Microsoft使用与天气主题一致的威胁参与者的命名分类。 我们打算通过此分类为客户和其他安全研究人员带来更好的清晰度。 我们提供了一种更有条理、更清晰、更简单的方式来引用威胁参与者,以便组织能够更好地确定优先级并保护自己。 我们还致力于帮助安全研究人员,他们已经面对了大量威胁情报数据。
Microsoft将威胁参与者分为五个关键组:
民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。
出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,与对已知非国家或商业实体的高度信心无关。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。
私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和恐吓持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。
影响运营: 信息活动以纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。
正在开发中的组: 临时指定给未知、新兴或正在发展的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。
在此分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们为原产国/地区分配了一个与归属相关的姓氏。 例如,台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。
同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。
下表显示了姓氏如何映射到我们跟踪的威胁参与者。
| 威胁参与者类别 | 类型 | 姓 |
|---|---|---|
| 民族国家 | 中国 德国 印度 伊朗 朝鲜 黎巴嫩 巴基斯坦 巴勒斯坦民族权力机构 俄罗斯 新加坡 韩国 西班牙 叙利亚 土耳其 乌克兰 美国 越南 |
台风 大风 季风 沙尘暴 雨夹雪 雨 旋风 闪电 暴风雪 飑 冰雹 Derecho 阴霾 灰尘 霜 龙卷风 气旋 |
| 出于财务动机 | 出于财务动机 | 暴风雨 |
| 私营部门攻击性行动者 | PSOA | 海啸 |
| 影响作 | 影响作 | 洪水 |
| 正在开发中的组 | 正在开发中的组 | 风暴 |
下表列出了公开披露的威胁参与者名称及其来源或威胁参与者类别、以前的名称,以及其他安全供应商使用的相应名称(如果有)。 当有关其他供应商名称的详细信息可用时,此页面将更新。
| 威胁参与者名称 | 源/威胁参与者类别 | 其他名称 |
|---|---|---|
| 紫水晶雨 | 黎巴嫩 | 火山蒂姆伯,挥发雪松 |
| 古董台风 | 中国 | Storm-0558 |
| 水暴雪 | 俄罗斯 | ACTINIUM, PRIMITIVE BEAR, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08 |
| 浆果沙尘暴 | 伊朗 | Storm-0852 |
| 蓝色海啸 | 以色列,私营部门的进攻参与者 | |
| 铜管台风 | 中国 | BARIUM,邪恶的熊猫,APT41 |
| 博科迪台风 | 中国 | BORON、哥特熊猫、UPS、APT3、OldCARP、TG-0110、Red Sylvan、CYBRAN |
| 酒红色沙尘暴 | 伊朗 | REMIX KITTEN、凯黛尔、查费尔 |
| 学员暴雪 | 俄罗斯 | DEV-0586、EMBER BEAR |
| 金丝雀台风 | 中国 | 线路熊猫,APT24,帕尔默蠕虫,BlackTech |
| 画布旋风 | 越南 | BISMUTH、OCEAN BUFFALO、OceanLotus、APT32 |
| 焦糖海啸 | 以色列,私营部门的进攻参与者 | DEV-0236 |
| 卡明海啸 | 私营部门攻击性行动者 | |
| 木炭台风 | 中国 | CHROMIUM、水生熊猫、ControlX、RedHotel、BRONZE University |
| 棋子台风 | 中国 | 氯、深熊猫、ATG50、APT19、TG-3551、红色花环 |
| 肉桂暴风雨 | 中国, 财务动机 | DEV-0401,HighGround |
| 圆圈台风 | 中国 | DEV-0322、EMISSARY PANDA、APT6、APT27 |
| Citrine Sleet | 朝鲜 | Storm-0139、Storm-1222、LABYRINTH CHOLLIMA |
| 棉花沙尘暴 | 伊朗 | 海普图姆,海线小猫,副泄密者 |
| CovertNetwork-1658 | Covert 网络 | ORB07 |
| 新月台风 | 中国 | 铯 |
| 深红色沙尘暴 | 伊朗 | CURIUM,帝国小猫,龟壳,HOUSEBLEND,TA456 |
| 立方体沙尘暴 | 伊朗 | DEV-0228,帝国小猫 |
| 牛仔海啸 | 奥地利,私营部门的进攻参与者 | DEV-0291 |
| Diamond Sleet | 朝鲜 | 锌,迷宫乔利马,黑阿特米斯,拉撒路 |
| 祖母绿斯利特 | 朝鲜 | THALLIUM、天鹅绒乔利玛、RGB-D5、黑色班希、金苏基、格林迪诺萨 |
| Fallow Squall | 新加坡 | PLATINUM、寄生虫、RUBYVINE、GINGERSNAP |
| 弗拉克斯台风 | 中国 | Storm-0919,空心熊猫 |
| 森林暴风雪 | 俄罗斯 | STRONTIUM, FANCY BEAR, Sednit, ATG2, Sofacy, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| 幽灵暴雪 | 俄罗斯 | BROMINE, BERSERK BEAR, TG-4192, 考拉队, 蓝克拉肯, 蹲在耶蒂, 龙飞 |
| 金厄姆台风 | 中国 | GADOLINIUM,KRYPTONITE PANDA,TEMP。Periscope、Leviathan、JJDoor、APT40、Feverdream |
| 花岗岩台风 | 中国 | 加仑,幻影熊猫 |
| 灰色沙尘暴 | 伊朗 | DEV-0343 |
| 黑兹尔沙尘暴 | 伊朗 | EUROPIUM、HELIX KITTEN、COLBALT GYPSYPSY、Crambus、OilRig、APT34 |
| 心脏台风 | 中国 | HELIUM、AURORA PANDA、APT17、Hidden Lynx、ATG3、Red Typhon、KAOS、TG-8153、SportsFans、DeputyDog、Tailgater |
| 六边形台风 | 中国 | 氢,编号熊猫,Calc 团队,Red Anubis,APT12,DNS-Calc,HORDE |
| 猎犬台风 | 中国 | HASSIUM、DRAGNET PANDA、isoon、deepclif |
| Jade Sleet | 朝鲜 | Storm-0954, LABYRINTH CHOLLIMA |
| 蕾丝坦佩斯特 | 出于财务动机 | DEV-0950 |
| 柠檬沙尘暴 | 伊朗 | 红宝石,先锋小猫 |
| 豹子台风 | 中国 | LEAD、邪恶熊猫、TG-2633、TG-3279、Mana、KAOS、Red Diablo、Winnti Group |
| 丁香台风 | 中国 | DEV-0234 |
| 亚麻台风 | 中国 | IODINE、EMISSARY PANDA、红凤凰、河马、幸运老鼠、BOWSER、APT27、Wekby2、UNC215、TG-3390 |
| Luna Tempest | 出于财务动机 | |
| 洋红色灰尘 | 土耳其 | PROMETHIUM、StrongPity、SmallPity |
| Manatee Tempest | 俄罗斯 | DEV-0243、INDRIK SPIDER |
| 芒果沙尘暴 | 伊朗 | 水星,静态小猫,种子蠕虫,TEMP。扎格罗斯,泥水 |
| 弹珠尘 | 土耳其 | 硅,宇宙狼,海龟,UNC1326 |
| 万寿菊沙尘暴 | 伊朗 | DEV-500, 复仇的小猫 |
| 午夜暴风雪 | 俄罗斯 | NOBELIUM, COZY BEAR, UNC2452, APT29 |
| 薄荷沙尘暴 | 伊朗 | 磷, 迷人的小猫, 帕拉斯托, 新闻播音员, APT35 |
| 月光石斯利特 | 朝鲜 | 风暴-1789,迷宫乔利马 |
| 桑树台风 | 中国 | MANGANESE、KEYHOLE PANDA、Backdoor-DPD、COVENANT、CYSERVICE、Bottle、Red Horus、Red Naga、Auriga、APT5、ATG48、TG-2754、tabcteng |
| 芥末暴风雨 | 出于财务动机 | DEV-0206、INDRIK SPIDER |
| 涅瓦洪水 | 俄罗斯, 影响运营 | Storm-1516、CopyCop |
| 夜间海啸 | Israel(以色列) | DEV-0336 |
| 尼龙台风 | 中国 | 尼克, 维森熊猫, 俏皮龙, RedRiver, ke3chang, APT15, 幻影 |
| Octo Tempest | 出于财务动机 | 分散蜘蛛, 0ktapus |
| Onyx Sleet | 朝鲜 | 钚, 无声乔利玛, 斯通Fly, Tdrop2 运动, 黑暗Seoul, 黑乔利玛, 安达里埃尔, APT45 |
| Opal Sleet | 朝鲜 | OSMIUM、天鹅绒CHOLLIMA、Planedown、Konni、APT43 |
| 桃子沙尘暴 | 伊朗 | HOLMIUM、精制小猫、APT33、埃尔芬 |
| 珍珠·斯利特 | 朝鲜 | 铹 |
| Periwinkle Tempest | 俄罗斯 | DEV-0193,WIZARD SPIDER |
| Phlox Tempest | 以色列,出于财务动机 | DEV-0796 |
| 粉红色沙尘暴 | 伊朗 | Americium、光谱小猫、阿格里斯、死木、黑影、夏普男孩、FireAnt、正义刀片 |
| 细条纹闪电 | NIOBIUM、叛逆者杰加尔、沙漠猎鹰、西米塔尔、艾里德毒蛇 | |
| Pistachio Tempest | 出于财务动机 | DEV-0237 |
| 格子雨 | 黎巴嫩 | 马龙,燃烧杰克 |
| 南瓜沙尘暴 | 伊朗 | DEV-0146 |
| 紫色台风 | 中国 | 钾、石熊猫、GOLEM、Evilgrab、AEON、LIVESAFE、ChChes、APT10、Haymaker、Webmonder、Foxtrot、Foxmail、MenuPass、Red Apollo |
| 树莓台风 | 中国 | RADIUM、LOTUS PANDA、LotusBlossom、APT30 |
| 红色沙尘暴 | 伊朗 | 风暴-0842, 被放逐的小猫, 虚空曼蒂索尔 |
| Ruby Sleet | 朝鲜 | CERIUM,天鹅绒乔利玛 |
| 鲁扎洪水 | 俄罗斯, 影响运营 | |
| 鲑鱼台风 | 中国 | 钠,小牛熊猫,APT4 |
| 盐台风 | 中国 | 作员熊猫, 鬼影, FamousSparrow |
| 桑里亚暴风雨 | 乌克兰, 财政动机 | ELBRUS,碳蜘蛛 |
| 蓝宝石色斯利特 | 朝鲜 | COPERNICIUM、STARDUST CHOLLIMA、Genie Spider、BlueNoroff、CageyChameleon、CryptoCore |
| 缎子台风 | 中国 | SCANDIUM、炸药熊猫、联合、TG-0416、SILVERVIPER、Red Wraith、APT18、埃尔德伍德集团、Wekby |
| 海贝暴雪 | 俄罗斯 | IRIDIUM、VOODOO BEAR、BE2、UAC-0113、Blue Echidna、Sandworm、PHANTOM、BlackEnergy Lite、APT44 |
| 秘密暴风雪 | 俄罗斯 | KRYPTON、毒熊、乌罗布罗斯、蛇、蓝 Python、图拉、WRAITH、ATG26 |
| 塞菲德洪水 | 伊朗, 影响行动 | |
| 阴影台风 | 中国 | Storm-0062、DarkShadow、Oro0lxy |
| 丝绸台风 | 中国 | 哈夫尼姆,默基熊猫,蒂米 |
| 烟雾沙尘暴 | 伊朗 | 帝国小猫,UNC1549 |
| Spandex Tempest | 出于财务动机 | 蒙蒂·蜘蛛,TA505 |
| Star Blizzard | 俄罗斯 | SEABORGIUM、COLDRIVER、Callisto Group、BlueCharlie、TA446 |
| Storm-0216 | 出于财务动机 | TUNNEL SPIDER,UNC2198 |
| Storm-0230 | 正在开发中的组 | 向导蜘蛛, 康蒂团队 1 |
| Storm-0247 | 中国 | ToddyCat,Websiic |
| Storm-0252 | 正在开发中的组 | 聊天蜘蛛 |
| Storm-0288 | 正在开发中的组 | FIN8 |
| Storm-0302 | 正在开发中的组 | 独角蜘蛛, TA544 |
| Storm-0408 | 正在开发中的组 | |
| Storm-0485 | 正在开发中的组 | |
| Storm-0501 | 出于财务动机 | |
| Storm-0538 | 正在开发中的组 | 骨骼蜘蛛, FIN6 |
| Storm-0539 | 出于财务动机 | |
| Storm-0569 | 出于财务动机 | |
| Storm-0671 | 正在开发中的组 | UNC2596,热带天体 |
| Storm-0940 | 中国 | |
| Storm-0978 | 俄罗斯 | RomCom,地下团队 |
| Storm-1101 | 正在开发中的组 | |
| Storm-1113 | 出于财务动机 | 药典蜘蛛 |
| Storm-1152 | 出于财务动机 | |
| Storm-1175 | 中国, 财务动机 | |
| Storm-1194 | 正在开发中的组 | 蒙蒂 |
| Storm-1249 | 正在开发中的组 | |
| Storm-1516 | 俄罗斯, 影响运营 | |
| Storm-1567 | 出于财务动机 | 朋克蜘蛛 |
| Storm-1674 | 出于财务动机 | |
| Storm-1679 | 影响作 | |
| Storm-1811 | 出于财务动机 | 卷曲蜘蛛 |
| Storm-1865 | 正在开发中的组 | |
| Storm-1982 | 中国 | SneakyCheff,UNK_SweetSpecter |
| Storm-2035 | 伊朗, 影响行动 | |
| Storm-2077 | 中国 | TAG-100 |
| Storm-2372 | 正在开发中的组 | |
| 草莓暴风雨 | 出于财务动机 | DEV-0537, SLIPPY SPIDER, LAPSUS$ |
| 桑洛暴雪 | DEV-0665 | |
| 旋转台风 | 中国 | TELLURIUM、STALKER PANDA、Tick、Bronze Butler、REDBALDKNIGHT |
| 塔菲塔台风 | 中国 | TECHNETIUM、TURBINE PANDA、TG-0055、Red Kobold、JerseyMikes、APT26、BEARCLAW |
| 太子洪水 | 中国, 影响运营 | Dragonbridge、Spamouflage |
| 滚草台风 | 中国 | THORIUM,喀斯特 |
| Twill 台风 | 中国 | 坦塔鲁姆,野马熊猫,青铜总统,发光莫斯 |
| Vanilla Tempest | 出于财务动机 | DEV-0832,VICE SPIDER,Vice Society |
| 天鹅绒温度 | 出于财务动机 | DEV-0504、ALPHA SPIDER |
| 紫罗兰台风 | 中国 | ZIRCONIUM、判断熊猫、变色龙、APT31、WebFans |
| Void Blizzard | 俄罗斯 | 洗衣熊 |
| 伏尔加洪水 | 俄罗斯, 影响运营 | Storm-1841, Rybar |
| 伏特台风 | 中国 | 先锋熊猫, 青铜剪影 |
| 小麦暴风雨 | 出于财务动机 | GOLD,加塔克 |
| 紫藤海啸 | 印度,私营部门的进攻参与者 | DEV-0605、MintedSoil |
| 玉龙洪水 | 中国, 影响运营 | Storm-1852 |
| 字形冰冻 | 韩国 | DUBNIUM、SHADOW CRANE、Nemim、TEMPLAR、TieOnJoe、Fallout Team、Purple Pygmy、Dark Hotel、Egobot、Tapaoux、PALADIN、APT-C-60 |
有关详细信息,请阅读我们关于此分类的公告: https://aka.ms/threatactorsblog
将智能交到安全专业人员手中
Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。
此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API) 。
资源
对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: