピーチ・サンドストーム | イラン | APT33、洗練された子猫 |
| イリジウム | Seashell Blizzard | ロシア | Sandworm |
| KNOTWEED | デニム津波 | 民間部門の攻撃的なアクター | DSIRF |
| クリプトン | シークレット ブリザード | ロシア | 毒のクマ、 トゥルラ、 スネーク |
| LAWRENCIUM | パールスレット | 北朝鮮 | |
| マンガン | マルベリー台風 | 中国 | APT5,キーホールパンダ,TABCTENG |
| 水銀 | マンゴー サンドストーム | イラン | MuddyWater、SeedWorm、Static子猫、TEMP。ザグロス |
| ネプツニウム | コットンサンドストーム | イラン | Vice Leaker |
| ニッケル | ナイロン台風 | 中国 | ke3chang, APT15, Vixen Panda |
| NOBELIUM | ミッドナイト ブリザード | ロシア | APT29, コージー ベア |
| オスミウム | Opal Sleet | 北朝鮮 | Konni |
| パリナコタ | ワインテンペスト | 財務上の動機付け | Wadhrama |
| リン | ミント サンドストーム | イラン | APT35、魅力的な子猫 |
| プルトニウム | Onyx Sleet | 北朝鮮 | サイレント・チョリマ、Andariel、DarkSeoul |
| ポロニウム | タータンレイン | レバノン | |
| ラジウム | Raspberry Typhoon | 中国 | APT30、LotusBlossom |
| ルビジウム | レモン サンドストーム | イラン | キツネ子猫、UNC757、パイオニアキットン |
| シーボルギウム | スター ブリザード | ロシア | Callisto、再利用チーム |
| シリコン | マーブルダスト | トルコ | ウミガメ |
| SOURGUM | キャラメル津波 | 民間部門の攻撃的なアクター | Candiru |
| SPURR | トマトテンペスト | 財務上の動機付け | Vatet |
| ストロンチウム | フォレスト ブリザード | ロシア | APT28、ファンシー ベア |
| タール | カモフラージュテンペスト | 財務上の動機付け | FIN6、スケルトン スパイダー |
| タリウム | エメラルドスレット | 北朝鮮 | Kimsuky、 Velvet Chollima |
| 亜鉛 | ダイヤモンドスレット | 北朝鮮 | 迷宮チョリマ、ラザロス |
| ジルコニウム | バイオレット台風 | 中国 | APT31 |
| 前の名前 | 新しい名前 | 配信元/脅威 | その他の名前 |
|---|---|---|---|
| DEV-0146 | かぼちゃ砂嵐 | イラン | ZeroCleare |
| DEV-0193 | Periwinkle Tempest | 財務上の動機付け | ウィザード スパイダー、UNC2053 |
| DEV-0196 | カルミネ津波 | 民間部門の攻撃的なアクター | QuaDream |
| DEV-0198 (NEPTUNIUM) | コットンサンドストーム | イラン | Vice Leaker |
| DEV-0206 | マスタード Tempest | 財務上の動機付け | パープル ヴァルフント |
| DEV-0215 (LAWRENCIUM) | パールスレット | 北朝鮮 | |
| DEV-0227 (AMERICIUM) | ピンク サンドストーム | イラン | Agrius、Deadwood、BlackShadow、SharpBoys |
| DEV-0228 | 直方体砂嵐 | イラン | |
| DEV-0234 | ライラック台風 | 中国 | |
| DEV-0237 | ピスタチオテンペスト | 財務上の動機付け | FIN12 |
| DEV-0243 | Manatee Tempest | 財務上の動機付け | EvilCorp、UNC2165、Indrik Spider |
| DEV-0257 | Storm-0257 | 開発中のグループ | UNC1151 |
| DEV-0322 | 円台風 | 中国 | |
| DEV-0336 | 夜間津波 | 民間部門の攻撃的なアクター | NSO グループ |
| DEV-0343 | グレー サンドストーム | イラン | |
| DEV-0401 | シナモン テンペスト | 財務上の動機付け | エンペラー ドラゴンフライ ブロンズ スターライト |
| DEV-0500 | マリーゴールド・サンズストーム | イラン | モーゼススタッフ |
| DEV-0504 | Velvet Tempest | 財務上の動機付け | |
| DEV-0530 | Storm-0530 | 北朝鮮 | H0lyGh0st |
| DEV-0537 | ストロベリーテンペスト | 財務上の動機付け | LAPSUS$ |
| DEV-0586 | Cadet Blizzard | ロシア | |
| DEV-0605 | 藤の津波 | 民間部門の攻撃的なアクター | CyberRoot |
| DEV-0665 | Sunglow Blizzard | ロシア | |
| DEV-0796 | Phlox Tempest | 財務上の動機付け | ClickPirate、Chrome ローダー、Choziosi ローダー |
| DEV-0832 | Vanilla Tempest | 財務上の動機付け | |
| DEV-0950 | レーステンペスト | 財務上の動機付け | FIN11、TA505 |
| DEV-XXXX | ボルト台風 | 中国 | ブロンズシルエット |
詳細については、新しい分類に関するお知らせをお読みください。 https://aka.ms/threatactorsblog
セキュリティプロフェッショナルの手にインテリジェンスを取り入れる
Microsoft Defender 脅威インテリジェンスの Intel プロファイルは、重要な脅威アクターの分析情報を直接防御者の手に取り込み、脅威に対する準備と対応に必要なコンテキストを取得できるようにします。
さらに、Microsoft から得られる脅威インテリジェンスをさらに運用できるように、Microsoft Defender 脅威インテリジェンス Intel Profiles API は、業界で最新の脅威アクター インフラストラクチャの可視性を提供し、脅威インテリジェンスとセキュリティ運用 (SecOps) チームが高度な脅威ハンティングと分析ワークフローを合理化できるようにします。 この API の詳細については、Microsoft Graph (プレビュー) の脅威インテリジェンス API を使用する方法に関するドキュメントを参照してください。
リソース
Kusto クエリ言語 (KQL) をサポートするMicrosoft 365 Defenderおよびその他の Microsoft セキュリティ製品に関する次のクエリを使用して、古い名前、新しい名前、または業界名を使用して脅威アクターに関する情報を取得します。
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
古い脅威アクター名と新しい名前の包括的なマッピングを含む次のファイルも使用できます。