Microsoft 如何為威脅執行者命名

  • 發行項

Microsoft 已針對符合天氣主題的威脅執行者,移至新的命名分類法。 我們想要使用新的分類法,讓客戶和其他安全性研究人員更清楚明瞭。 我們提供更井然有序、清楚且簡單的方式來參考威脅執行者,讓組織能夠更妥善地排定優先順序並保護自己,並協助安全性研究人員已經受到大量威脅情報數據的威脅。

以 Microsoft 命名為基礎的國家/州動作專案

Microsoft 會將威脅執行者分類為五個主要群組:

國家/國家動作專案: 代表或由國家/與州對齊的程式所引導的網路操作員,不論是針對犯罪、財務獲利或擷取。 Microsoft 觀察到大部分的國家/地區動作專案會繼續將作業和攻擊焦點放在政府機關、政府內部組織、非政府組織,並考慮支援傳統的攻擊或監視目標。

財務動機的執行者: 由具有財務獲利動機的犯罪組織/人員所導向的網路活動/群組,與已知的非國家或商業實體沒有高度信賴關係。 此類別包括勒索軟體操作員、商務電子郵件洩露、網路釣魚,以及其他純財務或惡意動機的群組。

私人部門攻擊動作專案 (PSOA) : 由已知/合法法律實體的商業執行者所引導的網路活動,可建立網路網路並銷售給接著選取目標並操作網路網路的客戶。 觀察到這些工具的目標和攻擊物件、人力資源防禦者、公民、公民社會提倡者和其他私人公民,會威脅許多全球性的人力資源工作。

影響作業: 信息活動會以操作方式在線或離線進行溝通,以將目標對象的認知、行為或決策轉移為進一步提升群組或國家的興趣和目標。

開發中的群組: 暫時指定給未知、新興或開發中的威脅活動。 此指定可讓 Microsoft 追蹤群組作為一組離散資訊,直到我們可以對作業背後的動作專案來源或身分識別有高度的信賴度為止。 一旦符合準則,開發中的群組就會轉換成具名動作專案,或合併成現有的名稱。

在我們的新分類法中,天氣事件或 系列名稱 代表上述其中一個類別。 針對國家/地區動作項目,我們已將家族名稱指派給與屬性系結的國家/地區,例如,如果這個國家/地區指出中國原點或屬性,則會指出其來源或屬性。 對於其他動作專案,家族名稱代表動機。 例如,Tempest 表示有財務動機的動作專案。

相同天氣系列中的威脅執行者會獲得形容詞,以區分動作專案群組,以及 (TTP) 、基礎結構、目標或其他已識別模式的不同策略、技術和程式。 對於開發中的群組,我們會使用 Storm 的暫時指定,以及有新探索、未知、新興或開發威脅活動叢集的四位數數位。

下表顯示新系列名稱如何對應至我們追蹤的威脅執行者。

動作項目類別 類型 系列名稱
國家/州 中國
伊朗
黎巴嫩
朝鮮
俄羅斯
韓國
土耳其
越南		 颱風
沙塵暴

雨夾雪
暴雪
冰雹
灰塵
氣旋
財務動機 財務動機 暴風雨
私人部門攻擊動作專案 PSOA 海嘯
影響作業 影響作業 洪水
開發中的群組 開發中的群組 風暴

使用下列參考數據表來瞭解先前公開的舊威脅執行者名稱如何轉譯成新的分類法。

威脅動作項目名稱 上一個名稱 原始/威脅 其他名稱
Aqua Blizzard ACTINIUM 俄羅斯 UNC530、Primitive Bear、Gamaredon
藍色藍色 私人部門冒犯動作專案 黑色 Cube
馬來西西 中國 APT41
Cadet Blizzard DEV-0586 俄羅斯
Camouflage Tempest TAAL 財務動機 FIN6、基本架構架構
畫布畫布畫布 越南 APT32、OceanLotus
卡羅馬利 SO要字體 私人部門冒犯動作專案 Candiru
卡mine 函式 DEV-0196 私人部門冒犯動作專案 QuaDream
Charcoal Varying 中國 ControlX
Cinnamon 範本 DEV-0401 財務動機 煞星號、銅星光
圓形圓圈 DEV-0322 中國
Citcit sleet DEV-0139、DEV-1222 朝鮮 AppleJeus、Labyrinth Chollima、UNC4736
沙沙暴 DEV-0198 (NEPTUNIUM) 伊朗 副洩漏者
深紅色沙暴 CURIUM 伊朗 TA456、Tortoise Shell
Cuboid 沙暴 DEV-0228 伊朗
Denim 物件 在節點上 私人部門冒犯動作專案 DSIRF
菱形圓角 朝鮮 Labyrinth Chollima、Lazarus
Emerald Sleet 朝鮮 Kimsuky、Velvet Chollima
Flax 函式 Storm-0919 中國 乙太坊號
樹系 Blizzard 俄羅斯 APT28、花式持有人
准刪除 Blizzard 俄羅斯 𷞙垍𶮉
Gingham 體 中國 APT40、Attathan、TEMP。Periscope、Kryptonite Panda
花粒度 中國
灰沙暴 DEV-0343 伊朗
沙沙暴 伊朗 Cobalt Gypsy、APT34、OilRig
Jade Sleet Storm-0954 朝鮮 TraderTraitor,UNC4899
聖器範本 DEV-0950 財務動機 FIN11、TA505
沙沙暴 伊朗 Fox Kitten、UNC757、一般Kitten
丁布布 DEV-0234 中國
Manatee Tempest DEV-0243 財務動機 UNC2165、Indrik 體
Mango Sandstorm 伊朗 QuantumdyWater、SeedWorm、Static Kitten、TEMP。Zagros
彈珠灰 Türkiye 海龜
Marigold 沙地激蕩 DEV-0500 伊朗 Moses Staff
午夜 Blizzard 一起使用 俄羅斯 APT29、Cozy Bear
Mint Sandstorm 伊朗 APT35、Kitten
多樹耜 中國 APT5、Keyhole Panda、TABCTENG
Mustard Tempest DEV-0206 財務動機 紫色 Vallhund
夜幕降臨 DEV-0336 私人部門冒犯動作專案 NSO 群組
尼隆群島 中國 ke3chang、APT15、Vixen Panda
Octo Tempest Storm-0875 財務動機 0ktapus、散佈的布達斯、UNC3944
Onyx Sleet 朝鮮 Silent Chollima、Andariel、DarkSeoul
Opal Sleet 朝鮮 Konni
沙沙暴 伊朗 APT33、精簡的 Kitten
他的 Sleet DEV-0215 (LAWRENCIUM) 朝鮮
Periwinkle Tempest DEV-0193 財務動機 Wizard Wizard, UNC2053
Phlox Tempest DEV-0796 財務動機 ClickPirate、Chrome Loader、Choziosi 載入器
粉紅沙暴 AMERICIUM 伊朗 Agrius、Deadwood、BlackShadow、SharpBoys
Pistachio Tempest DEV-0237 財務動機 FIN12
格子雨 黎巴嫩
南瓜沙暴 DEV-0146 伊朗 ZeroCleare
Raspberry 函數 中國 APT30、LotusBlossom
Ruby Sleet 朝鮮
馬來西西 中國 APT4、仾噔
Riaria Tempest ELBRUS 財務動機 Carbon Carbon,FIN7
Sapphire Sleet COPERNICIUM 朝鮮 Genie 然後,BlueNoroff
Seashell Blizzard 俄羅斯 APT44、沙蟲
秘密 Blizzard 俄羅斯 Venomous Bear、Turla、Turbo
閲絲 中國
煙霧沙暴 BOH以及 伊朗
Spandex Tempest CHIMBORAZO 財務動機 TA505
星型 Blizzard SEASEAIUM 俄羅斯 Callisto、Reuse Team
Storm-0062 中國 DarkShadow、Oro0lxy
Storm-0133 伊朗 LYCEUM、HEXANE
Storm-0216 財務動機 扭曲的德威,UNC2198
Storm-0257 開發中的群組 UNC1151
Storm-0324 財務動機 TA543、Sagrid
Storm-0381 財務動機
Storm-0530 朝鮮 H0lyGh0st
Storm-0539 財務動機
Storm-0558 中國
Storm-0569 財務動機
Storm-0587 俄羅斯 聖Bot、聖熊、TA471
Storm-0744 財務動機
Storm-0784 伊朗
Storm-0829 開發中的群組 Nwgen 小組
Storm-0835 開發中的群組 函式Proxy
Storm-0842 伊朗
Storm-0861 伊朗
Storm-0867 埃及 咖啡因
Storm-0971 財務動機 (合併到八月範本)
Storm-0978 開發中的群組 RomCom、函式小組
Storm-1044 財務動機 Danabot
Storm-1084 伊朗 DarkBit
Storm-1099 俄羅斯
Storm-1101 開發中的群組 NakedPages
Storm-1113 財務動機
Storm-1133 巴勒斯坦民族權力機構
Storm-1152 財務動機
Storm-1167 印尼
Storm-1283 開發中的群組
Storm-1286 開發中的群組
Storm-1295 開發中的群組 偉大
Storm-1364 伊朗
Storm-1567 財務動機
Storm-1575 開發中的群組 Dadsec
Storm-1674 財務動機
拴米樹 財務動機 LAPSUS$
Sunglow Blizzard 俄羅斯
紂幅 SPURR 財務動機 加值稅
Vanilla Tempest DEV-0832 財務動機
Velvet Tempest DEV-0504 財務動機
Violet 擴充 中國 APT31
VoltVoltVolt 中國 銅級 SILHOUETTE、VANGUARD PANDA
葡萄酒範本 PARINACOTA 財務動機 Wadhrama
小星號 DEV-0605 私人部門冒犯動作專案 CyberRoot
Zigzag 這是一個 DUBNIUM 韓國 深色旅館、Tapaoux

如需詳細資訊,請參閱我們關於新分類法的公告: https://aka.ms/threatactorsblog

將情報交由安全性專業人員使用

intel 配置檔 Microsoft Defender 威脅情報 提供威脅執行者的重要見解。 這些深入解析可讓安全性小組在準備和回應威脅時,取得所需的內容。

此外,Microsoft Defender 威脅情報 Intel 配置檔 API 提供現今業界最新的威脅執行者基礎結構可見度。 更新的信息對於啟用 SecOps) 小組 (威脅情報和安全性作業,以簡化其進階威脅搜捕和分析工作流程非常重要。 在檔中深入瞭解此 API: 在 Microsoft Graph 中使用威脅情報 API (預覽)

資源

在支援 Kusto 查詢語言 (KQL) 的 Microsoft Defender 全面偵測回應 和其他 Microsoft 安全性產品上使用下列查詢,以使用舊名稱、新名稱或產業名稱來取得威脅執行者的相關信息:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

也提供下列檔案,其中包含舊威脅動作專案名稱與其新名稱的完整對應: