다음을 통해 공유


Microsoft의 이름 위협 행위자 이름

Microsoft는 날씨 테마에 맞춰 위협 행위자를 위한 새로운 명명 분류로 전환했습니다. 우리는 새로운 분류를 사용하여 고객과 다른 보안 연구원에게 더 나은 명확성을 제공 할 계획입니다. 조직은 위협 행위자를 더 잘 우선 순위를 지정하고 보호하고 이미 엄청난 양의 위협 인텔리전스 데이터에 직면한 보안 연구원을 도울 수 있도록 보다 체계적이고 명료하며 쉬운 방법으로 위협 행위자를 참조할 수 있습니다.

Microsoft 이름 지정을 기반으로 하는 국가별 행위자

Microsoft는 위협 행위자를 5가지 주요 그룹으로 분류합니다.

국가-국가 행위자: 간첩, 재정적 이익 또는 보복 여부에 관계없이 국가/국가 조정 프로그램을 대신하여 행동하거나 지시하는 사이버 운영자. Microsoft는 대부분의 국가 행위자가 전통적인 스파이 또는 감시 목표를 위해 정부 기관, 정부 간 조직, 비정부 조직 및 싱크 탱크에 대한 운영 및 공격에 계속 초점을 맞추고 있다고 관찰했습니다.

재정적으로 동기를 부여받은 행위자: 재정적 이익의 동기를 가진 범죄 organization/사람이 지휘하는 사이버 캠페인/그룹은 알려진 비국가 국가 또는 상업 단체에 대한 높은 신뢰와 관련이 없습니다. 이 범주에는 랜섬웨어 운영자, 비즈니스 이메일 손상, 피싱 및 순전히 재정적 또는 강탈 동기가 있는 기타 그룹이 포함됩니다.

PSOA(민간 부문 공격 행위자): 알려진/합법적인 법인인 상업 행위자가 주도하는 사이버 활동으로, 사이버 무기는 대상을 선택하고 사이버 무기로 운영하는 고객에게 사이버 무기 를 만들고 판매합니다. 이러한 도구는 반체제 인사, 인권 옹호자, 언론인, 시민 사회 옹호자 및 기타 민간 시민을 대상으로 하고 감시하여 많은 글로벌 인권 노력을 위협하는 것으로 관찰되었습니다.

영향 운영: 정보 캠페인은 온라인 또는 오프라인으로 조작된 방식으로 전달되어 대상 대상 그룹의 인식, 행동 또는 의사 결정을 그룹 또는 국가의 이익과 목표를 더 발전시킬 수 있습니다.

개발 그룹: 알 수 없는, 새로운 또는 개발 위협 활동에 지정된 임시 지정입니다. 이 지정을 통해 Microsoft는 작업 뒤에 있는 행위자의 출처 또는 ID에 대한 높은 신뢰도에 도달할 때까지 그룹을 개별 정보 집합으로 추적할 수 있습니다. 조건이 충족되면 개발 중인 그룹이 명명된 행위자로 변환되거나 기존 이름으로 병합됩니다.

새 분류에서 날씨 이벤트 또는 가족 이름은 위의 범주 중 하나를 나타냅니다. 국가별 행위자의 경우 태풍이 중국에 대한 원산지 또는 귀속을 나타내는 것처럼 특성에 연결된 국가/원산지 지역에 가족 이름을 할당했습니다. 다른 배우의 경우 가족 이름은 동기 부여를 나타냅니다. 예를 들어 Tempest는 재정적으로 동기를 부여받은 행위자를 나타냅니다.

동일한 날씨 패밀리 내의 위협 행위자는 TTP(고유한 전술, 기술 및 절차), 인프라, 목표 또는 기타 식별된 패턴으로 행위자 그룹을 구분하는 형용사가 제공됩니다. 개발 중인 그룹의 경우 Storm의 임시 지정과 새로 발견된, 알 수 없는, 새로운 위협 활동 또는 개발 클러스터가 있는 4자리 숫자를 사용합니다.

이 표에서는 새 가족 이름이 추적하는 위협 행위자에게 매핑되는 방법을 보여 줍니다.

행위자 범주 유형
국가 국가 중국
이란
레바논
북한
러시아
대한민국
터키
베트남
태풍
모래 폭풍

진눈깨비
눈보라
우박
먼지
사이 클론
재정적 동기 부여 재정적 동기 부여 폭풍우
민간 부문 공격 행위자 PSOA 쓰나미
작업에 영향을 줍니다. 작업에 영향을 줍니다. 홍수
개발 그룹 개발 그룹 폭풍우

다음 참조 표를 사용하여 이전에 공개적으로 공개한 이전 위협 행위자 이름이 새 분류로 변환되는 방식을 이해합니다.

위협 행위자 이름 이전 이름 원본/위협 기타 이름
골동품 태풍 Storm-0558 중국
아쿠아 블리자드 악티늄 러시아 UNC530, 원시 곰, 가마레돈
푸른 쓰나미 민간 부문 공격 행위자 검은색 큐브
황동 태풍 바륨 중국 APT41
생도 블리자드 DEV-0586 러시아
위장 폭풍우 TAAL 재정적 동기 부여 FIN6, 스켈레톤 거미
캔버스 사이클론 비스무트 베트남 APT32, OceanLotus
캐러멜 쓰나미 SOURGUM 민간 부문 공격 행위자 칸디루 주
카민 쓰나미 DEV-0196 민간 부문 공격 행위자 QuaDream
숯 태풍 크로뮴 중국 ControlX
계피 폭풍우 DEV-0401 재정적 동기 부여 천황 잠자리, 청동 별빛
원 태풍 DEV-0322 중국
Citrine Sleet DEV-0139, DEV-1222 북한 AppleJeus, Labyrinth Chollima, UNC4736
코튼 샌드스톰 DEV-0198(해왕성) 이란 바이스 누설자
크림슨 샌드스톰 퀴륨 이란 TA456, 거북이 셸
큐보이드 샌드스톰 DEV-0228 이란
데님 쓰나미 노트위드 민간 부문 공격 행위자 DSIRF
다이아몬드 진눈깨비 아연 북한 미로 콜리마, 라자루스
에메랄드 진눈깨비 탈륨 북한 김수키, 벨벳 콜리마
아마 태풍 Storm-0919 중국 에테리얼 팬더
포레스트 블리자드 스트론튬 러시아 APT28, 팬시 베어
고스트 블리자드 브롬 러시아 활기찬 곰, 웅크리고 예티
깅엄 태풍 가돌리늄 중국 APT40, 리바이어던, TEMP. 잠망경, 크립토나이트 팬더
화강암 태풍 갈륨 중국
회색 샌드스톰 DEV-0343 이란
헤이즐 샌드스톰 유로퓸 이란 코발트 집시, APT34, OilRig
제이드 진눈깨비 Storm-0954 북한 TraderTraitor, UNC4899
레이스 템페스트 DEV-0950 재정적 동기 부여 FIN11, TA505
레몬 샌드스톰 루비듐 이란 폭스 키튼, UNC757, 파이오니어키튼
레오파드 태풍 중국 KAOS, 마나, 윈티, 레드 디아블로
라일락 태풍 DEV-0234 중국
루나 템페스트 Storm-0744 재정적 동기 부여
매너트 템페스트 DEV-0243 재정적 동기 부여 EvilCorp, UNC2165, Indrik Spider
망고 샌드스톰 수성 이란 머디 워터, 시드 웜, 정적 새끼 고양이, TEMP. 자그로스 주
대리석 먼지 규소 튀르키예 바다거북
메리 골드 샌드 스톰 DEV-0500 이란 모세 교직원
미드나잇 블리자드 노벨륨 러시아 APT29, 아늑한 곰
민트 샌드스톰 이란 APT35, 매력적인 새끼 고양이
문스톤 진눈깨비 Storm-1789 북한
멀베리 태풍 망간 중국 APT5, 키홀 팬더, TABCTENG
겨자 템페스트 DEV-0206 재정적 동기 부여 자주색 발훈트
야간 쓰나미 DEV-0336 민간 부문 공격 행위자 NSO 그룹
나일론 태풍 니켈 중국 ke3chang, APT15, Vixen Panda
옥토 템페스트 Storm-0875 재정적 동기 부여 0ktapus, 흩어진 거미, UNC3944
Onyx Sleet 플루토늄 북한 APT45, Silent Chollima, Andariel, DarkSeoul
오팔 진눈깨비 오스뮴 북한 코니 (곤니)
복숭아 샌드스톰 홀뮴 이란 APT33, 세련된 새끼 고양이
진주 진눈깨비 DEV-0215(LAWRENCIUM) 북한
페리윙클 템페스트 DEV-0193 재정적 동기 부여 마법사 거미, UNC2053
Phlox Tempest DEV-0796 재정적 동기 부여 ClickPirate, Chrome Loader, Choziosi 로더
핑크 샌드스톰 아메리슘 이란 아그리우스, 데드우드, 블랙샤도우, 샤프보이스
피스타치오 템페스트 DEV-0237 재정적 동기 부여 FIN12
격자 무늬 비 폴로늄 레바논
호박 샌드스톰 DEV-0146 이란 ZeroCleare
자주색 태풍 칼륨 중국 APT10, Cloudhopper, MenuPass
라즈베리 태풍 라듐 중국 APT30, LotusBlossom
Ruby Sleet 세륨 북한
루자 홍수 Storm-1099 러시아, 영향력 운영
연어 태풍 나트륨 중국 APT4, 매버릭 팬더
소금 태풍 중국 GhostEmperor, FamousSparrow
상그리아 템페스트 ELBRUS 재정적 동기 부여 Carbon Spider, FIN7
사파이어 진눈깨비 COPERNICIUM 북한 지니 스파이더, 블루노로프
씨쉘 블리자드 이리듐 러시아 APT44, 샌드웜
비밀 블리자드 크립톤 러시아 독이 있는 곰, 털라, 뱀
세피드 플러드 Storm-1364 이란, 영향력 있는 작전
실크 태풍 하프늄 중국
스모크 샌드스톰 보륨 이란 UNC1549
스판덱스 템페스트 침보라조 주 재정적 동기 부여 TA505
스타 블리자드 SEABORGIUM 러시아 칼리스토, 재사용 팀
Storm-0062 중국 DarkShadow, Oro0lxy
Storm-0133 이란 LYCEUM, HEXANE
Storm-0216 재정적 동기 부여 트위스트 거미, UNC2198
Storm-0257 개발 중인 그룹 UNC1151
Storm-0324 재정적 동기 부여 TA543, Sagrid
Storm-0381 재정적 동기 부여
Storm-0501 개발 중인 그룹
Storm-0506 개발 중인 그룹
Storm-0530 북한 H0lyGh0st
Storm-0539 재정적 동기 부여 아틀라스 사자
Storm-0569 재정적 동기 부여
Storm-0587 러시아 세인트봇, 생베어, TA471
Storm-0744 재정적 동기 부여
Storm-0784 이란
Storm-0829 개발 중인 그룹 Nwgen 팀
Storm-0835 개발 중인 그룹 EvilProxy
Storm-0842 이란
Storm-0844 개발 중인 그룹
Storm-0861 이란
Storm-0867 이집트 카페인
Storm-0971 재정적 동기 부여 (Octo Tempest에 병합됨)
Storm-0978 개발 중인 그룹 RomCom, 지하 팀
Storm-1044 재정적 동기 부여 Danabot
Storm-1084 이란 DarkBit
Storm-1101 개발 중인 그룹 NakedPages
Storm-1113 재정적 동기 부여
Storm-1133 팔레스타인 자치 정부
Storm-1152 재정적 동기 부여
Storm-1167 인도네시아
Storm-1175 재정적 동기 부여
Storm-1283 개발 중인 그룹
Storm-1286 개발 중인 그룹
Storm-1295 개발 중인 그룹 위대
Storm-1516 러시아, 영향력 운영
Storm-1567 재정적 동기 부여 아키라
Storm-1575 개발 중인 그룹 Dadsec
Storm-1660 이란, 영향력 있는 작전
Storm-1674 재정적 동기 부여
Storm-1679 러시아, 영향력 운영
Storm-1804 이란, 영향력 있는 작전
Storm-1805 이란, 영향력 있는 작전
Storm-1811 재정적 동기 부여
Storm-1841 러시아, 영향력 운영
Storm-1849 중국 UAT4356
Storm-1852 개발 중인 그룹
Storm-2035 이란, 영향력 있는 작전
딸기 템페스트 재정적 동기 부여 LAPSUS$
설로우 블리자드 러시아
타이지 홍수 Storm-1376 중국, 영향 운영 스팸, 드래곤브리지
토마토 템페스트 SPURR 재정적 동기 부여 바테트 ()
바닐라 템페스트 DEV-0832 재정적 동기 부여
벨벳 템페스트 DEV-0504 재정적 동기 부여
바이올렛 태풍 지르코늄 중국 APT31
볼트 태풍 중국 브론즈 실루엣, 뱅가드 팬더
와인 템페스트 파리나코타 주 재정적 동기 부여 와드라마 주
등나무 쓰나미 DEV-0605 민간 부문 공격 행위자 CyberRoot
지그자그 우박 더브늄 대한민국 다크 호텔, 타파오

자세한 내용은 새 분류에 대한 공지 사항을 참조하세요. https://aka.ms/threatactorsblog

보안 전문가의 손에 인텔리전스 배치

Microsoft Defender 위협 인텔리전스 Intel 프로필은 위협 행위자를 위한 중요한 인사이트를 제공합니다. 이러한 인사이트를 통해 보안 팀은 위협에 대비하고 대응할 때 필요한 컨텍스트를 얻을 수 있습니다.

또한 Microsoft Defender 위협 인텔리전스 Intel Profiles API는 오늘날 업계에서 가장 최신 위협 행위자 인프라 가시성을 제공합니다. 업데이트된 정보는 SecOps(위협 인텔리전스 및 보안 운영) 팀이 고급 위협 헌팅 및 분석 워크플로를 간소화할 수 있도록 하는 데 매우 중요합니다. Microsoft Graph에서 위협 인텔리전스 API 사용(미리 보기) 설명서에서 이 API에 대해 자세히 알아보세요.

리소스

KQL(Kusto 쿼리 언어)을 지원하는 Microsoft Defender XDR 및 기타 Microsoft 보안 제품에 대한 다음 쿼리를 사용하여 이전 이름, 새 이름 또는 업계 이름을 사용하여 위협 행위자 관련 정보를 가져옵니다.

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

새 이름으로 이전 위협 행위자 이름의 포괄적인 매핑을 포함하는 다음 파일도 사용할 수 있습니다.