Как Майкрософт называет субъектов угроз
Корпорация Майкрософт переключилась на новую таксономию именования для субъектов угроз в соответствии с темой погоды. Мы намерены повысить ясность для клиентов и других исследователей безопасности с помощью новой таксономии. Мы предлагаем более организованный, сформулировать и простой способ сослаться на субъектов угроз, чтобы организации могли лучше определять приоритеты и защищать себя, а также помогать исследователям в области безопасности, уже столкнувшись с огромным объемом данных аналитики угроз.
Корпорация Майкрософт классифицирует субъектов угроз на пять ключевых групп:
Субъекты национальных государств: кибер-операторы, действующие от имени или под руководством программы, согласованной с нацией или государством, независимо от того, за шпионаж, финансовую выгоду или возмездие. Корпорация Майкрософт отметила, что большинство государственных субъектов по-прежнему сосредоточены на операциях и нападениях на правительственные учреждения, неправительственные организации, неправительственные организации и аналитические центры для традиционных целей шпионажа или слежки.
Финансово мотивированные субъекты: кибер-кампании/группы, направленные преступной организацией/лицом с мотивацией финансовой выгоды и не связаны с высоким доверием к известному ненационалическому государству или коммерческой организации. К этой категории относятся операторы программ-шантажистов, компрометация электронной почты для бизнеса, фишинг и другие группы с чисто финансовыми или вымогательствами.
Наступательные субъекты частного сектора (PSOAs): кибер-деятельность во главе с коммерческими субъектами, которые являются известными/законными юридическими лицами, которые создают и продают кибероружие клиентам, которые затем выбирают цели и управляют кибероружием. Эти инструменты были замечены в адрес и наблюдения за диссидентами, правозащитниками, журналистами, гражданскими активистами и другими частными гражданами, что угрожало многим глобальным усилиям в области прав человека.
Операции влияния: информационные кампании, сообщаемые в интернете или в автономном режиме манипулятивным образом, чтобы изменить восприятие, поведение или решения целевой аудитории в интересах группы или нации.
Группы в разработке: временное обозначение, присвоенное неизвестной, формирующейся или развивающейся деятельности по угрозам. Это обозначение позволяет корпорации Майкрософт отслеживать группу в виде дискретного набора сведений, пока мы не сможем достичь высокой уверенности в происхождении или личности субъекта, стоящих за операцией. После выполнения условий группа в разработке преобразуется в именованный субъект или объединяется с существующими именами.
В нашей новой таксономии событие погоды или фамилия представляет одну из указанных выше категорий. Для субъектов национального государства мы назначили имя семьи стране или региону происхождения, связанным с присвоением, как тайфун указывает на происхождение или присвоение Китаю. Для других субъектов фамилия представляет собой мотивацию. Например, Tempest указывает на финансово мотивированных субъектов.
Субъекты угроз в одной и той же погодной семье получают прилагательное, чтобы различать группы субъектов с различными тактиками, методами и процедурами (ТПП), инфраструктурой, целями или другими выявленными шаблонами. Для групп в разработке мы используем временное обозначение Storm и четырехзначное число, в котором есть недавно обнаруженный, неизвестный, возникающий или развивающийся кластер активности угроз.
В таблице показано, как новые имена семейств сопоставляются с отслеживающимися субъектами угроз.
| Категория субъекта | Тип | Фамилия |
|---|---|---|
| Национальное государство | Китай Иран Ливан Северная Корея Россия Южная Корея Турция Вьетнам |
Тайфун Самум Дождь Крупа Буран Град Пыль Циклон |
| Финансово мотивированные | Финансово мотивированные | Буря |
| Частный сектор наступательных субъектов | Поясничная мышца | Цунами |
| Операции влияния | Операции влияния | Наводнение |
| Группы в разработке | Группы в разработке | Буря |
Используйте следующую справочную таблицу, чтобы понять, как наши ранее публично раскрытые имена старых субъектов угроз преобразуются в нашу новую таксономию.
| Имя субъекта угрозы | Предыдущее имя | Источник или угроза | Другие имена |
|---|---|---|---|
| Античный тайфун | Storm-0558 | Китай | |
| Aqua Blizzard | АКТИНИЙ | Россия | UNC530, Примитива Медведь, Гамаредон |
| Синее цунами | Субъект оскорбительного действия частного сектора | Черный куб | |
| Тайфун латуни | БАРИЙ | Китай | APT41 |
| Кадет Метель | DEV-0586 | Россия | |
| Камуфляжная буря | ТААЛ | Финансово мотивированные | FIN6, Скелетон-паук |
| Циклон холста | ВИСМУТ | Вьетнам | APT32, OceanLotus |
| Карамель цунами | SOURGUM | Субъект оскорбительного действия частного сектора | Кандиру |
| Кармин цунами | DEV-0196 | Субъект оскорбительного действия частного сектора | Куадрим |
| Тайфун угля | ХРОМ | Китай | ControlX |
| Буря корицы | DEV-0401 | Финансово мотивированные | Император стрекоза, бронзовый звездный свет |
| Тайфун круга | DEV-0322 | Китай | |
| Цитрин sleet | DEV-0139, DEV-1222 | Северная Корея | AppleJeus, Labyrinth Chollima, UNC4736 |
| Хлопковая песчаная буря | DEV-0198 (NEPTUNIUM) | Иран | Vice Leaker |
| Малиновая песчаная буря | КЮРИЙ | Иран | TA456, черепаховая оболочка |
| Кубоидная песчаная буря | DEV-0228 | Иран | |
| Деним цунами | ГОРЕЦ | Субъект оскорбительного действия частного сектора | DSIRF |
| Алмазный мокет | ЦИНК | Северная Корея | Лабиринт Халлима, Лазарь |
| Изумрудный молек | ТАЛЛИЙ | Северная Корея | Кимсуки, Бархат Чоллима |
| Флакс Тайфун | Storm-0919 | Китай | Эфирная панда |
| Лесная метель | СТРОНЦИЙ | Россия | APT28, Fancy Bear |
| Призрак Метели | БРОМ | Россия | Энергичный медведь, приседающий йети |
| Тайфун Гингем | ГАДОЛИНИЙ | Китай | APT40, Левиафан, TEMP. Перископ, Криптонит Панда |
| Гранит тайфун | ГАЛЛИЙ | Китай | |
| Серая песчаная буря | DEV-0343 | Иран | |
| Хейзел Санд буря | ЕВРОПИЙ | Иран | Cobalt Gypsy, APT34, OilRig |
| Нефритовый морит | Storm-0954 | Северная Корея | TraderTraitor, UNC4899 |
| Кружева Буря | DEV-0950 | Финансово мотивированные | FIN11, TA505 |
| Лимонная песчаная буря | РУБИДИЙ | Иран | Fox Kitten, UNC757, PioneerKitten |
| Леопардовый тайфун | СВИНЕЦ | Китай | KAOS, Mana, Winnti, Red Diablo |
| Тайфун сирени | DEV-0234 | Китай | |
| Луна Буря | Шторм-0744 | Финансово мотивированные | |
| Манатли Буря | DEV-0243 | Финансово мотивированные | EvilCorp, UNC2165, Indrik Spider |
| Манго Санд буря | РТУТЬ | Иран | MuddyWater, SeedWorm, Static Kitten, TEMP. Загрос |
| Мраморная пыль | КРЕМНИЙ | Турция | Морская черепаха |
| Бархатцы Песчаная буря | DEV-0500 | Иран | Моисей персонал |
| Полночь Пурга | НОБЕЛИЙ | Россия | APT29, Уютный медведь |
| Мята Песчаная буря | ФОСФОР | Иран | APT35, очаровательный котенок |
| Лунный слеец | Шторм-1789 | Северная Корея | |
| Тайфун «Малберри» | МАРГАНЕЦ | Китай | APT5, Keyhole Panda, TABCTENG |
| Горчица Буря | DEV-0206 | Финансово мотивированные | Фиолетовый Вальхунд |
| Ночное цунами | DEV-0336 | Субъект оскорбительного действия частного сектора | Группа NSO |
| Тайфун "Нейлон" | НИКЕЛЬ | Китай | ke3chang, APT15, Vixen Panda |
| Окто Темпест | Шторм-0875 | Финансово мотивированные | 0ktapus, точечный паук, UNC3944 |
| Onyx Sleet | ПЛУТОНИЙ | Северная Корея | APT45, Silent Chollima, Andariel, DarkSeoul |
| Мокет opal | ОСМИЙ | Северная Корея | Конни |
| Песчаная буря | ГОЛЬМИЙ | Иран | APT33, рафинированный котенок |
| Жемчужный молек | DEV-0215 (LAWRENCIUM) | Северная Корея | |
| Буря перивинка | DEV-0193 | Финансово мотивированные | Мастер-паук, UNC2053 |
| Флокс Tempest | DEV-0796 | Финансово мотивированные | ClickPirate, Chrome Loader, Загрузчик Choziosi |
| Розовая песчаная буря | АМЕРИЦИЙ | Иран | Агриус, Дэдвуд, БлэкШейдоу, ШарпБойс |
| Фисташковая буря | DEV-0237 | Финансово мотивированные | FIN12 |
| Клетчатый дождь | ПОЛОНИЙ | Ливан | |
| Тыквенный песочница | DEV-0146 | Иран | ZeroCleare |
| Фиолетовый тайфун | КАЛИЙ | Китай | APT10, Cloudhopper, MenuPass |
| Малина Тайфун | РАДИЙ | Китай | APT30, LotusBlossom |
| Рубин sleet | ЦЕРИЙ | Северная Корея | |
| Рузского наводнения | Storm-1099 | Россия, операции влияния | |
| Тайфун лосося | НАТРИЙ | Китай | APT4, Маверик Панда |
| Соляной тайфун | Китай | GhostEmperor, FamousSparrow | |
| Сангрия Буря | ЭЛЬБРУС | Финансово мотивированные | Carbon Spider, FIN7 |
| Sapphire Sleet | КОПЕРНИКИУМ | Северная Корея | Genie Spider, BlueNoroff |
| Seashell Blizzard | ИРИДИЙ | Россия | APT44, Sandworm |
| СекретНая метель | КРИПТОН | Россия | Ядовитый медведь, Турла, Змея |
| Sefid Flood | Шторм-1364 | Иран, операции влияния | |
| Шелковый тайфун | ГАФНИЙ | Китай | |
| Дым песчаная буря | БОРИЙ | Иран | UNC1549 |
| Spandex Tempest | ЧИМБОРАЗО | Финансово мотивированные | TA505 |
| Звезда Пурга | СИБОРГИЙ | Россия | Каллисто, команда reuse |
| Storm-0062 | Китай | DarkShadow, Oro0lxy | |
| Storm-0133 | Иран | ЛИЦЕЙ, ГЕКСАНЕ | |
| Storm-0216 | Финансово мотивированные | Витый паук, UNC2198 | |
| Шторм-0257 | Группа в разработке | UNC1151 | |
| Storm-0324 | Финансово мотивированные | TA543, Сагрид | |
| Storm-0381 | Финансово мотивированные | ||
| Storm-0501 | Группа в разработке | ||
| Storm-0506 | Группа в разработке | ||
| Storm-0530 | Северная Корея | H0lyGh0st | |
| Storm-0539 | Финансово мотивированные | Atlas Lion | |
| Storm-0569 | Финансово мотивированные | ||
| Шторм-0587 | Россия | SaintBot, Сен-Медведь, TA471 | |
| Шторм-0744 | Финансово мотивированные | ||
| Шторм-0784 | Иран | ||
| Storm-0829 | Группа в разработке | Команда Nwgen | |
| Шторм-0835 | Группа в разработке | EvilProxy | |
| Storm-0842 | Иран | ||
| Storm-0844 | Группа в разработке | ||
| Storm-0861 | Иран | ||
| Шторм-0867 | Египет | Кофеин | |
| Storm-0971 | Финансово мотивированные | (Объединенный в темпе Окто) | |
| Шторм-0978 | Группа в разработке | RomCom, подпольная команда | |
| Storm-1044 | Финансово мотивированные | Danabot | |
| Шторм-1084 | Иран | DarkBit | |
| Storm-1101 | Группа в разработке | NakedPages | |
| Storm-1113 | Финансово мотивированные | ||
| Шторм-1133 | Палестинская автономия | ||
| Storm-1152 | Финансово мотивированные | ||
| Storm-1167 | Индонезия | ||
| Шторм-1175 | Финансово мотивированные | ||
| Шторм-1283 | Группа в разработке | ||
| Шторм-1286 | Группа в разработке | ||
| Шторм-1295 | Группа в разработке | Величие | |
| Шторм-1516 | Россия, операции влияния | ||
| Шторм-1567 | Финансово мотивированные | Акира | |
| Шторм-1575 | Группа в разработке | Dadsec | |
| Шторм-1660 | Иран, операции влияния | ||
| Шторм-1674 | Финансово мотивированные | ||
| Шторм-1679 | Россия, операции влияния | ||
| Шторм-1804 | Иран, операции влияния | ||
| Шторм-1805 | Иран, операции влияния | ||
| Шторм-1811 | Финансово мотивированные | ||
| Шторм-1841 | Россия, операции влияния | ||
| Шторм-1849 | Китай | UAT4356 | |
| Шторм-1852 | Группа в разработке | ||
| Шторм-2035 | Иран, операции влияния | ||
| Клубничная буря | Финансово мотивированные | LAPSUS$ | |
| Sunglow Blizzard | Россия | ||
| Тайцзы Наводнение | Шторм-1376 | Китай, влияние операций | Спамуфляж, Драконбридж |
| Томатная буря | SPURR | Финансово мотивированные | Ватет |
| Ванильная буря | DEV-0832 | Финансово мотивированные | |
| Бархатная буря | DEV-0504 | Финансово мотивированные | |
| Тайфун виолетов | ЦИРКОНИЙ | Китай | APT31 |
| Тайфун "Вольт" | Китай | БРОНЗОВЫЙ СИЛУЭТ, АВАНГАРД ПАНДА | |
| Винная буря | ПАРИНАКОТА | Финансово мотивированные | Вадрама |
| Цунами глицинии | DEV-0605 | Субъект оскорбительного действия частного сектора | CyberRoot |
| Зигзаг Град | ДУБНИЙ | Южная Корея | Темный отель, Тапау |
Дополнительные сведения см. в нашем объявлении о новой таксономии: https://aka.ms/threatactorsblog
Сдача разведки в руки специалистов по безопасности
Профили Intel в Аналитика угроз Microsoft Defender позволяют получить важную информацию об субъектах угроз. Эти аналитические сведения позволяют группам безопасности получать необходимый контекст по мере подготовки к угрозам и реагирования на них.
Кроме того, API профилей Intel Аналитика угроз Microsoft Defender обеспечивает самую актуальную инфраструктуру субъектов угроз в отрасли на сегодняшний день. Обновленная информация имеет решающее значение для того, чтобы команды аналитики угроз и операций безопасности (SecOps) могли упростить свои расширенные рабочие процессы охоты и анализа угроз. Дополнительные сведения об этом API см. в документации по использованию API аналитики угроз в Microsoft Graph (предварительная версия).
Ресурсы
Используйте следующий запрос к Microsoft Defender XDR и другим продуктам безопасности Майкрософт, поддерживающим язык запросов Kusto (KQL), чтобы получить сведения об субъекте угроз, используя старое имя, новое имя или название отрасли:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Доступны также следующие файлы, содержащие комплексное сопоставление старых имен субъектов угроз с их новыми именами: