Поделиться через


Как Майкрософт называет субъектов угроз

Корпорация Майкрософт переключилась на новую таксономию именования для субъектов угроз в соответствии с темой погоды. Мы намерены повысить ясность для клиентов и других исследователей безопасности с помощью новой таксономии. Мы предлагаем более организованный, сформулировать и простой способ сослаться на субъектов угроз, чтобы организации могли лучше определять приоритеты и защищать себя, а также помогать исследователям в области безопасности, уже столкнувшись с огромным объемом данных аналитики угроз.

Субъекты национальных государств на основе именования Майкрософт

Корпорация Майкрософт классифицирует субъектов угроз на пять ключевых групп:

Субъекты национальных государств: кибер-операторы, действующие от имени или под руководством программы, согласованной с нацией или государством, независимо от того, за шпионаж, финансовую выгоду или возмездие. Корпорация Майкрософт отметила, что большинство государственных субъектов по-прежнему сосредоточены на операциях и нападениях на правительственные учреждения, неправительственные организации, неправительственные организации и аналитические центры для традиционных целей шпионажа или слежки.

Финансово мотивированные субъекты: кибер-кампании/группы, направленные преступной организацией/лицом с мотивацией финансовой выгоды и не связаны с высоким доверием к известному ненационалическому государству или коммерческой организации. К этой категории относятся операторы программ-шантажистов, компрометация электронной почты для бизнеса, фишинг и другие группы с чисто финансовыми или вымогательствами.

Наступательные субъекты частного сектора (PSOAs): кибер-деятельность во главе с коммерческими субъектами, которые являются известными/законными юридическими лицами, которые создают и продают кибероружие клиентам, которые затем выбирают цели и управляют кибероружием. Эти инструменты были замечены в адрес и наблюдения за диссидентами, правозащитниками, журналистами, гражданскими активистами и другими частными гражданами, что угрожало многим глобальным усилиям в области прав человека.

Операции влияния: информационные кампании, сообщаемые в интернете или в автономном режиме манипулятивным образом, чтобы изменить восприятие, поведение или решения целевой аудитории в интересах группы или нации.

Группы в разработке: временное обозначение, присвоенное неизвестной, формирующейся или развивающейся деятельности по угрозам. Это обозначение позволяет корпорации Майкрософт отслеживать группу в виде дискретного набора сведений, пока мы не сможем достичь высокой уверенности в происхождении или личности субъекта, стоящих за операцией. После выполнения условий группа в разработке преобразуется в именованный субъект или объединяется с существующими именами.

В нашей новой таксономии событие погоды или фамилия представляет одну из указанных выше категорий. Для субъектов национального государства мы назначили имя семьи стране или региону происхождения, связанным с присвоением, как тайфун указывает на происхождение или присвоение Китаю. Для других субъектов фамилия представляет собой мотивацию. Например, Tempest указывает на финансово мотивированных субъектов.

Субъекты угроз в одной и той же погодной семье получают прилагательное, чтобы различать группы субъектов с различными тактиками, методами и процедурами (ТПП), инфраструктурой, целями или другими выявленными шаблонами. Для групп в разработке мы используем временное обозначение Storm и четырехзначное число, в котором есть недавно обнаруженный, неизвестный, возникающий или развивающийся кластер активности угроз.

В таблице показано, как новые имена семейств сопоставляются с отслеживающимися субъектами угроз.

Категория субъекта Тип Фамилия
Национальное государство Китай
Иран
Ливан
Северная Корея
Россия
Южная Корея
Турция
Вьетнам
Тайфун
Самум
Дождь
Крупа
Буран
Град
Пыль
Циклон
Финансово мотивированные Финансово мотивированные Буря
Частный сектор наступательных субъектов Поясничная мышца Цунами
Операции влияния Операции влияния Наводнение
Группы в разработке Группы в разработке Буря

Используйте следующую справочную таблицу, чтобы понять, как наши ранее публично раскрытые имена старых субъектов угроз преобразуются в нашу новую таксономию.

Имя субъекта угрозы Предыдущее имя Источник или угроза Другие имена
Античный тайфун Storm-0558 Китай
Aqua Blizzard АКТИНИЙ Россия UNC530, Примитива Медведь, Гамаредон
Синее цунами Субъект оскорбительного действия частного сектора Черный куб
Тайфун латуни БАРИЙ Китай APT41
Кадет Метель DEV-0586 Россия
Камуфляжная буря ТААЛ Финансово мотивированные FIN6, Скелетон-паук
Циклон холста ВИСМУТ Вьетнам APT32, OceanLotus
Карамель цунами SOURGUM Субъект оскорбительного действия частного сектора Кандиру
Кармин цунами DEV-0196 Субъект оскорбительного действия частного сектора Куадрим
Тайфун угля ХРОМ Китай ControlX
Буря корицы DEV-0401 Финансово мотивированные Император стрекоза, бронзовый звездный свет
Тайфун круга DEV-0322 Китай
Цитрин sleet DEV-0139, DEV-1222 Северная Корея AppleJeus, Labyrinth Chollima, UNC4736
Хлопковая песчаная буря DEV-0198 (NEPTUNIUM) Иран Vice Leaker
Малиновая песчаная буря КЮРИЙ Иран TA456, черепаховая оболочка
Кубоидная песчаная буря DEV-0228 Иран
Деним цунами ГОРЕЦ Субъект оскорбительного действия частного сектора DSIRF
Алмазный мокет ЦИНК Северная Корея Лабиринт Халлима, Лазарь
Изумрудный молек ТАЛЛИЙ Северная Корея Кимсуки, Бархат Чоллима
Флакс Тайфун Storm-0919 Китай Эфирная панда
Лесная метель СТРОНЦИЙ Россия APT28, Fancy Bear
Призрак Метели БРОМ Россия Энергичный медведь, приседающий йети
Тайфун Гингем ГАДОЛИНИЙ Китай APT40, Левиафан, TEMP. Перископ, Криптонит Панда
Гранит тайфун ГАЛЛИЙ Китай
Серая песчаная буря DEV-0343 Иран
Хейзел Санд буря ЕВРОПИЙ Иран Cobalt Gypsy, APT34, OilRig
Нефритовый морит Storm-0954 Северная Корея TraderTraitor, UNC4899
Кружева Буря DEV-0950 Финансово мотивированные FIN11, TA505
Лимонная песчаная буря РУБИДИЙ Иран Fox Kitten, UNC757, PioneerKitten
Леопардовый тайфун СВИНЕЦ Китай KAOS, Mana, Winnti, Red Diablo
Тайфун сирени DEV-0234 Китай
Луна Буря Шторм-0744 Финансово мотивированные
Манатли Буря DEV-0243 Финансово мотивированные EvilCorp, UNC2165, Indrik Spider
Манго Санд буря РТУТЬ Иран MuddyWater, SeedWorm, Static Kitten, TEMP. Загрос
Мраморная пыль КРЕМНИЙ Турция Морская черепаха
Бархатцы Песчаная буря DEV-0500 Иран Моисей персонал
Полночь Пурга НОБЕЛИЙ Россия APT29, Уютный медведь
Мята Песчаная буря ФОСФОР Иран APT35, очаровательный котенок
Лунный слеец Шторм-1789 Северная Корея
Тайфун «Малберри» МАРГАНЕЦ Китай APT5, Keyhole Panda, TABCTENG
Горчица Буря DEV-0206 Финансово мотивированные Фиолетовый Вальхунд
Ночное цунами DEV-0336 Субъект оскорбительного действия частного сектора Группа NSO
Тайфун "Нейлон" НИКЕЛЬ Китай ke3chang, APT15, Vixen Panda
Окто Темпест Шторм-0875 Финансово мотивированные 0ktapus, точечный паук, UNC3944
Onyx Sleet ПЛУТОНИЙ Северная Корея APT45, Silent Chollima, Andariel, DarkSeoul
Мокет opal ОСМИЙ Северная Корея Конни
Песчаная буря ГОЛЬМИЙ Иран APT33, рафинированный котенок
Жемчужный молек DEV-0215 (LAWRENCIUM) Северная Корея
Буря перивинка DEV-0193 Финансово мотивированные Мастер-паук, UNC2053
Флокс Tempest DEV-0796 Финансово мотивированные ClickPirate, Chrome Loader, Загрузчик Choziosi
Розовая песчаная буря АМЕРИЦИЙ Иран Агриус, Дэдвуд, БлэкШейдоу, ШарпБойс
Фисташковая буря DEV-0237 Финансово мотивированные FIN12
Клетчатый дождь ПОЛОНИЙ Ливан
Тыквенный песочница DEV-0146 Иран ZeroCleare
Фиолетовый тайфун КАЛИЙ Китай APT10, Cloudhopper, MenuPass
Малина Тайфун РАДИЙ Китай APT30, LotusBlossom
Рубин sleet ЦЕРИЙ Северная Корея
Рузского наводнения Storm-1099 Россия, операции влияния
Тайфун лосося НАТРИЙ Китай APT4, Маверик Панда
Соляной тайфун Китай GhostEmperor, FamousSparrow
Сангрия Буря ЭЛЬБРУС Финансово мотивированные Carbon Spider, FIN7
Sapphire Sleet КОПЕРНИКИУМ Северная Корея Genie Spider, BlueNoroff
Seashell Blizzard ИРИДИЙ Россия APT44, Sandworm
СекретНая метель КРИПТОН Россия Ядовитый медведь, Турла, Змея
Sefid Flood Шторм-1364 Иран, операции влияния
Шелковый тайфун ГАФНИЙ Китай
Дым песчаная буря БОРИЙ Иран UNC1549
Spandex Tempest ЧИМБОРАЗО Финансово мотивированные TA505
Звезда Пурга СИБОРГИЙ Россия Каллисто, команда reuse
Storm-0062 Китай DarkShadow, Oro0lxy
Storm-0133 Иран ЛИЦЕЙ, ГЕКСАНЕ
Storm-0216 Финансово мотивированные Витый паук, UNC2198
Шторм-0257 Группа в разработке UNC1151
Storm-0324 Финансово мотивированные TA543, Сагрид
Storm-0381 Финансово мотивированные
Storm-0501 Группа в разработке
Storm-0506 Группа в разработке
Storm-0530 Северная Корея H0lyGh0st
Storm-0539 Финансово мотивированные Atlas Lion
Storm-0569 Финансово мотивированные
Шторм-0587 Россия SaintBot, Сен-Медведь, TA471
Шторм-0744 Финансово мотивированные
Шторм-0784 Иран
Storm-0829 Группа в разработке Команда Nwgen
Шторм-0835 Группа в разработке EvilProxy
Storm-0842 Иран
Storm-0844 Группа в разработке
Storm-0861 Иран
Шторм-0867 Египет Кофеин
Storm-0971 Финансово мотивированные (Объединенный в темпе Окто)
Шторм-0978 Группа в разработке RomCom, подпольная команда
Storm-1044 Финансово мотивированные Danabot
Шторм-1084 Иран DarkBit
Storm-1101 Группа в разработке NakedPages
Storm-1113 Финансово мотивированные
Шторм-1133 Палестинская автономия
Storm-1152 Финансово мотивированные
Storm-1167 Индонезия
Шторм-1175 Финансово мотивированные
Шторм-1283 Группа в разработке
Шторм-1286 Группа в разработке
Шторм-1295 Группа в разработке Величие
Шторм-1516 Россия, операции влияния
Шторм-1567 Финансово мотивированные Акира
Шторм-1575 Группа в разработке Dadsec
Шторм-1660 Иран, операции влияния
Шторм-1674 Финансово мотивированные
Шторм-1679 Россия, операции влияния
Шторм-1804 Иран, операции влияния
Шторм-1805 Иран, операции влияния
Шторм-1811 Финансово мотивированные
Шторм-1841 Россия, операции влияния
Шторм-1849 Китай UAT4356
Шторм-1852 Группа в разработке
Шторм-2035 Иран, операции влияния
Клубничная буря Финансово мотивированные LAPSUS$
Sunglow Blizzard Россия
Тайцзы Наводнение Шторм-1376 Китай, влияние операций Спамуфляж, Драконбридж
Томатная буря SPURR Финансово мотивированные Ватет
Ванильная буря DEV-0832 Финансово мотивированные
Бархатная буря DEV-0504 Финансово мотивированные
Тайфун виолетов ЦИРКОНИЙ Китай APT31
Тайфун "Вольт" Китай БРОНЗОВЫЙ СИЛУЭТ, АВАНГАРД ПАНДА
Винная буря ПАРИНАКОТА Финансово мотивированные Вадрама
Цунами глицинии DEV-0605 Субъект оскорбительного действия частного сектора CyberRoot
Зигзаг Град ДУБНИЙ Южная Корея Темный отель, Тапау

Дополнительные сведения см. в нашем объявлении о новой таксономии: https://aka.ms/threatactorsblog

Сдача разведки в руки специалистов по безопасности

Профили Intel в Аналитика угроз Microsoft Defender позволяют получить важную информацию об субъектах угроз. Эти аналитические сведения позволяют группам безопасности получать необходимый контекст по мере подготовки к угрозам и реагирования на них.

Кроме того, API профилей Intel Аналитика угроз Microsoft Defender обеспечивает самую актуальную инфраструктуру субъектов угроз в отрасли на сегодняшний день. Обновленная информация имеет решающее значение для того, чтобы команды аналитики угроз и операций безопасности (SecOps) могли упростить свои расширенные рабочие процессы охоты и анализа угроз. Дополнительные сведения об этом API см. в документации по использованию API аналитики угроз в Microsoft Graph (предварительная версия).

Ресурсы

Используйте следующий запрос к Microsoft Defender XDR и другим продуктам безопасности Майкрософт, поддерживающим язык запросов Kusto (KQL), чтобы получить сведения об субъекте угроз, используя старое имя, новое имя или название отрасли:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

Доступны также следующие файлы, содержащие комплексное сопоставление старых имен субъектов угроз с их новыми именами: