如何Microsoft命名威脅執行者
Microsoft移至與天氣主題一致之威脅執行者的新命名分類法。 我們想要使用新的分類法,讓客戶和其他安全性研究人員更清楚明瞭。 我們提供更井然有序、清楚且簡單的方式來參考威脅執行者,讓組織能夠更妥善地排定優先順序並保護自己,並協助安全性研究人員已經受到大量威脅情報數據的威脅。
Microsoft將威脅執行者分類為五個主要群組:
國家/國家動作專案: 代表或由國家/與州對齊的程式所引導的網路操作員,不論是針對犯罪、財務獲利或擷取。 Microsoft觀察到大部分的國家/地區動作專案會繼續將作業和攻擊焦點放在政府機關、政府內部組織、非政府組織,並考慮支援傳統的攻擊或監視目標。
財務動機的執行者: 由具有財務獲利動機的犯罪組織/人員所導向的網路活動/群組,與已知的非國家或商業實體沒有高度信賴關係。 此類別包括勒索軟體操作員、商務電子郵件洩露、網路釣魚,以及其他純財務或惡意動機的群組。
私人部門攻擊動作專案 (PSOA) : 由已知/合法法律實體的商業執行者所引導的網路活動,可建立網路網路並銷售給接著選取目標並操作網路網路的客戶。 觀察到這些工具的目標和攻擊物件、人力資源防禦者、公民、公民社會提倡者和其他私人公民,會威脅許多全球性的人力資源工作。
影響作業: 信息活動會以操作方式在線或離線進行溝通,以將目標對象的認知、行為或決策轉移為進一步提升群組或國家的興趣和目標。
群組 開發中:暫時指定給未知、新興或開發中的威脅活動。 此指定可讓Microsoft以離散資訊集的方式追蹤群組,直到我們可以對作業背後的動作專案來源或身分識別有高度信心為止。 一旦符合準則,開發中的群組就會轉換成具名動作專案,或合併成現有的名稱。
在我們的新分類法中,天氣事件或 系列名稱 代表上述其中一個類別。 針對國家/地區動作項目,我們已將家族名稱指派給與屬性系結的國家/地區,例如,如果這個國家/地區指出中國原點或屬性,則會指出其來源或屬性。 對於其他動作專案,家族名稱代表動機。 例如,Tempest 表示有財務動機的動作專案。
相同天氣系列中的威脅執行者會獲得形容詞,以區分動作專案群組,以及 (TTP) 、基礎結構、目標或其他已識別模式的不同策略、技術和程式。 對於開發中的群組,我們會使用 Storm 的暫時指定,以及有新探索、未知、新興或開發威脅活動叢集的四位數數位。
下表顯示新系列名稱如何對應至我們追蹤的威脅執行者。
| 動作項目類別 | 類型 | 姓 |
|---|---|---|
| 民族國家 | 中國 伊朗 黎巴嫩 朝鮮 俄羅斯 韓國 土耳其 越南 |
颱風 沙塵暴 雨 雨夾雪 暴風雪 冰雹 灰塵 氣旋 |
| 財務動機 | 財務動機 | 暴風雨 |
| 私人部門攻擊動作專案 | PSOA | 海嘯 |
| 影響作業 | 影響作業 | 洪水 |
| 開發中的 群組 | 開發中的 群組 | 風暴 |
使用下列參考數據表來瞭解先前公開的舊威脅執行者名稱如何轉譯成新的分類法。
| 威脅動作項目名稱 | 上一個名稱 | 原始/威脅 | 其他名稱 |
|---|---|---|---|
| 馬來西西 | Storm-0558 | 中國 | |
| Aqua Blizzard | 銻 | 俄羅斯 | UNC530、Primitive Bear、Gamaredon |
| 藍色藍色 | 私人部門冒犯動作專案 | 黑色 Cube | |
| 馬來西西 | 鋇 | 中國 | APT41 |
| Cadet Blizzard | DEV-0586 | 俄羅斯 | |
| Camouflage Tempest | TAAL | 財務動機 | FIN6、基本架構架構 |
| 畫布畫布畫布 | 鉍 | 越南 | APT32、OceanLotus |
| 卡羅馬利 | SO要字體 | 私人部門冒犯動作專案 | Candiru |
| 卡mine 函式 | DEV-0196 | 私人部門冒犯動作專案 | QuaDream |
| Charcoal Varying | 鉻 | 中國 | ControlX |
| Cinnamon 範本 | DEV-0401 | 財務動機 | 煞星號、銅星光 |
| 圓形圓圈 | DEV-0322 | 中國 | |
| Citcit sleet | DEV-0139、DEV-1222 | 朝鮮 | AppleJeus、Labyrinth Chollima、UNC4736 |
| 沙沙暴 | DEV-0198 (NEPTUNIUM) | 伊朗 | 副洩漏者 |
| 深紅色沙暴 | 鋦 | 伊朗 | TA456、Tortoise Shell |
| Cuboid 沙暴 | DEV-0228 | 伊朗 | |
| Denim 物件 | 在節點上 | 私人部門冒犯動作專案 | DSIRF |
| 菱形圓角 | 鋅 | 朝鮮 | Labyrinth Chollima、Lazarus |
| Emerald Sleet | 鉈 | 朝鮮 | Kimsuky、Velvet Chollima |
| Flax 函式 | Storm-0919 | 中國 | 乙太坊號 |
| 樹系 Blizzard | 鍶 | 俄羅斯 | APT28、花式持有人 |
| 准刪除 Blizzard | 溴 | 俄羅斯 | 垍 |
| Gingham 體 | 釙 | 中國 | APT40、Attathan、TEMP。Periscope、Kryptonite Panda |
| 花粒度 | 鎵 | 中國 | |
| 灰沙暴 | DEV-0343 | 伊朗 | |
| 沙沙暴 | 銪 | 伊朗 | Cobalt Gypsy、APT34、OilRig |
| Jade Sleet | Storm-0954 | 朝鮮 | TraderTraitor,UNC4899 |
| 聖器範本 | DEV-0950 | 財務動機 | FIN11、TA505 |
| 沙沙暴 | 銣 | 伊朗 | Fox Kitten、UNC757、一般Kitten |
| 馬來西西 | 鉛 | 中國 | KAOS、Mana、Winnti、Red Diablo |
| 丁布布 | DEV-0234 | 中國 | |
| Luna Tempest | Storm-0744 | 財務動機 | |
| Manatee Tempest | DEV-0243 | 財務動機 | UNC2165、Indrik 體 |
| Mango Sandstorm | 汞 | 伊朗 | QuantumdyWater、SeedWorm、Static Kitten、TEMP。Zagros |
| 彈珠灰 | 矽 | 土耳其 | 海龜 |
| Marigold 沙地激蕩 | DEV-0500 | 伊朗 | Moses Staff |
| 午夜 Blizzard | 鍩 | 俄羅斯 | APT29、Cozy Bear |
| Mint Sandstorm | 磷 | 伊朗 | APT35、Kitten |
| Moonstone Sleet | Storm-1789 | 朝鮮 | |
| 多樹耜 | 錳 | 中國 | APT5、Keyhole Panda、TABCTENG |
| Mustard Tempest | DEV-0206 | 財務動機 | 紫色 Vallhund |
| 夜幕降臨 | DEV-0336 | 私人部門冒犯動作專案 | NSO 群組 |
| 尼隆群島 | 鎳 | 中國 | ke3chang、APT15、Vixen Panda |
| Octo Tempest | Storm-0875 | 財務動機 | 0ktapus、散佈的布達斯、UNC3944 |
| Onyx Sleet | 鈈 | 朝鮮 | APT45、Silent Chollima、Andariel、DarkSeoul |
| Opal Sleet | 鋺 | 朝鮮 | Konni |
| 沙沙暴 | 鉗 | 伊朗 | APT33、精簡的 Kitten |
| 他的 Sleet | DEV-0215 (LAWRENCIUM) | 朝鮮 | |
| Periwinkle Tempest | DEV-0193 | 財務動機 | Wizard Wizard, UNC2053 |
| Phlox Tempest | DEV-0796 | 財務動機 | ClickPirate、Chrome Loader、Choziosi 載入器 |
| 粉紅沙暴 | 鎘 | 伊朗 | Agrius、Deadwood、BlackShadow、SharpBoys |
| Pistachio Tempest | DEV-0237 | 財務動機 | FIN12 |
| 格子雨 | 釙 | 黎巴嫩 | |
| 南瓜沙暴 | DEV-0146 | 伊朗 | ZeroCleare |
| 紫色紫色 | 鉀 | 中國 | APT10、Cloudhopper、MenuPass |
| Raspberry 函數 | 鐳 | 中國 | APT30、LotusBlossom |
| Ruby Sleet | 鉀 | 朝鮮 | |
| Ruza 水流 | Storm-1099 | 俄羅斯, 影響作業 | |
| 馬來西西 | 鈉 | 中國 | APT4、仾噔 |
| Salt Typhoon | 中國 | GhostEmperor,有名的Sparrow | |
| Riaria Tempest | ELBRUS | 財務動機 | Carbon Carbon,FIN7 |
| Sapphire Sleet | COPERNICIUM | 朝鮮 | Genie 然後,BlueNoroff |
| Seashell Blizzard | 銥 | 俄羅斯 | APT44、沙蟲 |
| 秘密 Blizzard | 氪 | 俄羅斯 | Venomous Bear、Turla、Turbo |
| Sefid Flood | Storm-1364 | 馬來西,影響作業 | |
| 閲絲 | 鉿 | 中國 | |
| 煙霧沙暴 | BOH以及 | 伊朗 | UNC1549 |
| Spandex Tempest | CHIMBORAZO | 財務動機 | TA505 |
| 星型 Blizzard | SEASEAIUM | 俄羅斯 | Callisto、Reuse Team |
| Storm-0062 | 中國 | DarkShadow、Oro0lxy | |
| Storm-0133 | 伊朗 | LYCEUM、HEXANE | |
| Storm-0216 | 財務動機 | 扭曲的德威,UNC2198 | |
| Storm-0257 | 開發中的群組 | UNC1151 | |
| Storm-0324 | 財務動機 | TA543、Sagrid | |
| Storm-0381 | 財務動機 | ||
| Storm-0501 | 開發中的群組 | ||
| Storm-0506 | 開發中的群組 | ||
| Storm-0530 | 朝鮮 | H0lyGh0st | |
| Storm-0539 | 財務動機 | Atlas 體 | |
| Storm-0569 | 財務動機 | ||
| Storm-0587 | 俄羅斯 | 聖Bot、聖熊、TA471 | |
| Storm-0744 | 財務動機 | ||
| Storm-0784 | 伊朗 | ||
| Storm-0829 | 開發中的群組 | Nwgen 小組 | |
| Storm-0835 | 開發中的群組 | 函式Proxy | |
| Storm-0842 | 伊朗 | ||
| Storm-0844 | 開發中的群組 | ||
| Storm-0861 | 伊朗 | ||
| Storm-0867 | 埃及 | 咖啡因 | |
| Storm-0971 | 財務動機 | (合併到八月範本) | |
| Storm-0978 | 開發中的群組 | RomCom、函式小組 | |
| Storm-1044 | 財務動機 | Danabot | |
| Storm-1084 | 伊朗 | DarkBit | |
| Storm-1101 | 開發中的群組 | NakedPages | |
| Storm-1113 | 財務動機 | ||
| Storm-1133 | 巴勒斯坦民族權力機構 | ||
| Storm-1152 | 財務動機 | ||
| Storm-1167 | 印尼 | ||
| Storm-1175 | 財務動機 | ||
| Storm-1283 | 開發中的群組 | ||
| Storm-1286 | 開發中的群組 | ||
| Storm-1295 | 開發中的群組 | 大 | |
| Storm-1516 | 俄羅斯, 影響作業 | ||
| Storm-1567 | 財務動機 | 明 | |
| Storm-1575 | 開發中的群組 | Dadsec | |
| Storm-1660 | 馬來西,影響作業 | ||
| Storm-1674 | 財務動機 | ||
| Storm-1679 | 俄羅斯, 影響作業 | ||
| Storm-1804 | 馬來西,影響作業 | ||
| Storm-1805 | 馬來西,影響作業 | ||
| Storm-1811 | 財務動機 | ||
| Storm-1841 | 俄羅斯, 影響作業 | ||
| Storm-1849 | 中國 | UAT4356 | |
| Storm-1852 | 開發中的群組 | ||
| Storm-2035 | 馬來西,影響作業 | ||
| 拴米樹 | 財務動機 | LAPSUS$ | |
| Sunglow Blizzard | 俄羅斯 | ||
| 太子水流 | Storm-1376 | 中國,影響作業 | Spamouflage、Dragonbridge |
| 紂幅 | SPURR | 財務動機 | 加值稅 |
| Vanilla Tempest | DEV-0832 | 財務動機 | |
| Velvet Tempest | DEV-0504 | 財務動機 | |
| Violet 擴充 | 鋯 | 中國 | APT31 |
| VoltVoltVolt | 中國 | 銅級 SILHOUETTE、VANGUARD PANDA | |
| 葡萄酒範本 | PARINACOTA | 財務動機 | Wadhrama |
| 小星號 | DEV-0605 | 私人部門冒犯動作專案 | CyberRoot |
| Zigzag 這是一個 | DUBNIUM | 韓國 | 深色旅館、Tapaoux |
如需詳細資訊,請參閱我們關於新分類法的公告: https://aka.ms/threatactorsblog
將情報交由安全性專業人員使用
中的 Intel 設定檔 Microsoft Defender 威脅情報 提供威脅執行者的重要見解。 這些深入解析可讓安全性小組在準備和回應威脅時,取得所需的內容。
此外,Microsoft Defender 威脅情報 Intel 配置檔 API 提供現今業界最新的威脅執行者基礎結構可見度。 更新的信息對於啟用 SecOps) 小組 (威脅情報和安全性作業,以簡化其進階威脅搜捕和分析工作流程非常重要。 在檔中深入瞭解此 API: 使用 Microsoft Graph 中的威脅情報 API (預覽) 。
資源
在 Microsoft Defender 全面偵測回應 支援 Kusto 查詢語言 (KQL) 的其他Microsoft安全性產品上使用下列查詢,以使用舊名稱、新名稱或產業名稱來取得威脅執行者的相關信息:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
也提供下列檔案,其中包含舊威脅動作專案名稱與其新名稱的完整對應: