Share via

Microsoft 如何命名威胁参与者

  • 项目

Microsoft 转向了与天气主题一致的威胁参与者的新命名分类。 我们打算使用新的分类法为客户和其他安全研究人员带来更好的清晰度。 我们提供一种更有条理、更清晰、更简单的方式来引用威胁参与者,使组织能够更好地确定优先级并保护自己,并帮助安全研究人员应对大量威胁情报数据。

基于 Microsoft 命名的国家/州执行组件

Microsoft 将威胁参与者分为五个关键组:

民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 微软观察到,大多数民族国家行动者继续将行动和攻击集中在政府机构、政府间组织、非政府组织和智囊团上,以用于传统间谍或监视目标。

出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,对已知的非国家或商业实体没有高度信心。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。

私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和监视持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。

影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。

开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许 Microsoft 将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。

在我们的新分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们已将姓氏分配给与归属相关的原产国/地区,如台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。

同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。

下表显示了新姓氏如何映射到我们跟踪的威胁参与者。

参与者类别 类型 姓氏
Nation-state 中国
伊朗
黎巴嫩
朝鲜
俄罗斯
韩国
土耳其
越南		 台风
沙尘暴

雨夹雪
暴雪
冰雹
灰尘
气旋
出于财务动机 出于财务动机 暴风雨
私营部门攻击性行动者 PSOA 海啸
影响操作 影响操作 洪水
开发中的组 开发中的组 风暴

使用以下参考表了解以前公开披露的旧威胁参与者名称如何转换为新的分类。

威胁参与者名称 上一个名称 源/威胁 其他名称
水暴雪 ACTINIUM 俄罗斯 UNC530、原始熊、加马雷顿
蓝色海啸 私营部门攻击性行动者 黑色立方体
铜管台风 中国 APT41
学员暴雪 DEV-0586 俄罗斯
迷彩暴风雨 TAAL 出于财务动机 FIN6,骨骼蜘蛛
画布旋风 越南 APT32、OceanLotus
焦糖海啸 SOURGUM 私营部门攻击性行动者 坎迪鲁
卡明海啸 DEV-0196 私营部门攻击性行动者 QuaDream
木炭台风 中国 ControlX
肉桂暴风雨 DEV-0401 出于财务动机 帝龙飞,青铜星光
圆圈台风 DEV-0322 中国
Citrine Sleet DEV-0139、DEV-1222 朝鲜 AppleJeus,Labyrinth Chollima,UNC4736
棉花沙尘暴 DEV-0198 (NEPTUNIUM) 伊朗 副泄漏者
深红色沙尘暴 CURIUM 伊朗 TA456,Tortoise Shell
立方体沙尘暴 DEV-0228 伊朗
牛仔海啸 KNOTWEED 私营部门攻击性行动者 DSIRF
Diamond Sleet 朝鲜 迷宫乔利马,拉撒路
祖母绿斯利特 朝鲜 金苏基,天鹅绒乔利玛
弗拉克斯台风 Storm-0919 中国 空灵熊猫
森林暴风雪 俄罗斯 APT28,花式熊
幽灵暴雪 俄罗斯 精力充沛的熊, 蹲着的耶蒂
金厄姆台风 中国 APT40、Leviathan、TEMP。潜望镜、氪石熊猫
花岗岩台风 中国
灰色沙尘暴 DEV-0343 伊朗
黑兹尔沙尘暴 伊朗 钴吉普赛人,APT34,OilRig
Jade Sleet Storm-0954 朝鲜 TraderTraitor,UNC4899
蕾丝坦佩斯特 DEV-0950 出于财务动机 FIN11、TA505
柠檬沙尘暴 伊朗 Fox Kitten, UNC757, PioneerKitten
豹子台风 导致 中国 KAOS、Mana、Winnti、Red Diablo
丁香台风 DEV-0234 中国
Manatee Tempest DEV-0243 出于财务动机 EvilCorp,UNC2165,Indrik Spider
芒果沙尘暴 伊朗 泥水,种子蠕虫,静态小猫,TEMP。Zagros
弹珠尘 Türkiye 海龟
万寿菊沙尘暴 DEV-0500 伊朗 摩西教职员工
午夜暴风雪 NOBELIUM 俄罗斯 APT29,舒适熊
薄荷沙尘暴 伊朗 APT35, 迷人的小猫
桑树台风 中国 APT5、Keyhole Panda、TABCTENG
芥末暴风雨 DEV-0206 出于财务动机 紫色瓦尔洪德
夜间海啸 DEV-0336 私营部门攻击性行动者 NSO 组
尼龙台风 中国 ke3chang、APT15、Vixen Panda
Octo Tempest Storm-0875 出于财务动机 0ktapus,散落蜘蛛,UNC3944
Onyx Sleet 朝鲜 沉默的乔利玛,安达里尔,黑暗的Seoul
Opal Sleet 朝鲜 Konni
桃子沙尘暴 伊朗 APT33,精制小猫
珍珠·斯利特 DEV-0215 (LAWRENCIUM) 朝鲜
Periwinkle Tempest DEV-0193 出于财务动机 向导蜘蛛,UNC2053
Phlox Tempest DEV-0796 出于财务动机 ClickPirate、Chrome 加载程序、Choziosi 加载程序
粉红色沙尘暴 AMERICIUM 伊朗 阿格里乌斯、戴德伍德、黑沙多、夏普男孩
Pistachio Tempest DEV-0237 出于财务动机 FIN12
格子雨 黎巴嫩
南瓜沙尘暴 DEV-0146 伊朗 ZeroCleare
树莓台风 中国 APT30、LotusBlossom
Ruby Sleet 朝鲜
鲑鱼台风 中国 APT4,小牛熊猫
桑里亚暴风雨 ELBRUS 出于财务动机 碳蜘蛛,FIN7
蓝宝石斯利特 COPERNICIUM 朝鲜 精灵蜘蛛, BlueNoroff
海贝暴雪 俄罗斯 APT44、沙虫
秘密暴风雪 俄罗斯 毒熊,图拉,蛇
丝绸台风 中国
烟雾沙尘暴 BOHRIUM 伊朗
Spandex Tempest CHIMBORAZO 出于财务动机 TA505
Star Blizzard SEABORGIUM 俄罗斯 Callisto,重用团队
Storm-0062 中国 DarkShadow、Oro0lxy
Storm-0133 伊朗 LYCEUM、HEXANE
Storm-0216 出于财务动机 扭曲的蜘蛛,UNC2198
Storm-0257 正在开发中的组 UNC1151
Storm-0324 出于财务动机 TA543、Sagrid
Storm-0381 出于财务动机
Storm-0530 朝鲜 H0lyGh0st
Storm-0539 出于财务动机
Storm-0558 中国
Storm-0569 出于财务动机
Storm-0587 俄罗斯 圣博特、圣熊、TA471
Storm-0744 出于财务动机
Storm-0784 伊朗
Storm-0829 正在开发中的组 Nwgen 团队
Storm-0835 正在开发中的组 EvilProxy
Storm-0842 伊朗
Storm-0861 伊朗
Storm-0867 埃及 咖啡因
Storm-0971 出于财务动机 (合并到 Octo Tempest)
Storm-0978 正在开发中的组 RomCom,地下团队
Storm-1044 出于财务动机 Danabot
Storm-1084 伊朗 DarkBit
Storm-1099 俄罗斯
Storm-1101 正在开发中的组 NakedPages
Storm-1113 出于财务动机
Storm-1133 巴勒斯坦民族权力机构
Storm-1152 出于财务动机
Storm-1167 印度尼西亚
Storm-1175 出于财务动机
Storm-1283 正在开发中的组
Storm-1286 正在开发中的组
Storm-1295 正在开发中的组 伟大
Storm-1364 伊朗
Storm-1376 中国, 影响运营
Storm-1516 俄罗斯, 影响运营
Storm-1567 出于财务动机
Storm-1575 正在开发中的组 Dadsec
Storm-1674 出于财务动机
草莓暴风雨 出于财务动机 LAPSUS$
桑洛暴雪 俄罗斯
番茄暴风雨 SPURR 出于财务动机 Vatet
Vanilla Tempest DEV-0832 出于财务动机
天鹅绒温度 DEV-0504 出于财务动机
紫罗兰台风 中国 APT31
伏特台风 中国 青铜剪影, 先锋熊猫
葡萄酒暴风雨 PARINACOTA 出于财务动机 瓦德拉马
紫藤海啸 DEV-0605 私营部门攻击性行动者 CyberRoot
字形冰冻 DUBNIUM 韩国 塔帕奥黑酒店

有关详细信息,请阅读有关新分类的公告: https://aka.ms/threatactorsblog

将智能交到安全专业人员手中

Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。

此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全操作以简化其高级威胁搜寻和分析工作流至关重要。 若要详细了解此 API,请参阅文档: 使用 Microsoft Graph (预览版中的威胁情报 API)

资源

对支持 Kusto 查询语言 (KQL) Microsoft Defender XDR和其他 Microsoft 安全产品使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: