Så namnger Microsoft hotaktörer
Microsoft övergick till en ny namngivningstaxonomi för hotaktörer i linje med vädertemat. Vi har för avsikt att skapa bättre klarhet för kunder och andra säkerhetsforskare med den nya taxonomi. Vi erbjuder ett mer organiserat, välformulerat och enkelt sätt att referera till hotaktörer så att organisationer bättre kan prioritera och skydda sig själva och hjälpa säkerhetsforskare som redan konfronteras med en överväldigande mängd hotinformationsdata.
Microsoft kategoriserar hotaktörer i fem nyckelgrupper:
Nationalstatsaktörer: cyberoperatörer som agerar på uppdrag av eller styrs av ett nationellt/statsjusterat program, oavsett om det gäller spionage, ekonomisk vinning eller vedergällning. Microsoft observerade att de flesta nationalstatsaktörer fortsätter att fokusera åtgärder och attacker på myndigheter, mellanstatliga organisationer, icke-statliga organisationer och tankesmedjor för traditionella spionage- eller övervakningsmål.
Ekonomiskt motiverade aktörer: cyberkampanjer/grupper som styrs av en kriminell organisation/person med motivation för ekonomisk vinning och är inte associerade med högt förtroende för en känd icke-nationalstat eller kommersiell enhet. I den här kategorin ingår utpressningstrojanoperatörer, komprometterande av e-post för företag, nätfiske och andra grupper med rent ekonomiska motiv eller utpressningsmotiveringar.
Privata offensiva aktörer (PSOA): cyberaktivitet som leds av kommersiella aktörer som är kända/legitima juridiska enheter, som skapar och säljer cybervapen till kunder som sedan väljer mål och driver cybervapen. Dessa verktyg observerades rikta in sig på och övervaka dissidenter, människorättsförsvarare, journalister, förespråkare för det civila samhället och andra privatpersoner, vilket hotade många globala insatser för mänskliga rättigheter.
Påverkansåtgärder: Informationskampanjer som kommuniceras online eller offline på ett manipulativt sätt för att ändra uppfattningar, beteenden eller beslut av målgrupper för att främja en grupps eller en nations intressen och mål.
Grupper under utveckling: en tillfällig beteckning som ges till en okänd, framväxande eller utvecklande hotaktivitet. Med den här beteckningen kan Microsoft spåra en grupp som en diskret uppsättning information tills vi kan nå hög konfidens om ursprunget eller identiteten för aktören bakom åtgärden. När kriterierna har uppfyllts konverteras en grupp under utveckling till en namngiven aktör eller sammanfogas till befintliga namn.
I vår nya taxonomi representerar en väderhändelse eller ett familjenamn någon av kategorierna ovan. För nationalstatsaktörer har vi tilldelat ett familjenamn till ett land/en ursprungsregion som är knuten till attribution, som Typhoon anger ursprung eller attribution till Kina. För andra skådespelare representerar familjenamnet en motivation. Tempest indikerar till exempel ekonomiskt motiverade aktörer.
Hotaktörer inom samma väderfamilj får ett adjektiv för att särskilja aktörsgrupper med distinkta taktiker, tekniker och procedurer (TTP: er), infrastruktur, mål eller andra identifierade mönster. För grupper under utveckling använder vi en tillfällig beteckning för Storm och ett fyrsiffrigt nummer där det finns ett nyligen identifierat, okänt, framväxande eller utvecklande kluster av hotaktivitet.
Tabellen visar hur de nya familjenamnen mappas till de hotaktörer som vi spårar.
| Aktörskategori | Typ | Familjenamn |
|---|---|---|
| Nationalstaten | Kina Iran Libanon Nordkorea Ryssland Sydkorea Turkiet Vietnam |
Tyfon Sandstorm Regn Slask Blizzard Hagel Damm Cyklonen |
| Ekonomiskt motiverad | Ekonomiskt motiverad | Stormen |
| Den privata sektorns offensiva aktörer | PSOA:er | Tsunamin |
| Påverka åtgärder | Påverka åtgärder | Översvämning |
| Grupper under utveckling | Grupper under utveckling | Storm |
Använd följande referenstabell för att förstå hur våra tidigare offentligt avslöjade gamla hotskådespelares namn översätts till vår nya taxonomi.
| Namn på hotskådespelare | Tidigare namn | Ursprung/hot | Andra namn |
|---|---|---|---|
| Aqua Blizzard | ACTINIUM | Ryssland | UNC530, Primitive Bear, Gamaredon |
| Blå tsunami | Den privata sektorns offensiva aktör | Svart kub | |
| Tyfon i mässing | BARIUM | Kina | APT41 |
| Cadet Blizzard | DEV-0586 | Ryssland | |
| Kamouflage tempest | TAAL | Ekonomiskt motiverad | FIN6, Skelettspindel |
| Arbetsytecyklon | VISMUT | Vietnam | APT32, OceanLotus |
| Karamell tsunami | SOURGUM | Den privata sektorns offensiva aktör | Candiru |
| Carmine Tsunami | DEV-0196 | Den privata sektorns offensiva aktör | QuaDream |
| Kol tyfon | KROM | Kina | ControlX |
| Kanel tempest | DEV-0401 | Ekonomiskt motiverad | Kejsare Trollsländor, Brons Starlight |
| Ring tyfon | DEV-0322 | Kina | |
| Citrine Sleet | DEV-0139, DEV-1222 | Nordkorea | AppleJeus, Labyrinth Chollima, UNC4736 |
| Sandstorm i bomull | DEV-0198 (NEPTUNIUM) | Iran | Last Leaker |
| Crimson Sandstorm | CURIUM | Iran | TA456, Sköldpaddsgränssnitt |
| Cuboid Sandstorm | DEV-0228 | Iran | |
| Denim Tsunami | KNOTWEED | Den privata sektorns offensiva aktör | DSIRF |
| Romb-sleet | ZINK | Nordkorea | Labyrinth Chollima, Lazarus |
| Smaragdsleet | TALLIUM | Nordkorea | Kimsuky, Velvet Chollima |
| Lin typhoon | Storm-0919 | Kina | Eterisk Panda |
| Snöstorm i skogen | STRONTIUM | Ryssland | APT28, Tjusig björn |
| Ghost Blizzard | BROM | Ryssland | Energisk björn, hukande Yeti |
| Gingham Typhoon | GADOLINIUM | Kina | APT40, Leviathan, TEMP. Periscope, Kryptonite Panda |
| Tyfon i granit | GALLIUM | Kina | |
| Grå sandstorm | DEV-0343 | Iran | |
| Hassel sandstorm | EUROPIUM | Iran | Kobolt zigenare, APT34, OilRig |
| Jade Sleet | Storm-0954 | Nordkorea | TraderTraitor, UNC4899 |
| Spets tempest | DEV-0950 | Ekonomiskt motiverad | FIN11, TA505 |
| Citronsandstorm | RUBIDIUM | Iran | Fox Kitten, UNC757, PioneerKitten |
| Lila tyfon | DEV-0234 | Kina | |
| Manatee Tempest | DEV-0243 | Ekonomiskt motiverad | EvilCorp, UNC2165, Indrik Spider |
| Mango Sandstorm | KVICKSILVER | Iran | MuddyWater, SeedWorm, Static Kitten, TEMP. Zagros |
| Marmorerat damm | KISEL | Türkiye | Havssköldpadda |
| Marigold Sandstorm | DEV-0500 | Iran | Moses personal |
| Midnatt Blizzard | NOBELIUM | Ryssland | APT29, mysig björn |
| Mint Sandstorm | FOSFOR | Iran | APT35, Charming Kitten |
| Mulberry Typhoon | MANGAN | Kina | APT5, Keyhole Panda, TABCTENG |
| Senaps tempest | DEV-0206 | Ekonomiskt motiverad | Lila Vallhund |
| Natt tsunami | DEV-0336 | Den privata sektorns offensiva aktör | NSO-grupp |
| Nylon Typhoon | NICKEL | Kina | ke3chang, APT15, Vixen Panda |
| Octo Tempest | Storm-0875 | Ekonomiskt motiverad | 0ktapus, spridda spindel, UNC3944 |
| Onyx Sleet | PLUTONIUM | Nordkorea | Tyst Chollima, Andariel, DarkSeoul |
| Opal Sleet | OSMIUM | Nordkorea | Konni |
| Persika sandstorm | HOLMIUM | Iran | APT33, raffinerad kattunge |
| Pärlsleet | DEV-0215 (LAWRENCIUM) | Nordkorea | |
| Periwinkle Tempest | DEV-0193 | Ekonomiskt motiverad | Trollkarlsspindel, UNC2053 |
| Phlox Tempest | DEV-0796 | Ekonomiskt motiverad | ClickPirate, Chrome Loader, Choziosi loader |
| Rosa sandstorm | AMERICIUM | Iran | Agrius, Deadwood, BlackShadow, SharpBoys |
| Pistaschmandlar | DEV-0237 | Ekonomiskt motiverad | FIN12 |
| Plädregn | POLONIUM | Libanon | |
| Pumpa sandstorm | DEV-0146 | Iran | ZeroCleare |
| Hallon typhoon | RADIUM | Kina | APT30, LotusBlossom |
| Ruby Sleet | CERIUM | Nordkorea | |
| Lax tyfon | NATRIUM | Kina | APT4, Maverick Panda |
| Sangria Tempest | ELBRUS | Ekonomiskt motiverad | Kolspindel, FIN7 |
| Sapphire Sleet | COPERNICIUM | Nordkorea | Genie Spider, BlueNoroff |
| Snäckskal Blizzard | IRIDIUM | Ryssland | APT44, Sandmask |
| Hemlig Blizzard | KRYPTON | Ryssland | Giftig björn, Turla, Orm |
| Silke typhoon | HAFNIUM | Kina | |
| Rök sandstorm | BOHRIUM | Iran | |
| Spandex Tempest | CHIMBORAZO | Ekonomiskt motiverad | TA505 |
| Stjärna Blizzard | SEABORGIUM | Ryssland | Callisto, återanvändningsteamet |
| Storm-0062 | Kina | DarkShadow, Oro0lxy | |
| Storm-0133 | Iran | LYCEUM, HEXANE | |
| Storm-0216 | Ekonomiskt motiverad | Vriden spindel, UNC2198 | |
| Storm-0257 | Grupp under utveckling | UNC1151 | |
| Storm-0324 | Ekonomiskt motiverad | TA543, Sagrid | |
| Storm-0381 | Ekonomiskt motiverad | ||
| Storm-0530 | Nordkorea | H0lyGh0st | |
| Storm-0539 | Ekonomiskt motiverad | ||
| Storm-0558 | Kina | ||
| Storm-0569 | Ekonomiskt motiverad | ||
| Storm-0587 | Ryssland | SaintBot, Saint Bear, TA471 | |
| Storm-0744 | Ekonomiskt motiverad | ||
| Storm-0784 | Iran | ||
| Storm-0829 | Grupp under utveckling | Nwgen Team | |
| Storm-0835 | Grupp under utveckling | EvilProxy | |
| Storm-0842 | Iran | ||
| Storm-0861 | Iran | ||
| Storm-0867 | Egypten | Koffein | |
| Storm-0971 | Ekonomiskt motiverad | (Sammanfogad i Octo Tempest) | |
| Storm-0978 | Grupp under utveckling | RomCom, underjordiskt team | |
| Storm-1044 | Ekonomiskt motiverad | Danabot | |
| Storm-1084 | Iran | DarkBit | |
| Storm-1099 | Ryssland | ||
| Storm-1101 | Grupp under utveckling | NakedPages | |
| Storm-1113 | Ekonomiskt motiverad | ||
| Storm-1133 | Palestinska myndigheten | ||
| Storm-1152 | Ekonomiskt motiverad | ||
| Storm-1167 | Indonesien | ||
| Storm-1283 | Grupp under utveckling | ||
| Storm-1286 | Grupp under utveckling | ||
| Storm-1295 | Grupp under utveckling | Storhet | |
| Storm-1364 | Iran | ||
| Storm-1567 | Ekonomiskt motiverad | Akira | |
| Storm-1575 | Grupp under utveckling | Dadsec | |
| Storm-1674 | Ekonomiskt motiverad | ||
| Jordgubbstempest | Ekonomiskt motiverad | LAPSUS$ | |
| Sunglow Blizzard | Ryssland | ||
| Tomat tempest | SPURR | Ekonomiskt motiverad | Momsuppsättning |
| Vanilj tempest | DEV-0832 | Ekonomiskt motiverad | |
| Velvet Tempest | DEV-0504 | Ekonomiskt motiverad | |
| Violett tyfon | ZIRKONIUM | Kina | APT31 |
| Volt Typhoon | Kina | BRONS SILHUETT, VANGUARD PANDA | |
| Vin tempest | PARINACOTA | Ekonomiskt motiverad | Wadhrama |
| Wisteria Tsunami | DEV-0605 | Den privata sektorns offensiva aktör | CyberRoot |
| Sicksack hagel | DUBNIUM | Sydkorea | Dark Hotel, Tapaoux |
Läs vårt meddelande om den nya taxonomi för mer information: https://aka.ms/threatactorsblog
Lägga underrättelser i händerna på säkerhetspersonal
Intel-profiler i Microsoft Defender Hotinformation ge viktiga insikter om hotaktörer. Dessa insikter gör det möjligt för säkerhetsteam att få den kontext de behöver när de förbereder sig för och svarar på hot.
Dessutom ger api:et för Microsoft Defender Hotinformation Intel-profiler den mest aktuella synligheten för hotskådespelarens infrastruktur i branschen idag. Uppdaterad information är avgörande för att göra det möjligt för SecOps-team (Threat Intelligence and Security Operations) att effektivisera sina avancerade arbetsflöden för jakt och analys av hot. Läs mer om det här API:et i dokumentationen: Använd API:er för hotinformation i Microsoft Graph (förhandsversion).
Resurser
Använd följande fråga på Microsoft Defender XDR och andra Microsoft-säkerhetsprodukter som stöder Kusto-frågespråket (KQL) för att hämta information om en hotskådespelare med det gamla namnet, det nya namnet eller branschnamnet:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Följande filer som innehåller omfattande mappning av namn på gamla hotskådespelare med deras nya namn är också tillgängliga:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för