Microsoft如何命名威胁参与者
Microsoft转向了与天气主题一致的威胁参与者的新命名分类。 我们打算使用新的分类法为客户和其他安全研究人员带来更好的清晰度。 我们提供一种更有条理、更清晰、更简单的方式来引用威胁参与者,使组织能够更好地确定优先级并保护自己,并帮助安全研究人员应对大量威胁情报数据。
Microsoft将威胁参与者分为五个关键组:
民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。
出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,对已知的非国家或商业实体没有高度信心。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。
私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和监视持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。
影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。
开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。
在我们的新分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们已将姓氏分配给与归属相关的原产国/地区,如台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。
同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。
下表显示了新姓氏如何映射到我们跟踪的威胁参与者。
| 参与者类别 | 类型 | 姓 |
|---|---|---|
| 民族国家 | 中国 伊朗 黎巴嫩 朝鲜 俄罗斯 韩国 土耳其 越南 |
台风 沙尘暴 雨 雨夹雪 暴风雪 冰雹 灰尘 气旋 |
| 出于财务动机 | 出于财务动机 | 暴风雨 |
| 私营部门攻击性行动者 | PSOA | 海啸 |
| 影响操作 | 影响操作 | 洪水 |
| 开发中的组 | 开发中的组 | 风暴 |
使用以下参考表了解以前公开披露的旧威胁参与者名称如何转换为新的分类。
| 威胁参与者名称 | 上一个名称 | 源/威胁 | 其他名称 |
|---|---|---|---|
| 古董台风 | Storm-0558 | 中国 | |
| 水暴雪 | 锕 | 俄罗斯 | UNC530、原始熊、加马雷顿 |
| 蓝色海啸 | 私营部门攻击性行动者 | 黑色立方体 | |
| 铜管台风 | 钡 | 中国 | APT41 |
| 学员暴雪 | DEV-0586 | 俄罗斯 | |
| 迷彩暴风雨 | TAAL | 出于财务动机 | FIN6,骨骼蜘蛛 |
| 画布旋风 | 铋 | 越南 | APT32、OceanLotus |
| 焦糖海啸 | SOURGUM | 私营部门攻击性行动者 | 坎迪鲁 |
| 卡明海啸 | DEV-0196 | 私营部门攻击性行动者 | QuaDream |
| 木炭台风 | 铬 | 中国 | ControlX |
| 肉桂暴风雨 | DEV-0401 | 出于财务动机 | 帝龙飞,青铜星光 |
| 圆圈台风 | DEV-0322 | 中国 | |
| Citrine Sleet | DEV-0139、DEV-1222 | 朝鲜 | AppleJeus,Labyrinth Chollima,UNC4736 |
| 棉花沙尘暴 | DEV-0198 (NEPTUNIUM) | 伊朗 | 副泄漏者 |
| 深红色沙尘暴 | 锔 | 伊朗 | TA456,Tortoise Shell |
| 立方体沙尘暴 | DEV-0228 | 伊朗 | |
| 牛仔海啸 | KNOTWEED | 私营部门攻击性行动者 | DSIRF |
| Diamond Sleet | 锌 | 朝鲜 | 迷宫乔利马,拉撒路 |
| 祖母绿斯利特 | 铊 | 朝鲜 | 金苏基,天鹅绒乔利玛 |
| 弗拉克斯台风 | Storm-0919 | 中国 | 空灵熊猫 |
| 森林暴风雪 | 锶 | 俄罗斯 | APT28,花式熊 |
| 幽灵暴雪 | 溴 | 俄罗斯 | 精力充沛的熊, 蹲着的耶蒂 |
| 金厄姆台风 | 钆 | 中国 | APT40、Leviathan、TEMP。潜望镜、氪石熊猫 |
| 花岗岩台风 | 镓 | 中国 | |
| 灰色沙尘暴 | DEV-0343 | 伊朗 | |
| 黑兹尔沙尘暴 | 铕 | 伊朗 | 钴吉普赛人,APT34,OilRig |
| Jade Sleet | Storm-0954 | 朝鲜 | TraderTraitor,UNC4899 |
| 蕾丝坦佩斯特 | DEV-0950 | 出于财务动机 | FIN11、TA505 |
| 柠檬沙尘暴 | 铷 | 伊朗 | Fox Kitten, UNC757, PioneerKitten |
| 豹子台风 | 铅 | 中国 | KAOS、Mana、Winnti、Red Diablo |
| 丁香台风 | DEV-0234 | 中国 | |
| Luna Tempest | Storm-0744 | 出于财务动机 | |
| Manatee Tempest | DEV-0243 | 出于财务动机 | EvilCorp,UNC2165,Indrik Spider |
| 芒果沙尘暴 | 汞 | 伊朗 | 泥水,种子蠕虫,静态小猫,TEMP。Zagros |
| 弹珠尘 | 硅 | 土耳其 | 海龟 |
| 万寿菊沙尘暴 | DEV-0500 | 伊朗 | 摩西教职员工 |
| 午夜暴风雪 | 锘 | 俄罗斯 | APT29,舒适熊 |
| 薄荷沙尘暴 | 磷 | 伊朗 | APT35, 迷人的小猫 |
| 月光石斯利特 | Storm-1789 | 朝鲜 | |
| 桑树台风 | 锰 | 中国 | APT5、Keyhole Panda、TABCTENG |
| 芥末暴风雨 | DEV-0206 | 出于财务动机 | 紫色瓦尔洪德 |
| 夜间海啸 | DEV-0336 | 私营部门攻击性行动者 | NSO 组 |
| 尼龙台风 | 镍 | 中国 | ke3chang、APT15、Vixen Panda |
| Octo Tempest | Storm-0875 | 出于财务动机 | 0ktapus,散落蜘蛛,UNC3944 |
| Onyx Sleet | 钚 | 朝鲜 | APT45,无声的乔利玛,安达里埃尔,黑暗的Seoul |
| Opal Sleet | 锇 | 朝鲜 | Konni |
| 桃子沙尘暴 | 钬 | 伊朗 | APT33,精制小猫 |
| 珍珠·斯利特 | DEV-0215 (LAWRENCIUM) | 朝鲜 | |
| Periwinkle Tempest | DEV-0193 | 出于财务动机 | 向导蜘蛛,UNC2053 |
| Phlox Tempest | DEV-0796 | 出于财务动机 | ClickPirate、Chrome 加载程序、Choziosi 加载程序 |
| 粉红色沙尘暴 | 镅 | 伊朗 | 阿格里乌斯、戴德伍德、黑沙多、夏普男孩 |
| Pistachio Tempest | DEV-0237 | 出于财务动机 | FIN12 |
| 格子雨 | 钋 | 黎巴嫩 | |
| 南瓜沙尘暴 | DEV-0146 | 伊朗 | ZeroCleare |
| 紫色台风 | 钾 | 中国 | APT10、Cloudhopper、MenuPass |
| 树莓台风 | 镭 | 中国 | APT30、LotusBlossom |
| Ruby Sleet | 铈 | 朝鲜 | |
| 鲁扎洪水 | Storm-1099 | 俄罗斯, 影响运营 | |
| 鲑鱼台风 | 钠 | 中国 | APT4,小牛熊猫 |
| 盐台风 | 中国 | GhostEmperor、FamousSparrow | |
| 桑里亚暴风雨 | ELBRUS | 出于财务动机 | 碳蜘蛛,FIN7 |
| 蓝宝石斯利特 | COPERNICIUM | 朝鲜 | 精灵蜘蛛, BlueNoroff |
| 海贝暴雪 | 铱 | 俄罗斯 | APT44、沙虫 |
| 秘密暴风雪 | 氪 | 俄罗斯 | 毒熊,图拉,蛇 |
| 塞菲德洪水 | Storm-1364 | 伊朗, 影响行动 | |
| 丝绸台风 | 铪 | 中国 | |
| 烟雾沙尘暴 | BOHRIUM | 伊朗 | UNC1549 |
| Spandex Tempest | CHIMBORAZO | 出于财务动机 | TA505 |
| Star Blizzard | SEABORGIUM | 俄罗斯 | Callisto,重用团队 |
| Storm-0062 | 中国 | DarkShadow、Oro0lxy | |
| Storm-0133 | 伊朗 | LYCEUM、HEXANE | |
| Storm-0216 | 出于财务动机 | 扭曲的蜘蛛,UNC2198 | |
| Storm-0257 | 正在开发中的组 | UNC1151 | |
| Storm-0324 | 出于财务动机 | TA543、Sagrid | |
| Storm-0381 | 出于财务动机 | ||
| Storm-0501 | 正在开发中的组 | ||
| Storm-0506 | 正在开发中的组 | ||
| Storm-0530 | 朝鲜 | H0lyGh0st | |
| Storm-0539 | 出于财务动机 | Atlas Lion | |
| Storm-0569 | 出于财务动机 | ||
| Storm-0587 | 俄罗斯 | 圣博特、圣熊、TA471 | |
| Storm-0744 | 出于财务动机 | ||
| Storm-0784 | 伊朗 | ||
| Storm-0829 | 正在开发中的组 | Nwgen 团队 | |
| Storm-0835 | 正在开发中的组 | EvilProxy | |
| Storm-0842 | 伊朗 | ||
| Storm-0844 | 正在开发中的组 | ||
| Storm-0861 | 伊朗 | ||
| Storm-0867 | 埃及 | 咖啡因 | |
| Storm-0971 | 出于财务动机 | (合并到 Octo Tempest) | |
| Storm-0978 | 正在开发中的组 | RomCom,地下团队 | |
| Storm-1044 | 出于财务动机 | Danabot | |
| Storm-1084 | 伊朗 | DarkBit | |
| Storm-1101 | 正在开发中的组 | NakedPages | |
| Storm-1113 | 出于财务动机 | ||
| Storm-1133 | 巴勒斯坦民族权力机构 | ||
| Storm-1152 | 出于财务动机 | ||
| Storm-1167 | 印度尼西亚 | ||
| Storm-1175 | 出于财务动机 | ||
| Storm-1283 | 正在开发中的组 | ||
| Storm-1286 | 正在开发中的组 | ||
| Storm-1295 | 正在开发中的组 | 大 | |
| Storm-1516 | 俄罗斯, 影响运营 | ||
| Storm-1567 | 出于财务动机 | 明 | |
| Storm-1575 | 正在开发中的组 | Dadsec | |
| Storm-1660 | 伊朗, 影响行动 | ||
| Storm-1674 | 出于财务动机 | ||
| Storm-1679 | 俄罗斯, 影响运营 | ||
| Storm-1804 | 伊朗, 影响行动 | ||
| Storm-1805 | 伊朗, 影响行动 | ||
| Storm-1811 | 出于财务动机 | ||
| Storm-1841 | 俄罗斯, 影响运营 | ||
| Storm-1849 | 中国 | UAT4356 | |
| Storm-1852 | 正在开发中的组 | ||
| Storm-2035 | 伊朗, 影响行动 | ||
| 草莓暴风雨 | 出于财务动机 | LAPSUS$ | |
| 桑洛暴雪 | 俄罗斯 | ||
| 太子洪水 | Storm-1376 | 中国, 影响运营 | Spamouflage,Dragonbridge |
| 番茄暴风雨 | SPURR | 出于财务动机 | Vatet |
| Vanilla Tempest | DEV-0832 | 出于财务动机 | |
| 天鹅绒温度 | DEV-0504 | 出于财务动机 | |
| 紫罗兰台风 | 锆 | 中国 | APT31 |
| 伏特台风 | 中国 | 青铜剪影, 先锋熊猫 | |
| 葡萄酒暴风雨 | PARINACOTA | 出于财务动机 | 瓦德拉马 |
| 紫藤海啸 | DEV-0605 | 私营部门攻击性行动者 | CyberRoot |
| 字形冰冻 | DUBNIUM | 韩国 | 塔帕奥黑酒店 |
有关详细信息,请阅读有关新分类的公告: https://aka.ms/threatactorsblog
将智能交到安全专业人员手中
Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。
此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全操作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API) 。
资源
对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: