次の方法で共有


Microsoft が脅威アクターに名前を付けする方法

Microsoft では、気象のテーマに合わせて脅威アクターに名前付け分類を使用します。 私たちは、この分類性を持つ顧客や他のセキュリティ研究者に、より明確な情報を提供する予定です。 組織がより優先順位を付け、保護できるように、脅威アクターを参照するための、より整理された明確で簡単な方法を提供します。 また、膨大な量の脅威インテリジェンス データに既に直面しているセキュリティ研究者の支援も目指しています。

Microsoft の名前付けに基づく国家のアクター

Microsoft では、脅威アクターを 5 つのキー グループに分類します。

国家のアクター: スパイ、金銭的利益、または報復の有無に関係なく、国家/国家連携プログラムの代理または監督を行うサイバーオペレーター。 Microsoft は、ほとんどの国の州のアクターが、政府機関、政府間組織、非政府組織、伝統的なスパイや監視の目的のためのシンク タンクに対する運用と攻撃に焦点を当て続けていると観察しました。

財務上動機付けられたアクター: 犯罪organization/財務上の利益の動機を持ち、既知の非国家または商業エンティティに高い信頼と関連付けられていないサイバー キャンペーン/グループ。 このカテゴリには、ランサムウェアオペレーター、ビジネスメールの侵害、フィッシング、純粋な金銭的または強要的な動機を持つその他のグループが含まれます。

民間部門の攻撃的アクター (PSOA): 既知または正当な法人である商用アクターが主導するサイバーアクティビティ。サイバー攻撃を作成して販売し、ターゲットを選択してサイバーウィーポンを運用する顧客に提供します。 これらのツールは、反体制派、人権擁護者、ジャーナリスト、市民社会の支持者、その他の民間人を標的にして監視され、多くの世界的な人権活動を脅かしていました。

影響操作: オンラインまたはオフラインでコミュニケーションを取る情報キャンペーンを操作的に行い、対象ユーザーによる認識、行動、または決定を、グループまたは国の利益と目標をさらに向上させます。

開発中のグループ: 未知の脅威アクティビティ、新興アクティビティ、または開発アクティビティに対して指定される一時的な指定。 この指定により、Microsoft は、操作の背後にあるアクターの配信元または ID について高い信頼を得ることができるまで、グループを個別の情報セットとして追跡できます。 条件が満たされると、開発中のグループが名前付きアクターに変換されるか、既存の名前にマージされます。

この分類では、気象イベントまたは ファミリ名 は、上記のカテゴリのいずれかを表します。 国家のアクターの場合、属性に関連付けられている原産国/地域に姓を割り当てしました。 たとえば、台風は中国への起源または属性を示します。 他のアクターの場合、ファミリ名は動機を表します。 たとえば、Tempest は、財務上動機付けられたアクターを示します。

同じ気象ファミリ内の脅威アクターには、異なる戦術、手法、手順 (TCP)、インフラストラクチャ、目的、またはその他の識別されたパターンを持つアクター グループを区別するための形容詞が与えられる。 開発中のグループでは、Storm の一時的な指定と、新たに検出された、不明な、新たに発生した、または脅威アクティビティのクラスターを開発する 4 桁の番号を使用します。

次の表は、ファミリ名が追跡する脅威アクターにどのようにマップされるかを示しています。

脅威アクター カテゴリ 名字
中国
ドイツ
インド
イラン
北朝鮮
レバノン
パキスタン
パレスチナ自治政府
ロシア
シンガポール
韓国
スペイン
シリア
トルコ
ウクライナ
米国
ベトナム
台風
強風
モンスーン
砂嵐


旋風
稲妻
ブリザード
スコール

Derecho



竜巻
サイクロン
財務上の動機付け 財務上の動機付け
民間部門の攻撃的アクター PSOA 津波
影響操作 影響操作 洪水
開発中のグループ 開発中のグループ

次の表に、公開されている脅威アクター名とその配信元または脅威アクター カテゴリ、以前の名前、および他のセキュリティ ベンダーが使用する対応する名前 (使用可能な場合) を示します。 このページは、他のベンダーの名前に関する詳細情報が利用可能になると更新されます。

脅威アクター名 配信元/脅威アクター カテゴリ その他の名前
アメジスト雨 レバノン ヴォルカニックティンバー、揮発性杉
アンティーク台風 中国 Storm-0558
アクア ブリザード ロシア ACTINIUM、PRIMITIVE BEAR、Gamaredon、Armageddon、UNC530、shuckworm、SectorC08
ベリーサンドストーム イラン Storm-0852
青い津波 イスラエル、民間部門の攻撃的アクター
真鍮台風 中国 BARIUM, 邪悪なパンダ, APT41
ブロケード台風 中国 ボロン、ゴシックパンダ、UPS、APT3、OLDCARP、TG-0110、レッドシルバン、CYBRAN
バーガンディ・サンドストーム イラン REMIX 子猫, カデル, シェーファー
Cadet Blizzard ロシア DEV-0586、EMBER BEAR
カナリア台風 中国 回線 PANDA、APT24、Palmerworm、BlackTech
キャンバス サイクロン ベトナム BISMUTH、オーシャンバッファロー、オーシャンロタス、APT32
キャラメル津波 イスラエル、民間部門の攻撃的アクター DEV-0236
カルミネ津波 民間部門の攻撃的なアクター
炭台風 中国 CHROMIUM、アクアティック パンダ、ControlX、RedHotel、ブロンズ大学
チェッカー台風 中国 塩素、ディープパンダ、ATG50、APT19、TG-3551、レッドガーゴイル
シナモン テンペスト 中国、財務意欲 DEV-0401、HighGround
円台風 中国 DEV-0322, EMISSARY PANDA, APT6, APT27
Citrine Sleet 北朝鮮 Storm-0139, Storm-1222, ラビリンス・チョリマ
コットンサンドストーム イラン ネプチュニウム、ヘイワイヤー子猫、バイスリーカー
CovertNetwork-1658 Covert ネットワーク ORB07
クレセント台風 中国 セシウム
真紅の砂嵐 イラン キュリウム、インペリアル子猫、トータスシェル、ハウスブレンド、TA456
直方体砂嵐 イラン DEV-0228, 帝国の子猫
デニム津波 オーストリア、民間部門の攻撃的アクター DEV-0291
ダイヤモンドスレット 北朝鮮 ジンク、ラザロ、ラザロ、ブラックアルテミス
エメラルドスレット 北朝鮮 THALLIUM、VELVET CHOLLIMA、RGB-D5、Black Banshee、Kimsuky、Greendinosa
Fallow Squall シンガポール プラチナ、パラサイト、ルビビン、ジンジャースナップ
亜麻台風 中国 Storm-0919, ETHEREAL PANDA
フォレスト ブリザード ロシア STRONTIUM、ファンシーベア、セドニット、ATG2、ソファシー、ブルーアテナ、Z-ロムチーム、ポーンストーム、ツァルチーム、CrisisFour、HELLFIRE、APT28
ゴースト ブリザード ロシア BROMINE、BERSERK BEAR、TG-4192、コアラチーム、ブルークラーケン、クラウチン・イエティ、トンボ
ギンガム台風 中国 GADOLINIUM, クリプトナイトパンダ, 一時.Periscope、Leviathan、JJDoor、APT40、Feverdream
花崗岩台風 中国 ガリウム、ファントムパンダ
グレー サンドストーム イラン DEV-0343
ヘーゼル サンドストーム イラン ユーロピウム、ヘリックス子猫、コルバルジプシー、クラムブ、オイルリグ、APT34
ハート台風 中国 HELIUM, AURORA PANDA, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, Tailgater
六角形台風 中国 水素、番号付き PANDA、Calc チーム、Red Anubis、APT12、DNS-Calc、HORDE
千鳥格子台風 中国 HASSIUM、DRAGNET PANDA、isoon、deepclif
翡翠 北朝鮮 Storm-0954, ラビリンス・チョリマ
レーステンペスト 財務上の動機付け DEV-0950
レモン サンドストーム イラン ルビジウム、パイオニア子猫
レオパード台風 中国 LEAD, WICKED PANDA, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group
ライラック台風 中国 DEV-0234
リネン台風 中国 IODINE, EMISSARY PANDA, Red Phoenix, ヒポ, ラッキー マウス, BOWSER, APT27, Wekby2, UNC215, TG-3390
Luna Tempest 財務上の動機付け
マゼンタダスト トルコ PROMETHIUM、StrongPity、SmallPity
Manatee Tempest ロシア DEV-0243、 INDRIK SPIDER
マンゴー サンドストーム イラン 水銀、静的子猫、SeedWorm、TEMP。Zagros、MuddyWater
マーブルダスト トルコ シリコン、コズミックオオカミ、ウミガメ、UNC1326
マリーゴールド・サンズストーム イラン DEV-500, ベンジフル子猫
ミッドナイト ブリザード ロシア NOBELIUM, COZY BEAR, UNC2452, APT29
ミント サンドストーム イラン リン, 魅力的な子猫, パラストゥー, ニュースキャスター, APT35
ムーンストーンスレット 北朝鮮 Storm-1789 ラビリンス・チョリマ
マルベリー台風 中国 マンガン、KEYHOLE PANDA、Backdoor-DPD、COVENANT、CYSERVICE、ボトル、Red Horus、Red Naga、Auriga、APT5、ATG48、TG-2754、tabcteng
マスタード Tempest 財務上の動機付け DEV-0206、 INDRIK SPIDER
Neva Flood ロシア、影響を与える操作 Storm-1516、CopyCop
夜間津波 イスラエル DEV-0336
ナイロン台風 中国 ニッケル、VIXEN PANDA、遊び心のあるドラゴン、RedRiver、ke3chang、APT15、ミラージュ
Octo Tempest 財務上の動機付け スキャッタースパイダー、0ktapus
Onyx Sleet 北朝鮮 PLUTONIUM、SILENT CHOLLIMA、StoneFly、Tdrop2 キャンペーン、DarkSeoul、Black Chollima、Andariel、APT45
Opal Sleet 北朝鮮 OSMIUM、 VELVET CHOLLIMA、Planedown、Konni、APT43
ピーチ・サンドストーム イラン ホルミウム、リファイン子猫、APT33、エルフィン
パールスレット 北朝鮮 ローレンシウム
Periwinkle Tempest ロシア DEV-0193、 WIZARD SPIDER
Phlox Tempest イスラエル、財政的動機 DEV-0796
ピンク サンドストーム イラン AMERICIUM、SPECTRAL INFANT、Agrius、Deadwood、BlackShadow、SharpBoys、FireAnt、Justice Blade
ピンストライプライトニング NIOBIUM、RENEGADE JACKAL、デザートファルコンズ、シミタル、乾燥したバイパー
ピスタチオテンペスト 財務上の動機付け DEV-0237
タータンレイン レバノン ポロニウム、インセンディアル ジャッカル
かぼちゃ砂嵐 イラン DEV-0146
紫台風 中国 カリウム、ストーンパンダ、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、Foxtrot、Foxmail、MenuPass、Red Apollo
Raspberry Typhoon 中国 RADIUM、LOTUS PANDA、LotusBlossom、APT30
レッド サンドストーム イラン Storm-0842, BANISHED子猫, Void Manticore
Ruby Sleet 北朝鮮 セリウム,ベルベットチョリマ
ルザフラッド ロシア、影響を与える操作
サーモン台風 中国 ナトリウム,マベリックパンダ,APT4
塩台風 中国 OPERATOR PANDA, GhostEmperor, FamousSparrow
Sangria Tempest ウクライナ、財政的動機 ELBRUS、カーボンスパイダー
サファイアスレット 北朝鮮 COPERNICIUM、STARDUST CHOLLIMA、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore
サテン台風 中国 SCANDIUM, DYNAMITE PANDA, COMBINE, TG-0416, SILVERVIPER, Red Wraith, APT18, Elderwood Group, Wekby
Seashell Blizzard ロシア IRIDIUM、VOODOO BEAR、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44
シークレット ブリザード ロシア KRYPTON、VENOMOUS BEAR、Uroburos、Snake、Blue Python、Turla、WRAITH、ATG26
セフィド洪水 イラン、インフルエンス・オペレーション
影台風 中国 Storm-0062、DarkShadow、Oro0lxy
シルク台風 中国 ハフニウム、マーキーパンダ、ティミー
煙砂嵐 イラン 帝国の子猫,UNC1549
スパンデックステンペスト 財務上の動機付け MONTY SPIDER、TA505
スター ブリザード ロシア SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446
Storm-0216 財務上の動機付け トンネル スパイダー、UNC2198
Storm-0230 開発中のグループ WIZARD SPIDER、Conti Team 1
Storm-0247 中国 ToddyCat、Websiic
Storm-0252 開発中のグループ CHATTY SPIDER
Storm-0288 開発中のグループ FIN8
Storm-0302 開発中のグループ NARWHAL SPIDER,TA544
Storm-0408 開発中のグループ
Storm-0485 開発中のグループ
Storm-0501 財務上の動機付け
Storm-0538 開発中のグループ スケルトンスパイダー、FIN6
Storm-0539 財務上の動機付け
Storm-0569 財務上の動機付け
Storm-0671 開発中のグループ UNC2596,トロピカルスコーピウス
Storm-0940 中国
Storm-0978 ロシア ロムコム地下チーム
Storm-1101 開発中のグループ
Storm-1113 財務上の動機付け アポセカリースパイダー
Storm-1152 財務上の動機付け
Storm-1175 中国、財務意欲
Storm-1194 開発中のグループ モンティ
Storm-1249 開発中のグループ
Storm-1516 ロシア、影響を与える操作
Storm-1567 財務上の動機付け パンクスパイダー
Storm-1674 財務上の動機付け
Storm-1679 影響操作
Storm-1811 財務上の動機付け カーリースパイダー
Storm-1865 開発中のグループ
Storm-1982 中国 スニーキーシェフ、UNK_SweetSpecter
Storm-2035 イラン、インフルエンス・オペレーション
Storm-2077 中国 TAG-100
Storm-2372 開発中のグループ
ストロベリーテンペスト 財務上の動機付け DEV-0537, SLIPPY SPIDER, LAPSUS$
Sunglow Blizzard DEV-0665
スワール台風 中国 TELLURIUM、ストーカーパンダ、ティック、ブロンズバトラー、REDBALDKNIGHT
タフタ台風 中国 TECHNETIUM、TURBINE PANDA、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW
太子洪水 中国、影響力の運用 Dragonbridge、Spamouflage
タンブルウィード台風 中国 THORIUM、Karst
ツイル台風 中国 タンタルム、マスタングパンダ、ブロンズ社長、ルミナスモス
Vanilla Tempest 財務上の動機付け DEV-0832, VICE SPIDER, 副学会
Velvet Tempest 財務上の動機付け DEV-0504、アルファ スパイダー
バイオレット台風 中国 ジルコニウム、判定パンダ、カメレオン、APT31、WebFans
Void Blizzard ロシア ランドリーベア
ボルガ洪水 ロシア、影響を与える操作 Storm-1841、Rybar
ボルト台風 中国 ヴァンガードパンダ、ブロンズシルエット
小麦テンペスト 財務上の動機付け GOLD、Gatak
藤の津波 インド、民間部門の攻撃的アクター DEV-0605, MintedSoil
Yulong Flood 中国、影響力の運用 Storm-1852
ジグザグ雹 韓国 DUBNIUM, SHADOW CRANE, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, APT-C-60

詳細については、この分類に関するお知らせをお読みください。 https://aka.ms/threatactorsblog

セキュリティプロフェッショナルの手にインテリジェンスを取り入れる

Microsoft Defender 脅威インテリジェンスの Intel プロファイルは、脅威アクターに関する重要な分析情報をもたらします。 これらの分析情報を使用すると、セキュリティ チームは、脅威に備えて対応する際に必要なコンテキストを取得できます。

さらに、Microsoft Defender 脅威インテリジェンス Intel Profiles API は、現在、業界で最新の脅威アクター インフラストラクチャの可視性を提供します。 最新の情報は、脅威インテリジェンスとセキュリティ運用 (SecOps) チームが高度な脅威ハンティングと分析ワークフローを合理化するために重要です。 この API の詳細については、Microsoft Graph (プレビュー) の脅威インテリジェンス API を使用する方法に関するドキュメントを参照してください。

リソース

Kusto クエリ言語 (KQL) をサポートするMicrosoft Defender XDRおよびその他の Microsoft セキュリティ製品に関する次のクエリを使用して、古い名前、新しい名前、または業界名を使用して脅威アクターに関する情報を取得します。

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

古い脅威アクター名と新しい名前の包括的なマッピングを含む次のファイルも使用できます。