Microsoft如何命名威胁参与者

Microsoft使用与天气主题一致的威胁参与者的命名分类。 我们打算通过此分类为客户和其他安全研究人员带来更好的清晰度。 我们提供了一种更有条理、更清晰、更简单的方式来引用威胁参与者,以便组织能够更好地确定优先级并保护自己。 我们还致力于帮助安全研究人员,他们已经面对了大量威胁情报数据。

基于Microsoft命名的民族国家参与者

Microsoft将威胁参与者分为五个关键组:

民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。

出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,与对已知非国家或商业实体的高度信心无关。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。

私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和恐吓持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。

影响运营: 信息活动以纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。

正在开发中的组: 临时指定给未知、新兴或正在发展的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。

在此分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们为原产国/地区分配了一个与归属相关的姓氏。 例如,台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。

同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。

下表显示了姓氏如何映射到我们跟踪的威胁参与者。

威胁参与者类别 类型
民族国家 中国
德国
印度
伊朗
朝鲜
黎巴嫩
巴基斯坦
巴勒斯坦民族权力机构
俄罗斯
新加坡
韩国
西班牙
叙利亚
土耳其
乌克兰
美国
越南
台风
大风
季风
沙尘暴
雨夹雪

旋风
闪电
暴风雪

冰雹
Derecho
阴霾
灰尘

龙卷风
气旋
出于财务动机 出于财务动机 暴风雨
私营部门攻击性行动者 PSOA 海啸
影响作 影响作 洪水
正在开发中的组 正在开发中的组 风暴

下表列出了公开披露的威胁参与者名称及其来源或威胁参与者类别、以前的名称,以及其他安全供应商使用的相应名称(如果有)。 当有关其他供应商名称的详细信息可用时,此页面将更新。

威胁参与者名称 源/威胁参与者类别 其他名称
紫水晶雨 黎巴嫩 火山蒂姆伯,挥发雪松
古董台风 中国 Storm-0558
水暴雪 俄罗斯 ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08
浆果沙尘暴 伊朗 Storm-0852
蓝色海啸 以色列,私营部门的进攻参与者
铜管台风 中国 BARIUM,邪恶的熊猫,APT41
博科迪台风 中国 BORON、哥特熊猫、UPS、APT3、OldCARP、TG-0110、Red Sylvan、CYBRAN
酒红色沙尘暴 伊朗 REMIX KITTEN、凯黛尔、查费尔
学员暴雪 俄罗斯 DEV-0586、EMBER BEAR
金丝雀台风 中国 线路熊猫,APT24,帕尔默蠕虫,BlackTech
画布旋风 越南 BISMUTH、OCEAN BUFFALO、OceanLotus、APT32
焦糖海啸 以色列,私营部门的进攻参与者 DEV-0236
卡明海啸 私营部门攻击性行动者
木炭台风 中国 CHROMIUM、水生熊猫、ControlX、RedHotel、BRONZE University
棋子台风 中国 氯、深熊猫、ATG50、APT19、TG-3551、红色花环
肉桂暴风雨 中国, 财务动机 DEV-0401,HighGround
圆圈台风 中国 DEV-0322、EMISSARY PANDA、APT6、APT27
Citrine Sleet 朝鲜 Storm-0139、Storm-1222、LABYRINTH CHOLLIMA
棉花沙尘暴 伊朗 海普图姆,海线小猫,副泄密者
CovertNetwork-1658 Covert 网络 ORB07
新月台风 中国
深红色沙尘暴 伊朗 CURIUM,帝国小猫,龟壳,HOUSEBLEND,TA456
立方体沙尘暴 伊朗 DEV-0228,帝国小猫
牛仔海啸 奥地利,私营部门的进攻参与者 DEV-0291
Diamond Sleet 朝鲜 锌,迷宫乔利马,黑阿特米斯,拉撒路
祖母绿斯利特 朝鲜 THALLIUM、天鹅绒乔利玛、RGB-D5、黑色班希、金苏基、格林迪诺萨
Fallow Squall 新加坡 PLATINUM、寄生虫、RUBYVINE、GINGERSNAP
弗拉克斯台风 中国 Storm-0919,空心熊猫
森林暴风雪 俄罗斯 STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28
幽灵暴雪 俄罗斯 BROMINE, BERSERK BEAR, TG-4192, 考拉队, 蓝克拉肯, 蹲在耶蒂, 龙飞
金厄姆台风 中国 GADOLINIUM,KRYPTONITE PANDA,TEMP。Periscope、Leviathan、JJDoor、APT40、Feverdream
花岗岩台风 中国 加仑,幻影熊猫
灰色沙尘暴 伊朗 DEV-0343
黑兹尔沙尘暴 伊朗 EUROPIUM、HELIX KITTEN、COLBALT GYPSYPSY、Crambus、OilRig、APT34
心脏台风 中国 HELIUM、AURORA PANDA、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、Tailgater
六边形台风 中国 氢,编号熊猫,Calc 团队,Red Anubis,APT12,DNS-Calc,HORDE
猎犬台风 中国 HASSIUM、DRAGNET PANDA、isoon、deepclif
Jade Sleet 朝鲜 Storm-0954, LABYRINTH CHOLLIMA
蕾丝坦佩斯特 出于财务动机 DEV-0950
柠檬沙尘暴 伊朗 红宝石,先锋小猫
豹子台风 中国 LEAD、邪恶熊猫、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti Group
丁香台风 中国 DEV-0234
亚麻台风 中国 IODINE、EMISSARY PANDA、红凤凰、河马、幸运老鼠、BOWSER、APT27、Wekby2、UNC215、TG-3390
Luna Tempest 出于财务动机
洋红色灰尘 土耳其 PROMETHIUM、StrongPity、SmallPity
Manatee Tempest 俄罗斯 DEV-0243、INDRIK SPIDER
芒果沙尘暴 伊朗 水星,静态小猫,种子蠕虫,TEMP。扎格罗斯,泥水
弹珠尘 土耳其 硅,宇宙狼,海龟,UNC1326
万寿菊沙尘暴 伊朗 DEV-500, 复仇的小猫
午夜暴风雪 俄罗斯 NOBELIUM, COZY BEAR, UNC2452, APT29
薄荷沙尘暴 伊朗 磷, 迷人的小猫, 帕拉斯托, 新闻播音员, APT35
月光石斯利特 朝鲜 风暴-1789,迷宫乔利马
桑树台风 中国 MANGANESE、KEYHOLE PANDA、Backdoor-DPD、COVENANT、CYSERVICE、Bottle、Red Horus、Red Naga、Auriga、APT5、ATG48、TG-2754、tabcteng
芥末暴风雨 出于财务动机 DEV-0206、INDRIK SPIDER
涅瓦洪水 俄罗斯, 影响运营 Storm-1516、CopyCop
夜间海啸 Israel(以色列) DEV-0336
尼龙台风 中国 尼克, 维森熊猫, 俏皮龙, RedRiver, ke3chang, APT15, 幻影
Octo Tempest 出于财务动机 分散蜘蛛, 0ktapus
Onyx Sleet 朝鲜 钚, 无声乔利玛, 斯通Fly, Tdrop2 运动, 黑暗Seoul, 黑乔利玛, 安达里埃尔, APT45
Opal Sleet 朝鲜 OSMIUM、天鹅绒CHOLLIMA、Planedown、Konni、APT43
桃子沙尘暴 伊朗 HOLMIUM、精制小猫、APT33、埃尔芬
珍珠·斯利特 朝鲜
Periwinkle Tempest 俄罗斯 DEV-0193,WIZARD SPIDER
Phlox Tempest 以色列,出于财务动机 DEV-0796
粉红色沙尘暴 伊朗 Americium、光谱小猫、阿格里斯、死木、黑影、夏普男孩、FireAnt、正义刀片
细条纹闪电 NIOBIUM、叛逆者杰加尔、沙漠猎鹰、西米塔尔、艾里德毒蛇
Pistachio Tempest 出于财务动机 DEV-0237
格子雨 黎巴嫩 马龙,燃烧杰克
南瓜沙尘暴 伊朗 DEV-0146
紫色台风 中国 钾、石熊猫、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、Foxtrot、Foxmail、MenuPass、Red Apollo
树莓台风 中国 RADIUM、LOTUS PANDA、LotusBlossom、APT30
红色沙尘暴 伊朗 风暴-0842, 被放逐的小猫, 虚空曼蒂索尔
Ruby Sleet 朝鲜 CERIUM,天鹅绒乔利玛
鲁扎洪水 俄罗斯, 影响运营
鲑鱼台风 中国 钠,小牛熊猫,APT4
盐台风 中国 作员熊猫, 鬼影, FamousSparrow
桑里亚暴风雨 乌克兰, 财政动机 ELBRUS,碳蜘蛛
蓝宝石色斯利特 朝鲜 COPERNICIUM、STARDUST CHOLLIMA、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore
缎子台风 中国 SCANDIUM、炸药熊猫、联合、TG-0416、SILVERVIPER、Red Wraith、APT18、埃尔德伍德集团、Wekby
海贝暴雪 俄罗斯 IRIDIUM、VOODOO BEAR、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44
秘密暴风雪 俄罗斯 KRYPTON、毒熊、乌罗布罗斯、蛇、蓝 Python、图拉、WRAITH、ATG26
塞菲德洪水 伊朗, 影响行动
阴影台风 中国 Storm-0062、DarkShadow、Oro0lxy
丝绸台风 中国 哈夫尼姆,默基熊猫,蒂米
烟雾沙尘暴 伊朗 帝国小猫,UNC1549
Spandex Tempest 出于财务动机 蒙蒂·蜘蛛,TA505
Star Blizzard 俄罗斯 SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446
Storm-0216 出于财务动机 TUNNEL SPIDER,UNC2198
Storm-0230 正在开发中的组 向导蜘蛛, 康蒂团队 1
Storm-0247 中国 ToddyCat,Websiic
Storm-0252 正在开发中的组 聊天蜘蛛
Storm-0288 正在开发中的组 FIN8
Storm-0302 正在开发中的组 独角蜘蛛, TA544
Storm-0408 正在开发中的组
Storm-0485 正在开发中的组
Storm-0501 出于财务动机
Storm-0538 正在开发中的组 骨骼蜘蛛, FIN6
Storm-0539 出于财务动机
Storm-0569 出于财务动机
Storm-0671 正在开发中的组 UNC2596,热带天体
Storm-0940 中国
Storm-0978 俄罗斯 RomCom,地下团队
Storm-1101 正在开发中的组
Storm-1113 出于财务动机 药典蜘蛛
Storm-1152 出于财务动机
Storm-1175 中国, 财务动机
Storm-1194 正在开发中的组 蒙蒂
Storm-1249 正在开发中的组
Storm-1516 俄罗斯, 影响运营
Storm-1567 出于财务动机 朋克蜘蛛
Storm-1674 出于财务动机
Storm-1679 影响作
Storm-1811 出于财务动机 卷曲蜘蛛
Storm-1865 正在开发中的组
Storm-1982 中国 SneakyCheff,UNK_SweetSpecter
Storm-2035 伊朗, 影响行动
Storm-2077 中国 TAG-100
Storm-2372 正在开发中的组
草莓暴风雨 出于财务动机 DEV-0537, SLIPPY SPIDER, LAPSUS$
桑洛暴雪 DEV-0665
旋转台风 中国 TELLURIUM、STALKER PANDA、Tick、Bronze Butler、REDBALDKNIGHT
塔菲塔台风 中国 TECHNETIUM、TURBINE PANDA、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW
太子洪水 中国, 影响运营 Dragonbridge、Spamouflage
滚草台风 中国 THORIUM,喀斯特
Twill 台风 中国 坦塔鲁姆,野马熊猫,青铜总统,发光莫斯
Vanilla Tempest 出于财务动机 DEV-0832,VICE SPIDER,Vice Society
天鹅绒温度 出于财务动机 DEV-0504、ALPHA SPIDER
紫罗兰台风 中国 ZIRCONIUM、判断熊猫、变色龙、APT31、WebFans
Void Blizzard 俄罗斯 洗衣熊
伏尔加洪水 俄罗斯, 影响运营 Storm-1841, Rybar
伏特台风 中国 先锋熊猫, 青铜剪影
小麦暴风雨 出于财务动机 GOLD,加塔克
紫藤海啸 印度,私营部门的进攻参与者 DEV-0605、MintedSoil
玉龙洪水 中国, 影响运营 Storm-1852
字形冰冻 韩国 DUBNIUM、SHADOW CRANE、Nemim、TEMPLAR、TieOnJoe、Fallout Team、Purple Pygmy、Dark Hotel、Egobot、Tapaoux、PALADIN、APT-C-60

有关详细信息,请阅读我们关于此分类的公告: https://aka.ms/threatactorsblog

将智能交到安全专业人员手中

Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。

此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API)

资源

对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: