Microsoft では、気象のテーマに合わせて脅威アクターに名前付け分類を使用します。 私たちは、この分類性を持つ顧客や他のセキュリティ研究者に、より明確な情報を提供する予定です。 組織がより優先順位を付け、保護できるように、脅威アクターを参照するための、より整理された明確で簡単な方法を提供します。 また、膨大な量の脅威インテリジェンス データに既に直面しているセキュリティ研究者の支援も目指しています。
Microsoft では、脅威アクターを 5 つのキー グループに分類します。
国家のアクター: スパイ、金銭的利益、または報復の有無に関係なく、国家/国家連携プログラムの代理または監督を行うサイバーオペレーター。 Microsoft は、ほとんどの国の州のアクターが、政府機関、政府間組織、非政府組織、伝統的なスパイや監視の目的のためのシンク タンクに対する運用と攻撃に焦点を当て続けていると観察しました。
財務上動機付けられたアクター: 犯罪organization/財務上の利益の動機を持ち、既知の非国家または商業エンティティに高い信頼と関連付けられていないサイバー キャンペーン/グループ。 このカテゴリには、ランサムウェアオペレーター、ビジネスメールの侵害、フィッシング、純粋な金銭的または強要的な動機を持つその他のグループが含まれます。
民間部門の攻撃的アクター (PSOA): 既知または正当な法人である商用アクターが主導するサイバーアクティビティ。サイバー攻撃を作成して販売し、ターゲットを選択してサイバーウィーポンを運用する顧客に提供します。 これらのツールは、反体制派、人権擁護者、ジャーナリスト、市民社会の支持者、その他の民間人を標的にして監視され、多くの世界的な人権活動を脅かしていました。
影響操作: オンラインまたはオフラインでコミュニケーションを取る情報キャンペーンを操作的に行い、対象ユーザーによる認識、行動、または決定を、グループまたは国の利益と目標をさらに向上させます。
開発中のグループ: 未知の脅威アクティビティ、新興アクティビティ、または開発アクティビティに対して指定される一時的な指定。 この指定により、Microsoft は、操作の背後にあるアクターの配信元または ID について高い信頼を得ることができるまで、グループを個別の情報セットとして追跡できます。 条件が満たされると、開発中のグループが名前付きアクターに変換されるか、既存の名前にマージされます。
この分類では、気象イベントまたは ファミリ名 は、上記のカテゴリのいずれかを表します。 国家のアクターの場合、属性に関連付けられている原産国/地域に姓を割り当てしました。 たとえば、台風は中国への起源または属性を示します。 他のアクターの場合、ファミリ名は動機を表します。 たとえば、Tempest は、財務上動機付けられたアクターを示します。
同じ気象ファミリ内の脅威アクターには、異なる戦術、手法、手順 (TCP)、インフラストラクチャ、目的、またはその他の識別されたパターンを持つアクター グループを区別するための形容詞が与えられる。 開発中のグループでは、Storm の一時的な指定と、新たに検出された、不明な、新たに発生した、または脅威アクティビティのクラスターを開発する 4 桁の番号を使用します。
次の表は、ファミリ名が追跡する脅威アクターにどのようにマップされるかを示しています。
| 脅威アクター カテゴリ | 型 | 名字 |
|---|---|---|
| 國 | 中国 ドイツ インド イラン 北朝鮮 レバノン パキスタン パレスチナ自治政府 ロシア シンガポール 韓国 スペイン シリア トルコ ウクライナ 米国 ベトナム |
台風 強風 モンスーン 砂嵐 霙 雨 旋風 稲妻 ブリザード スコール 雹 Derecho 靄 塵 霜 竜巻 サイクロン |
| 財務上の動機付け | 財務上の動機付け | 嵐 |
| 民間部門の攻撃的アクター | PSOA | 津波 |
| 影響操作 | 影響操作 | 洪水 |
| 開発中のグループ | 開発中のグループ | 嵐 |
次の表に、公開されている脅威アクター名とその配信元または脅威アクター カテゴリ、以前の名前、および他のセキュリティ ベンダーが使用する対応する名前 (使用可能な場合) を示します。 このページは、他のベンダーの名前に関する詳細情報が利用可能になると更新されます。
| 脅威アクター名 | 配信元/脅威アクター カテゴリ | その他の名前 |
|---|---|---|
| アメジスト雨 | レバノン | ヴォルカニックティンバー、揮発性杉 |
| アンティーク台風 | 中国 | Storm-0558 |
| アクア ブリザード | ロシア | ACTINIUM、PRIMITIVE BEAR、Gamaredon、Armageddon、UNC530、shuckworm、SectorC08 |
| ベリーサンドストーム | イラン | Storm-0852 |
| 青い津波 | イスラエル、民間部門の攻撃的アクター | |
| 真鍮台風 | 中国 | BARIUM, 邪悪なパンダ, APT41 |
| ブロケード台風 | 中国 | ボロン、ゴシックパンダ、UPS、APT3、OLDCARP、TG-0110、レッドシルバン、CYBRAN |
| バーガンディ・サンドストーム | イラン | REMIX 子猫, カデル, シェーファー |
| Cadet Blizzard | ロシア | DEV-0586、EMBER BEAR |
| カナリア台風 | 中国 | 回線 PANDA、APT24、Palmerworm、BlackTech |
| キャンバス サイクロン | ベトナム | BISMUTH、オーシャンバッファロー、オーシャンロタス、APT32 |
| キャラメル津波 | イスラエル、民間部門の攻撃的アクター | DEV-0236 |
| カルミネ津波 | 民間部門の攻撃的なアクター | |
| 炭台風 | 中国 | CHROMIUM、アクアティック パンダ、ControlX、RedHotel、ブロンズ大学 |
| チェッカー台風 | 中国 | 塩素、ディープパンダ、ATG50、APT19、TG-3551、レッドガーゴイル |
| シナモン テンペスト | 中国、財務意欲 | DEV-0401、HighGround |
| 円台風 | 中国 | DEV-0322, EMISSARY PANDA, APT6, APT27 |
| Citrine Sleet | 北朝鮮 | Storm-0139, Storm-1222, ラビリンス・チョリマ |
| コットンサンドストーム | イラン | ネプチュニウム、ヘイワイヤー子猫、バイスリーカー |
| CovertNetwork-1658 | Covert ネットワーク | ORB07 |
| クレセント台風 | 中国 | セシウム |
| 真紅の砂嵐 | イラン | キュリウム、インペリアル子猫、トータスシェル、ハウスブレンド、TA456 |
| 直方体砂嵐 | イラン | DEV-0228, 帝国の子猫 |
| デニム津波 | オーストリア、民間部門の攻撃的アクター | DEV-0291 |
| ダイヤモンドスレット | 北朝鮮 | ジンク、ラザロ、ラザロ、ブラックアルテミス |
| エメラルドスレット | 北朝鮮 | THALLIUM、VELVET CHOLLIMA、RGB-D5、Black Banshee、Kimsuky、Greendinosa |
| Fallow Squall | シンガポール | プラチナ、パラサイト、ルビビン、ジンジャースナップ |
| 亜麻台風 | 中国 | Storm-0919, ETHEREAL PANDA |
| フォレスト ブリザード | ロシア | STRONTIUM、ファンシーベア、セドニット、ATG2、ソファシー、ブルーアテナ、Z-ロムチーム、ポーンストーム、ツァルチーム、CrisisFour、HELLFIRE、APT28 |
| ゴースト ブリザード | ロシア | BROMINE、BERSERK BEAR、TG-4192、コアラチーム、ブルークラーケン、クラウチン・イエティ、トンボ |
| ギンガム台風 | 中国 | GADOLINIUM, クリプトナイトパンダ, 一時.Periscope、Leviathan、JJDoor、APT40、Feverdream |
| 花崗岩台風 | 中国 | ガリウム、ファントムパンダ |
| グレー サンドストーム | イラン | DEV-0343 |
| ヘーゼル サンドストーム | イラン | ユーロピウム、ヘリックス子猫、コルバルジプシー、クラムブ、オイルリグ、APT34 |
| ハート台風 | 中国 | HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater |
| 六角形台風 | 中国 | 水素、番号付き PANDA、Calc チーム、Red Anubis、APT12、DNS-Calc、HORDE |
| 千鳥格子台風 | 中国 | HASSIUM、DRAGNET PANDA、isoon、deepclif |
| 翡翠 | 北朝鮮 | Storm-0954, ラビリンス・チョリマ |
| レーステンペスト | 財務上の動機付け | DEV-0950 |
| レモン サンドストーム | イラン | ルビジウム、パイオニア子猫 |
| レオパード台風 | 中国 | LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| ライラック台風 | 中国 | DEV-0234 |
| リネン台風 | 中国 | IODINE, EMISSARY PANDA, Red Phoenix, ヒポ, ラッキー マウス, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | 財務上の動機付け | |
| マゼンタダスト | トルコ | PROMETHIUM、StrongPity、SmallPity |
| Manatee Tempest | ロシア | DEV-0243、 INDRIK SPIDER |
| マンゴー サンドストーム | イラン | 水銀、静的子猫、SeedWorm、TEMP。Zagros、MuddyWater |
| マーブルダスト | トルコ | シリコン、コズミックオオカミ、ウミガメ、UNC1326 |
| マリーゴールド・サンズストーム | イラン | DEV-500, ベンジフル子猫 |
| ミッドナイト ブリザード | ロシア | NOBELIUM, COZY BEAR, UNC2452, APT29 |
| ミント サンドストーム | イラン | リン, 魅力的な子猫, パラストゥー, ニュースキャスター, APT35 |
| ムーンストーンスレット | 北朝鮮 | Storm-1789 ラビリンス・チョリマ |
| マルベリー台風 | 中国 | マンガン、KEYHOLE PANDA、Backdoor-DPD、COVENANT、CYSERVICE、ボトル、Red Horus、Red Naga、Auriga、APT5、ATG48、TG-2754、tabcteng |
| マスタード Tempest | 財務上の動機付け | DEV-0206、 INDRIK SPIDER |
| Neva Flood | ロシア、影響を与える操作 | Storm-1516、CopyCop |
| 夜間津波 | イスラエル | DEV-0336 |
| ナイロン台風 | 中国 | ニッケル、VIXEN PANDA、遊び心のあるドラゴン、RedRiver、ke3chang、APT15、ミラージュ |
| Octo Tempest | 財務上の動機付け | スキャッタースパイダー、0ktapus |
| Onyx Sleet | 北朝鮮 | PLUTONIUM、SILENT CHOLLIMA、StoneFly、Tdrop2 キャンペーン、DarkSeoul、Black Chollima、Andariel、APT45 |
| Opal Sleet | 北朝鮮 | OSMIUM、 VELVET CHOLLIMA、Planedown、Konni、APT43 |
| ピーチ・サンドストーム | イラン | ホルミウム、リファイン子猫、APT33、エルフィン |
| パールスレット | 北朝鮮 | ローレンシウム |
| Periwinkle Tempest | ロシア | DEV-0193、 WIZARD SPIDER |
| Phlox Tempest | イスラエル、財政的動機 | DEV-0796 |
| ピンク サンドストーム | イラン | AMERICIUM、SPECTRAL INFANT、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、Justice Blade |
| ピンストライプライトニング | NIOBIUM、RENEGADE JACKAL、デザートファルコンズ、シミタル、乾燥したバイパー | |
| ピスタチオテンペスト | 財務上の動機付け | DEV-0237 |
| タータンレイン | レバノン | ポロニウム、インセンディアル ジャッカル |
| かぼちゃ砂嵐 | イラン | DEV-0146 |
| 紫台風 | 中国 | カリウム、ストーンパンダ、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、Foxtrot、Foxmail、MenuPass、Red Apollo |
| Raspberry Typhoon | 中国 | RADIUM、LOTUS PANDA、LotusBlossom、APT30 |
| レッド サンドストーム | イラン | Storm-0842, BANISHED子猫, Void Manticore |
| Ruby Sleet | 北朝鮮 | セリウム,ベルベットチョリマ |
| ルザフラッド | ロシア、影響を与える操作 | |
| サーモン台風 | 中国 | ナトリウム,マベリックパンダ,APT4 |
| 塩台風 | 中国 | OPERATOR PANDA, GhostEmperor, FamousSparrow |
| Sangria Tempest | ウクライナ、財政的動機 | ELBRUS、カーボンスパイダー |
| サファイアスレット | 北朝鮮 | COPERNICIUM、STARDUST CHOLLIMA、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore |
| サテン台風 | 中国 | SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | ロシア | IRIDIUM、VOODOO BEAR、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44 |
| シークレット ブリザード | ロシア | KRYPTON、VENOMOUS BEAR、Uroburos、Snake、Blue Python、Turla、WRAITH、ATG26 |
| セフィド洪水 | イラン、インフルエンス・オペレーション | |
| 影台風 | 中国 | Storm-0062、DarkShadow、Oro0lxy |
| シルク台風 | 中国 | ハフニウム、マーキーパンダ、ティミー |
| 煙砂嵐 | イラン | 帝国の子猫,UNC1549 |
| スパンデックステンペスト | 財務上の動機付け | MONTY SPIDER、TA505 |
| スター ブリザード | ロシア | SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446 |
| Storm-0216 | 財務上の動機付け | トンネル スパイダー、UNC2198 |
| Storm-0230 | 開発中のグループ | WIZARD SPIDER、Conti Team 1 |
| Storm-0247 | 中国 | ToddyCat、Websiic |
| Storm-0252 | 開発中のグループ | CHATTY SPIDER |
| Storm-0288 | 開発中のグループ | FIN8 |
| Storm-0302 | 開発中のグループ | NARWHAL SPIDER,TA544 |
| Storm-0408 | 開発中のグループ | |
| Storm-0485 | 開発中のグループ | |
| Storm-0501 | 財務上の動機付け | |
| Storm-0538 | 開発中のグループ | スケルトンスパイダー、FIN6 |
| Storm-0539 | 財務上の動機付け | |
| Storm-0569 | 財務上の動機付け | |
| Storm-0671 | 開発中のグループ | UNC2596,トロピカルスコーピウス |
| Storm-0940 | 中国 | |
| Storm-0978 | ロシア | ロムコム地下チーム |
| Storm-1101 | 開発中のグループ | |
| Storm-1113 | 財務上の動機付け | アポセカリースパイダー |
| Storm-1152 | 財務上の動機付け | |
| Storm-1175 | 中国、財務意欲 | |
| Storm-1194 | 開発中のグループ | モンティ |
| Storm-1249 | 開発中のグループ | |
| Storm-1516 | ロシア、影響を与える操作 | |
| Storm-1567 | 財務上の動機付け | パンクスパイダー |
| Storm-1674 | 財務上の動機付け | |
| Storm-1679 | 影響操作 | |
| Storm-1811 | 財務上の動機付け | カーリースパイダー |
| Storm-1865 | 開発中のグループ | |
| Storm-1982 | 中国 | スニーキーシェフ、UNK_SweetSpecter |
| Storm-2035 | イラン、インフルエンス・オペレーション | |
| Storm-2077 | 中国 | TAG-100 |
| Storm-2372 | 開発中のグループ | |
| ストロベリーテンペスト | 財務上の動機付け | DEV-0537, SLIPPY SPIDER, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| スワール台風 | 中国 | TELLURIUM、ストーカーパンダ、ティック、ブロンズバトラー、REDBALDKNIGHT |
| タフタ台風 | 中国 | TECHNETIUM、TURBINE PANDA、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW |
| 太子洪水 | 中国、影響力の運用 | Dragonbridge、Spamouflage |
| タンブルウィード台風 | 中国 | THORIUM、Karst |
| ツイル台風 | 中国 | タンタルム、マスタングパンダ、ブロンズ社長、ルミナスモス |
| Vanilla Tempest | 財務上の動機付け | DEV-0832, VICE SPIDER, 副学会 |
| Velvet Tempest | 財務上の動機付け | DEV-0504、アルファ スパイダー |
| バイオレット台風 | 中国 | ジルコニウム、判定パンダ、カメレオン、APT31、WebFans |
| Void Blizzard | ロシア | ランドリーベア |
| ボルガ洪水 | ロシア、影響を与える操作 | Storm-1841、Rybar |
| ボルト台風 | 中国 | ヴァンガードパンダ、ブロンズシルエット |
| 小麦テンペスト | 財務上の動機付け | GOLD、Gatak |
| 藤の津波 | インド、民間部門の攻撃的アクター | DEV-0605, MintedSoil |
| Yulong Flood | 中国、影響力の運用 | Storm-1852 |
| ジグザグ雹 | 韓国 | DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60 |
詳細については、この分類に関するお知らせをお読みください。 https://aka.ms/threatactorsblog
セキュリティプロフェッショナルの手にインテリジェンスを取り入れる
Microsoft Defender 脅威インテリジェンスの Intel プロファイルは、脅威アクターに関する重要な分析情報をもたらします。 これらの分析情報を使用すると、セキュリティ チームは、脅威に備えて対応する際に必要なコンテキストを取得できます。
さらに、Microsoft Defender 脅威インテリジェンス Intel Profiles API は、現在、業界で最新の脅威アクター インフラストラクチャの可視性を提供します。 最新の情報は、脅威インテリジェンスとセキュリティ運用 (SecOps) チームが高度な脅威ハンティングと分析ワークフローを合理化するために重要です。 この API の詳細については、Microsoft Graph (プレビュー) の脅威インテリジェンス API を使用する方法に関するドキュメントを参照してください。
リソース
Kusto クエリ言語 (KQL) をサポートするMicrosoft Defender XDRおよびその他の Microsoft セキュリティ製品に関する次のクエリを使用して、古い名前、新しい名前、または業界名を使用して脅威アクターに関する情報を取得します。
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
古い脅威アクター名と新しい名前の包括的なマッピングを含む次のファイルも使用できます。