Microsoft如何命名威胁参与者

Microsoft转向了与天气主题一致的威胁参与者的新命名分类。 我们打算使用新的分类法为客户和其他安全研究人员带来更好的清晰度。 我们提供一种更有条理、更清晰、更简单的方式来引用威胁参与者,使组织能够更好地确定优先级并保护自己,并帮助安全研究人员应对大量威胁情报数据。

基于Microsoft命名的民族国家参与者

Microsoft将威胁参与者分为五个关键组:

民族国家参与者: 网络运营商代表或由国家/国家相关计划指挥,无论出于间谍、经济利益还是报复。 Microsoft指出,大多数民族国家行动者继续将行动和攻击集中在政府机构、国际组织、非政府组织和智囊团上,以开展传统的间谍或监视目标。

出于财务动机的参与者: 由犯罪组织/个人指挥的网络运动/团体,其动机为经济利益,对已知的非国家或商业实体没有高度信心。 此类别包括勒索软件运营商、商业电子邮件泄露、网络钓鱼和其他纯财务或敲诈动机的团体。

私营部门攻击性行动者 (PSOA) : 由已知/合法法律实体的商业参与者领导的网络活动,这些行为创建和销售网络武器给客户,然后客户选择目标并运营网络武器。 观察到这些工具针对和监视持不同政见者、人权捍卫者、记者、民间社会倡导者和其他私人公民,威胁着许多全球人权努力。

影响运营: 信息活动以操纵方式在线或离线传达,以转移目标受众的看法、行为或决策,以推动一个群体或国家的利益和目标。

开发中的组:临时指定给未知、新兴或发展中的威胁活动。 此指定允许Microsoft将组作为一组离散信息进行跟踪,直到我们可以对操作背后的执行组件的来源或标识达到高度置信度。 满足条件后,正在开发中的组将转换为命名参与者或合并为现有名称。

在我们的新分类中,天气事件或 姓氏 表示上述类别之一。 对于民族国家参与者,我们已将姓氏分配给与归属相关的原产国/地区,如台风指示起源或归属于中国。 对于其他参与者,姓氏表示动机。 例如,Tempest 指示出于财务动机的参与者。

同一天气系列中的威胁参与者可以使用形容词来区分具有不同策略、技术和过程 (TTP) 、基础结构、目标或其他已识别模式的执行组件。 对于正在开发的组,我们使用 Storm 的临时指定和四位数的数字,其中存在新发现、未知、新兴或开发的威胁活动群集。

下表显示了新姓氏如何映射到我们跟踪的威胁参与者。

参与者类别 类型
民族国家 中国
伊朗
黎巴嫩
朝鲜
俄罗斯
韩国
土耳其
越南
台风
沙尘暴

雨夹雪
暴风雪
冰雹
灰尘
气旋
出于财务动机 出于财务动机 暴风雨
私营部门攻击性行动者 PSOA 海啸
影响操作 影响操作 洪水
开发中的组 开发中的组 风暴

使用以下参考表了解以前公开披露的旧威胁参与者名称如何转换为新的分类。

威胁参与者名称 上一个名称 源/威胁 其他名称
古董台风 Storm-0558 中国
水暴雪 俄罗斯 UNC530、原始熊、加马雷顿
蓝色海啸 私营部门攻击性行动者 黑色立方体
铜管台风 中国 APT41
学员暴雪 DEV-0586 俄罗斯
迷彩暴风雨 TAAL 出于财务动机 FIN6,骨骼蜘蛛
画布旋风 越南 APT32、OceanLotus
焦糖海啸 SOURGUM 私营部门攻击性行动者 坎迪鲁
卡明海啸 DEV-0196 私营部门攻击性行动者 QuaDream
木炭台风 中国 ControlX
肉桂暴风雨 DEV-0401 出于财务动机 帝龙飞,青铜星光
圆圈台风 DEV-0322 中国
Citrine Sleet DEV-0139、DEV-1222 朝鲜 AppleJeus,Labyrinth Chollima,UNC4736
棉花沙尘暴 DEV-0198 (NEPTUNIUM) 伊朗 副泄漏者
深红色沙尘暴 伊朗 TA456,Tortoise Shell
立方体沙尘暴 DEV-0228 伊朗
牛仔海啸 KNOTWEED 私营部门攻击性行动者 DSIRF
Diamond Sleet 朝鲜 迷宫乔利马,拉撒路
祖母绿斯利特 朝鲜 金苏基,天鹅绒乔利玛
弗拉克斯台风 Storm-0919 中国 空灵熊猫
森林暴风雪 俄罗斯 APT28,花式熊
幽灵暴雪 俄罗斯 精力充沛的熊, 蹲着的耶蒂
金厄姆台风 中国 APT40、Leviathan、TEMP。潜望镜、氪石熊猫
花岗岩台风 中国
灰色沙尘暴 DEV-0343 伊朗
黑兹尔沙尘暴 伊朗 钴吉普赛人,APT34,OilRig
Jade Sleet Storm-0954 朝鲜 TraderTraitor,UNC4899
蕾丝坦佩斯特 DEV-0950 出于财务动机 FIN11、TA505
柠檬沙尘暴 伊朗 Fox Kitten, UNC757, PioneerKitten
豹子台风 中国 KAOS、Mana、Winnti、Red Diablo
丁香台风 DEV-0234 中国
Luna Tempest Storm-0744 出于财务动机
Manatee Tempest DEV-0243 出于财务动机 EvilCorp,UNC2165,Indrik Spider
芒果沙尘暴 伊朗 泥水,种子蠕虫,静态小猫,TEMP。Zagros
弹珠尘 土耳其 海龟
万寿菊沙尘暴 DEV-0500 伊朗 摩西教职员工
午夜暴风雪 俄罗斯 APT29,舒适熊
薄荷沙尘暴 伊朗 APT35, 迷人的小猫
月光石斯利特 Storm-1789 朝鲜
桑树台风 中国 APT5、Keyhole Panda、TABCTENG
芥末暴风雨 DEV-0206 出于财务动机 紫色瓦尔洪德
夜间海啸 DEV-0336 私营部门攻击性行动者 NSO 组
尼龙台风 中国 ke3chang、APT15、Vixen Panda
Octo Tempest Storm-0875 出于财务动机 0ktapus,散落蜘蛛,UNC3944
Onyx Sleet 朝鲜 APT45,无声的乔利玛,安达里埃尔,黑暗的Seoul
Opal Sleet 朝鲜 Konni
桃子沙尘暴 伊朗 APT33,精制小猫
珍珠·斯利特 DEV-0215 (LAWRENCIUM) 朝鲜
Periwinkle Tempest DEV-0193 出于财务动机 向导蜘蛛,UNC2053
Phlox Tempest DEV-0796 出于财务动机 ClickPirate、Chrome 加载程序、Choziosi 加载程序
粉红色沙尘暴 伊朗 阿格里乌斯、戴德伍德、黑沙多、夏普男孩
Pistachio Tempest DEV-0237 出于财务动机 FIN12
格子雨 黎巴嫩
南瓜沙尘暴 DEV-0146 伊朗 ZeroCleare
紫色台风 中国 APT10、Cloudhopper、MenuPass
树莓台风 中国 APT30、LotusBlossom
Ruby Sleet 朝鲜
鲁扎洪水 Storm-1099 俄罗斯, 影响运营
鲑鱼台风 中国 APT4,小牛熊猫
盐台风 中国 GhostEmperor、FamousSparrow
桑里亚暴风雨 ELBRUS 出于财务动机 碳蜘蛛,FIN7
蓝宝石斯利特 COPERNICIUM 朝鲜 精灵蜘蛛, BlueNoroff
海贝暴雪 俄罗斯 APT44、沙虫
秘密暴风雪 俄罗斯 毒熊,图拉,蛇
塞菲德洪水 Storm-1364 伊朗, 影响行动
丝绸台风 中国
烟雾沙尘暴 BOHRIUM 伊朗 UNC1549
Spandex Tempest CHIMBORAZO 出于财务动机 TA505
Star Blizzard SEABORGIUM 俄罗斯 Callisto,重用团队
Storm-0062 中国 DarkShadow、Oro0lxy
Storm-0133 伊朗 LYCEUM、HEXANE
Storm-0216 出于财务动机 扭曲的蜘蛛,UNC2198
Storm-0257 正在开发中的组 UNC1151
Storm-0324 出于财务动机 TA543、Sagrid
Storm-0381 出于财务动机
Storm-0501 正在开发中的组
Storm-0506 正在开发中的组
Storm-0530 朝鲜 H0lyGh0st
Storm-0539 出于财务动机 Atlas Lion
Storm-0569 出于财务动机
Storm-0587 俄罗斯 圣博特、圣熊、TA471
Storm-0744 出于财务动机
Storm-0784 伊朗
Storm-0829 正在开发中的组 Nwgen 团队
Storm-0835 正在开发中的组 EvilProxy
Storm-0842 伊朗
Storm-0844 正在开发中的组
Storm-0861 伊朗
Storm-0867 埃及 咖啡因
Storm-0971 出于财务动机 (合并到 Octo Tempest)
Storm-0978 正在开发中的组 RomCom,地下团队
Storm-1044 出于财务动机 Danabot
Storm-1084 伊朗 DarkBit
Storm-1101 正在开发中的组 NakedPages
Storm-1113 出于财务动机
Storm-1133 巴勒斯坦民族权力机构
Storm-1152 出于财务动机
Storm-1167 印度尼西亚
Storm-1175 出于财务动机
Storm-1283 正在开发中的组
Storm-1286 正在开发中的组
Storm-1295 正在开发中的组
Storm-1516 俄罗斯, 影响运营
Storm-1567 出于财务动机
Storm-1575 正在开发中的组 Dadsec
Storm-1660 伊朗, 影响行动
Storm-1674 出于财务动机
Storm-1679 俄罗斯, 影响运营
Storm-1804 伊朗, 影响行动
Storm-1805 伊朗, 影响行动
Storm-1811 出于财务动机
Storm-1841 俄罗斯, 影响运营
Storm-1849 中国 UAT4356
Storm-1852 正在开发中的组
Storm-2035 伊朗, 影响行动
草莓暴风雨 出于财务动机 LAPSUS$
桑洛暴雪 俄罗斯
太子洪水 Storm-1376 中国, 影响运营 Spamouflage,Dragonbridge
番茄暴风雨 SPURR 出于财务动机 Vatet
Vanilla Tempest DEV-0832 出于财务动机
天鹅绒温度 DEV-0504 出于财务动机
紫罗兰台风 中国 APT31
伏特台风 中国 青铜剪影, 先锋熊猫
葡萄酒暴风雨 PARINACOTA 出于财务动机 瓦德拉马
紫藤海啸 DEV-0605 私营部门攻击性行动者 CyberRoot
字形冰冻 DUBNIUM 韩国 塔帕奥黑酒店

有关详细信息,请阅读有关新分类的公告: https://aka.ms/threatactorsblog

将智能交到安全专业人员手中

Microsoft Defender 威胁智能中的 Intel 配置文件提供有关威胁参与者的重要见解。 这些见解使安全团队能够在准备和响应威胁时获取所需的上下文。

此外,Microsoft Defender 威胁智能 Intel 配置文件 API 提供当今业内最新的威胁参与者基础结构可见性。 更新的信息对于 (SecOps) 团队启用威胁情报和安全操作以简化其高级威胁搜寻和分析工作流至关重要。 在文档中详细了解此 API: 使用 Microsoft Graph (预览版中的威胁情报 API)

资源

对支持 Kusto 查询语言的Microsoft Defender XDR和其他Microsoft安全产品 (KQL) 使用以下查询,以使用旧名称、新名称或行业名称获取有关威胁参与者的信息:

let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]'); 
let GetThreatActorAlias = (Name: string) { 
TANames 
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name 
}; 
GetThreatActorAlias("ZINC")

还提供了以下文件,其中包含旧威胁参与者名称及其新名称的全面映射: