Como a Microsoft nomeia atores de ameaças
A Microsoft mudou para uma nova taxonomia de nomenclatura para atores de ameaça alinhados com o tema do clima. Pretendemos trazer mais clareza aos clientes e outros pesquisadores de segurança com a nova taxonomia. Oferecemos uma maneira mais organizada, articulada e fácil de referenciar atores de ameaças para que as organizações possam priorizar e proteger melhor a si mesmas e ajudar os pesquisadores de segurança já confrontados com uma quantidade esmagadora de dados de inteligência contra ameaças.
A Microsoft categoriza atores de ameaças em cinco grupos-chave:
Atores de estado-nação: operadores cibernéticos agindo em nome ou dirigidos por um programa alinhado à nação/estado, independentemente de espionagem, ganho financeiro ou retribuição. A Microsoft observou que a maioria dos atores estatais do país continua a concentrar operações e ataques a agências governamentais, organizações intergovernamentais, organizações não governamentais e think tanks para objetivos tradicionais de espionagem ou vigilância.
Atores com motivação financeira: campanhas/grupos cibernéticos dirigidos por uma organização criminosa/pessoa com motivações de ganho financeiro e não estão associados à alta confiança a um estado ou entidade comercial não-nação conhecida. Essa categoria inclui operadores de ransomware, compromisso de email comercial, phishing e outros grupos com motivações puramente financeiras ou extorsão.
Atores ofensivos do setor privado (PSOAs): atividade cibernética liderada por atores comerciais conhecidos/legítimos, que criam e vendem armas cibernéticas para clientes que então selecionam destinos e operam as armas cibernéticas. Essas ferramentas foram observadas visando e vigiando dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados, ameaçando muitos esforços globais de direitos humanos.
Operações de influência: campanhas de informações comunicadas online ou offline de forma manipuladora para mudar percepções, comportamentos ou decisões por público-alvo para promover um grupo ou os interesses e objetivos de uma nação.
Grupos em desenvolvimento: uma designação temporária dada a uma atividade desconhecida, emergente ou em desenvolvimento de ameaças. Essa designação permite que a Microsoft acompanhe um grupo como um conjunto discreto de informações até que possamos alcançar alta confiança sobre a origem ou identidade do ator por trás da operação. Depois que os critérios são atendidos, um grupo em desenvolvimento é convertido em um ator nomeado ou mesclado em nomes existentes.
Em nossa nova taxonomia, um evento meteorológico ou nome da família representa uma das categorias acima. Para atores de estado-nação, atribuimos um nome de família a um país/região de origem vinculado à atribuição, como Tufão indica origem ou atribuição à China. Para outros atores, o nome da família representa uma motivação. Por exemplo, Tempest indica atores com motivação financeira.
Os atores de ameaça dentro da mesma família meteorológica recebem um adjetivo para distinguir grupos de atores com táticas, técnicas e procedimentos distintos (TTPs), infraestrutura, objetivos ou outros padrões identificados. Para grupos em desenvolvimento, usamos uma designação temporária do Storm e um número de quatro dígitos em que há um cluster de atividade de ameaça recém-descoberto, desconhecido, emergente ou em desenvolvimento.
A tabela mostra como os novos nomes de família são mapeados para os atores de ameaça que acompanhamos.
| Categoria ator | Tipo | Nome da família |
|---|---|---|
| Estado-nação | China Irã Líbano Coreia do Norte Rússia Coreia do Sul Turquia Vietnã |
Tufão Tempestade Chuva Granizo Blizzard Ave Poeira Ciclone |
| Financeiramente motivado | Financeiramente motivado | Tempestade |
| Atores ofensivos do setor privado | Psoas | Tsunami |
| Operações de influência | Operações de influência | Inundação |
| Grupos em desenvolvimento | Grupos em desenvolvimento | Tempestade |
Use a tabela de referência a seguir para entender como nossos nomes de ator de ameaças anteriormente divulgados publicamente se traduzem em nossa nova taxonomia.
| Nome do ator de ameaça | Nome anterior | Origem/ameaça | Outros nomes |
|---|---|---|---|
| Aqua Blizzard | ACTINIUM | Rússia | UNC530, Urso Primitivo, Gamaredon |
| Tsunami Azul | Ator ofensivo do setor privado | Cubo Preto | |
| Tufão de Latão | BÁRIO | China | APT41 |
| Cadete Blizzard | DEV-0586 | Rússia | |
| Camuflar Tempest | TAAL | Financeiramente motivado | FIN6, Skeleton Spider |
| Ciclone de tela | SUBSALICILATO | Vietnã | APT32, OceanLotus |
| Tsunami de Caramelo | SOURGUM | Ator ofensivo do setor privado | Candiru |
| Carmine Tsunami | DEV-0196 | Ator ofensivo do setor privado | QuaDream |
| Tufão de Carvão | CROMO | China | ControlX |
| Tempestade de Canela | DEV-0401 | Financeiramente motivado | Imperador Dragonfly, Bronze Starlight |
| Tufão do Círculo | DEV-0322 | China | |
| Citrine Sleet | DEV-0139, DEV-1222 | Coreia do Norte | AppleJeus, Labyrinth Chollima, UNC4736 |
| Tempestade de areia de algodão | DEV-0198 (NEPTUNIUM) | Irã | Vice Leaker |
| Tempestade de Areia Vermelha | CURIUM | Irã | TA456, Shell de Tartaruga |
| Tempestade de areia cuboide | DEV-0228 | Irã | |
| Denim Tsunami | KNOTWEED | Ator ofensivo do setor privado | DSIRF |
| Diamond Sleet | ZINCO | Coreia do Norte | Labyrinth Chollima, Lazarus |
| Esmeralda Sleet | TÁLIO | Coreia do Norte | Kimsuky, Velvet Chollima |
| Tufão flax | Storm-0919 | China | Panda Etéreo |
| Nevasca florestal | ESTRÔNCIO | Rússia | APT28, Urso Chique |
| Nevasca Fantasma | BROMO | Rússia | Urso energético, Yeti agachado |
| Tufão Gingham | GADOLINIUM | China | APT40, Leviathan, TEMP. Periscópio, Kryptonite Panda |
| Tufão de Granito | GÁLIO | China | |
| Tempestade de Areia Cinza | DEV-0343 | Irã | |
| Hazel Sandstorm | EUROPIUM | Irã | Cobalt Gypsy, APT34, OilRig |
| Jade Sleet | Storm-0954 | Coreia do Norte | TraderTraitor, UNC4899 |
| Tempestade de Renda | DEV-0950 | Financeiramente motivado | FIN11, TA505 |
| Lemon Sandstorm | RUBIDIUM | Irã | Fox Kitten, UNC757, PioneerKitten |
| Tufão-leopardo | LEVAR | China | KAOS, Mana, Winnti, Red Diablo |
| Tufão Lilás | DEV-0234 | China | |
| Tempestade de peixe-boi | DEV-0243 | Financeiramente motivado | EvilCorp, UNC2165, Indrik Spider |
| Mango Sandstorm | MERCÚRIO | Irã | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Poeira em mármore | SILÍCIO | Türkiye | Tartaruga Marinha |
| Marigold Sandstorm | DEV-0500 | Irã | Pessoal de Moisés |
| Nevasca da Meia-Noite | NOBELIUM | Rússia | APT29, Urso Aconchegante |
| Tempestade de Areia da Casa da Moeda | FÓSFORO | Irã | APT35, Charming Kitten |
| Tufão Mulberry | MANGANÊS | China | APT5, Keyhole Panda, TABCTENG |
| Tempestade de Mostarda | DEV-0206 | Financeiramente motivado | Vallhund Roxo |
| Tsunami Noturno | DEV-0336 | Ator ofensivo do setor privado | Grupo NSO |
| Tufão nylon | NÍQUEL | China | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Financeiramente motivado | 0ktapus, Dispersed Spider, UNC3944 |
| Onyx Sleet | PLUTÔNIO | Coreia do Norte | Silent Chollima, Andariel, DarkSeoul |
| Opal Sleet | ÓSMIO | Coreia do Norte | Konni |
| Peach Sandstorm | HÓLMIO | Irã | APT33, Gatinho Refinado |
| Pearl Sleet | DEV-0215 (LAWRENCIUM) | Coreia do Norte | |
| Tempestade Periwinkle | DEV-0193 | Financeiramente motivado | Wizard Spider, UNC2053 |
| Phlox Tempest | DEV-0796 | Financeiramente motivado | Carregador ClickPirate, Chrome Loader, Choziosi |
| Tempestade de Areia Rosa | AMERÍCIO | Irã | Agrius, Deadwood, BlackShadow, SharpBoys |
| Tempestade de pistache | DEV-0237 | Financeiramente motivado | FIN12 |
| Chuva Xadrez | POLÔNIO | Líbano | |
| Tempestade de Areia de Abóbora | DEV-0146 | Irã | ZeroCleare |
| Tufão Raspberry | RÁDIO | China | APT30, LotusBlossom |
| Ruby Sleet | CÉRIO | Coreia do Norte | |
| Tufão salmon | SÓDIO | China | APT4, Maverick Panda |
| Sangria Tempest | ELBRUS | Financeiramente motivado | Carbon Spider, FIN7 |
| Sleet de safira | COPERNICIUM | Coreia do Norte | Genie Spider |
| Seashell Blizzard | IRÍDIO | Rússia | APT44, Sandworm |
| Nevasca Secreta | KRYPTON | Rússia | Urso Venenoso, Turla, Cobra |
| Tufão de Seda | HÁFNIO | China | |
| Tempestade de Fumaça | BOHRIUM | Irã | |
| Spandex Tempest | CHIMBORAZO | Financeiramente motivado | TA505 |
| Star Blizzard | SEABORGIUM | Rússia | Callisto, Reuse Team |
| Storm-0062 | China | DarkShadow, Oro0lxy | |
| Storm-0133 | Irã | LYCEUM, HEXANE | |
| Storm-0216 | Financeiramente motivado | Aranha Torcida, UNC2198 | |
| Storm-0257 | Grupo em desenvolvimento | UNC1151 | |
| Storm-0324 | Financeiramente motivado | TA543, Sagrid | |
| Storm-0381 | Financeiramente motivado | ||
| Storm-0530 | Coreia do Norte | H0lyGh0st | |
| Storm-0539 | Financeiramente motivado | ||
| Storm-0558 | China | ||
| Storm-0569 | Financeiramente motivado | ||
| Storm-0587 | Rússia | SaintBot, Saint Bear, TA471 | |
| Storm-0744 | Financeiramente motivado | ||
| Storm-0784 | Irã | ||
| Storm-0829 | Grupo em desenvolvimento | Equipe Nwgen | |
| Storm-0835 | Grupo em desenvolvimento | EvilProxy | |
| Storm-0842 | Irã | ||
| Storm-0861 | Irã | ||
| Storm-0867 | Egito | Cafeína | |
| Storm-0971 | Financeiramente motivado | (Mesclado em Octo Tempest) | |
| Storm-0978 | Grupo em desenvolvimento | RomCom, Equipe Subterrânea | |
| Storm-1044 | Financeiramente motivado | Danabot | |
| Storm-1084 | Irã | DarkBit | |
| Storm-1099 | Rússia | ||
| Storm-1101 | Grupo em desenvolvimento | NakedPages | |
| Storm-1113 | Financeiramente motivado | ||
| Storm-1133 | Autoridade Palestina | ||
| Tempestade-1152 | Financeiramente motivado | ||
| Storm-1167 | Indonésia | ||
| Storm-1175 | Financeiramente motivado | ||
| Storm-1283 | Grupo em desenvolvimento | ||
| Storm-1286 | Grupo em desenvolvimento | ||
| Storm-1295 | Grupo em desenvolvimento | Grandeza | |
| Storm-1364 | Irã | ||
| Storm-1376 | China, Operações de influência | ||
| Storm-1516 | Rússia, operações de influência | ||
| Storm-1567 | Financeiramente motivado | Akira | |
| Storm-1575 | Grupo em desenvolvimento | Dadsec | |
| Storm-1674 | Financeiramente motivado | ||
| Tempestade de Morango | Financeiramente motivado | LAPSUS$ | |
| Sunglow Blizzard | Rússia | ||
| Tempestade de Tomate | SPURR | Financeiramente motivado | Vatet |
| Tempestade de baunilha | DEV-0832 | Financeiramente motivado | |
| Tempestade de Veludo | DEV-0504 | Financeiramente motivado | |
| Tufão Violet | ZIRCÔNIO | China | APT31 |
| Tufão Volt | China | SILHUETA BRONZE, VANGUARD PANDA | |
| Tempestade de Vinho | PARINACOTA | Financeiramente motivado | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Ator ofensivo do setor privado | CyberRoot |
| Granizo em ziguezague | DUBNIUM | Coreia do Sul | Dark Hotel, Tapaoux |
Leia nosso anúncio sobre a nova taxonomia para obter mais informações: https://aka.ms/threatactorsblog
Colocando inteligência nas mãos de profissionais de segurança
Os perfis intel no Informações sobre Ameaças do Microsoft Defender trazem insights cruciais sobre atores de ameaças. Esses insights permitem que as equipes de segurança obtenham o contexto de que precisam enquanto se preparam e respondem a ameaças.
Além disso, a Informações sobre Ameaças do Microsoft Defender API de Perfis intel fornece a visibilidade de infraestrutura de ator de ameaças mais atualizada do setor atualmente. As informações atualizadas são cruciais para permitir que as equipes de SecOps (inteligência contra ameaças e operações de segurança) agilizem seus fluxos de trabalho avançados de busca e análise de ameaças. Saiba mais sobre essa API na documentação: use as APIs de inteligência contra ameaças no Microsoft Graph (versão prévia).
Recursos
Use a consulta a seguir no Microsoft Defender XDR e em outros produtos de segurança da Microsoft que dão suporte à KQL (linguagem de consulta kusto) para obter informações sobre um ator de ameaça usando o nome antigo, novo nome ou nome do setor:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Os seguintes arquivos que contêm o mapeamento abrangente de nomes antigos de atores de ameaças com seus novos nomes também estão disponíveis:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de