Come Microsoft chiama gli attori delle minacce
Microsoft usa una tassonomia dei nomi per gli attori delle minacce allineati al tema del meteo. Con questa tassonomia intendiamo offrire maggiore chiarezza ai clienti e ad altri ricercatori di sicurezza. Offriamo un modo più organizzato, articolato e semplice per fare riferimento agli attori delle minacce in modo che le organizzazioni possano definire meglio le priorità e proteggersi. Il nostro obiettivo è anche aiutare i ricercatori di sicurezza, che sono già confrontati con una quantità enorme di dati di intelligence sulle minacce.
Microsoft classifica gli attori delle minacce in cinque gruppi chiave:
Attori nazione-stato: operatori informatici che agiscono per conto o diretti da un programma nazionale/allineato allo stato, indipendentemente dal fatto che per spionaggio, guadagno finanziario o punizione. Microsoft ha osservato che la maggior parte degli attori dello stato nazionale continua a concentrare le operazioni e gli attacchi contro agenzie governative, organizzazioni governative, organizzazioni non governative e think tank per obiettivi di spionaggio o sorveglianza tradizionali.
Attori motivati dal punto di vista finanziario: campagne informatiche/gruppi diretti da un'organizzazione o da una persona criminale con motivazioni di guadagno finanziario e non sono associati con alta fiducia a uno stato non nazionale noto o a un'entità commerciale. Questa categoria include operatori ransomware, compromissione della posta elettronica aziendale, phishing e altri gruppi con motivazioni puramente finanziarie o estorsione.
Attori offensivi del settore privato(PSOA): attività informatica guidata da attori commerciali noti/legittimi, che creano e vendono cyberweapons ai clienti che quindi selezionano obiettivi e gestiscono le cyberweapons. Questi strumenti sono stati osservati per colpire e sorvegliare dissidenti, difensori dei diritti umani, giornalisti, sostenitori della società civile e altri privati cittadini, minacciando molti sforzi globali per i diritti umani.
Operazioni di influenza: campagne informative comunicate online o offline in modo manipolativo per spostare percezioni, comportamenti o decisioni da parte del pubblico di destinazione per promuovere gli interessi e gli obiettivi di un gruppo o di una nazione.
Gruppi in fase di sviluppo: una designazione temporanea data a un'attività di minaccia sconosciuta, emergente o in via di sviluppo. Questa designazione consente a Microsoft di tenere traccia di un gruppo come set discreto di informazioni fino a raggiungere un'elevata attendibilità sull'origine o sull'identità dell'attore dietro l'operazione. Una volta soddisfatti i criteri, un gruppo in fase di sviluppo viene convertito in un attore denominato o unito in nomi esistenti.
In questa tassonomia, un evento meteo o un nome di famiglia rappresenta una delle categorie precedenti. Per gli attori stato-nazione, è stato assegnato un nome di famiglia a un paese/area geografica di origine associato all'attribuzione. Ad esempio, il tifone indica l'origine o l'attribuzione alla Cina. Per altri attori, il nome della famiglia rappresenta una motivazione. Ad esempio, Tempest indica attori motivati finanziariamente.
Agli attori delle minacce all'interno della stessa famiglia meteorologica viene dato un aggettivo per distinguere i gruppi di attori con tattiche, tecniche e procedure distinte , infrastruttura, obiettivi o altri modelli identificati. Per i gruppi in fase di sviluppo, viene usata una designazione temporanea di Storm e un numero a quattro cifre in cui è presente un cluster di attività di minaccia appena scoperto, sconosciuto, emergente o in fase di sviluppo.
Nella tabella seguente viene illustrato il mapping dei nomi di famiglia agli attori delle minacce rilevati.
| Categoria attore di minacce | Tipo | Cognome |
|---|---|---|
| Stato-nazione | Cina Iran Libano Corea del Nord Russia Corea del Sud Turchia Vietnam |
Tifone Tempesta di sabbia Pioggia Nevischio Tormenta Grandine Polvere Ciclone |
| Motivati dal punto di vista finanziario | Motivati dal punto di vista finanziario | Tempesta |
| Attori offensivi del settore privato | PSOA | Tsunami |
| Operazioni di influenza | Operazioni di influenza | Inondazione |
| Gruppi in sviluppo | Gruppi in sviluppo | Tempesta |
Nella tabella seguente sono elencati i nomi degli attori di minaccia divulgati pubblicamente con la categoria di attori di origine o minaccia, i nomi precedenti e i nomi corrispondenti usati da altri fornitori di sicurezza, se disponibili. Questa pagina verrà aggiornata man mano che saranno disponibili altre informazioni sui nomi di altri fornitori.
| Nome dell'attore di minacce | Categoria di attori origin/threat | Altri nomi |
|---|---|---|
| Pioggia di Amethyst | Libano | Volatile Cedar |
| Tifone antico | Cina | Storm-0558 |
| Aqua Blizzard | Russia | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| Tsunami blu | Israele, attore offensivo del settore privato | |
| Tifone in ottone | Cina | BARIUM, APT41 |
| Brocade Typhoon | Cina | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| Tempesta di sabbia bordeaux | Iran | Cadelle |
| Bufera di neve cadetti | Russia | DEV-0586 |
| Tifone canarino | Cina | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| Ciclone canvas | Vietnam | BISMUTH, OceanLotus, APT32 |
| Tsunami caramello | Israele, attore offensivo del settore privato | DEV-0236 |
| Carmine Tsunami | Attore offensivo del settore privato | |
| Tifone a carbone | Cina | CHROMIUM, ControlX, Panda acquatico, RedHotel, BRONZE UNIVERSITY |
| Tifone a scacchi | Cina | CHLORINE, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| Tempesta di cannella | Cina, finanziariamente motivata | DEV-0401 |
| Tifone circolare | Cina | DEV-0322, APT6, APT27 |
| Citrine Sleet | Corea del Nord | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| Tempesta di sabbia di cotone | Iran | NEPTUNIUM, Vice Leaker, Haywire Kitten |
| Tifone crescente | Cina | CESIO |
| Tempesta di sabbia cremisi | Iran | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| Cuboide Tempesta di sabbia | Iran | DEV-0228 |
| Tsunami di jeans | Austria, attore offensivo del settore privato | DEV-0291 |
| Sleet a rombo | Corea del Nord | ZINCO, Artemis nero, Chollima labirinto, Lazzaro |
| Sleet di smeraldo | Corea del Nord | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | Singapore | PLATINO, PARASSITA, RUBYVINE, GINGERSNAP |
| Tifone del lino | Cina | Storm-0919, ETHEREAL PANDA |
| Bufera di neve della foresta | Russia | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| Tormenta fantasma | Russia | BROMINE, TG-4192, Koala Team, ENERGETIC BEAR, Blue Kraken, Crouching Yeti, Dragonfly |
| Tifone Gingham | Cina | GADOLINIUM, TEMP. Periscope, Leviathan, JJDoor, APT40, Feverdream |
| Tifone di granito | Cina | GALLIO |
| Tempesta di sabbia grigia | Iran | DEV-0343 |
| Hazel Sandstorm | Iran | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| Tifone cardiaco | Cina | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| Tifone esagonale | Cina | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMED PANDA |
| Houndstooth Typhoon | Cina | HASSIUM, isoone, deepclif |
| Set di giada | Corea del Nord | Storm-0954 |
| Lace Tempest | Motivati dal punto di vista finanziario | DEV-0950 |
| Lemon Sandstorm | Iran | RUBIDIO |
| Tifone leopardo | Cina | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| Tifone lilla | Cina | DEV-0234 |
| Tifone di lino | Cina | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| Luna Tempest | Motivati dal punto di vista finanziario | |
| Polvere di Magenta | Turchia | PROMETHIUM, StrongPity, SmallPity |
| Lamantino Tempest | Russia | |
| Mango Sandstorm | Iran | MERCURY, SeedWorm, STATIC KITTEN, TEMP. Zagros |
| Polvere marmorzzata | Turchia | SILICON, Tartaruga marina, UNC1326 |
| Marigold Sandstorm | Iran | DEV-500 |
| Bufera di mezzanotte | Russia | NOBELIUM, UNC2452, APT29, Orso accogliente |
| Tempesta di sabbia alla menta | Iran | PHOSPHORUS, Parastoo, Newscaster, APT35, Gattino affascinante |
| Sleet di Pietra lunare | Corea del Nord | Storm-1789 |
| Tifone gelso | Cina | DOPAMINE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| Tempesta di senape | Motivati dal punto di vista finanziario | DEV-0206 |
| Tsunami notturno | Israele | DEV-0336 |
| Nylon Typhoon | Cina | NICKEL, Drago Giocoso, RedRiver, ke3chang, VIXEN PANDA, APT15, Mirage |
| Octo Tempest | Motivati dal punto di vista finanziario | 0ktapus, Ragno sparso |
| Set di dati Onyx | Corea del Nord | PLUTONIUM, StoneFly, campagna Tdrop2, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| Opal Sleet | Corea del Nord | OSMIUM, Planedown, Konni, APT43 |
| Peach Sandstorm | Iran | HOLMIUM, APT33, Elfin, GATTINO RAFFINATO |
| Set di perle | Corea del Nord | LAURENZIO |
| Periwinkle Tempest | Russia | DEV-0193 |
| Phlox Tempest | Israele, finanziariamente motivato | DEV-0796 |
| Tempesta di sabbia rosa | Iran | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| Fulmine gessato | NIOBIUM, Desert Falcons, Scimitar, Arid Viper | |
| Pistacchio Tempest | Motivati dal punto di vista finanziario | DEV-0237 |
| Plaid Rain | Libano | POLONIO |
| Tempesta di sabbia di zucca | Iran | DEV-0146 |
| Tifone viola | Cina | POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| Tifone lampone | Cina | RADIUM, LotusBlossom, APT30 |
| Set di rubini | Corea del Nord | CERIO |
| Diluvio di Ruza | Russia, Operazioni di influenza | |
| Tifone di salmone | Cina | SODIO, APT4, MAVERICK PANDA |
| Tifone salato | Cina | GhostEmperor, FamousSparrow |
| Sangria Tempest | Ucraina, finanziariamente motivata | ELBRUS |
| Zaffiro Sleet | Corea del Nord | COPERNICIUM, Genie Spider, BlueNoroff, CageyChameleon, CryptoCore |
| Tifone satinato | Cina | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| Seashell Blizzard | Russia | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| Secret Blizzard | Russia | KRYPTON, BEAR VENOMOUS, Uroburos, Snake, Blue Python, Turla, WRAITH, ATG26 |
| Diluvio sefido | Iran, Operazioni di influenza | |
| Tifone ombra | Cina | DarkShadow, Oro0lxy |
| Tifone di seta | Cina | HAFNIUM, timmy |
| Smoke Sandstorm | Iran | UNC1549 |
| Spandex Tempest | Motivati dal punto di vista finanziario | TA505 |
| Tempesta di sabbia macchiata | NEODYMIUM, BlackOasis | |
| Tormenta stellare | Russia | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | Motivati dal punto di vista finanziario | Ragno contorto, UNC2198 |
| Storm-0230 | Gruppo in sviluppo | Conti Team 1, DEV-0230 |
| Storm-0247 | Cina | ToddyCat, Websiic |
| Storm-0288 | Gruppo in sviluppo | FIN8 |
| Storm-0302 | Gruppo in sviluppo | Ragno Narwhal, TA544 |
| Storm-0501 | Motivati dal punto di vista finanziario | DEV-0501 |
| Storm-0538 | Gruppo in sviluppo | FIN6 |
| Storm-0539 | Motivati dal punto di vista finanziario | |
| Storm-0569 | Motivati dal punto di vista finanziario | DEV-0569 |
| Storm-0671 | Gruppo in sviluppo | UNC2596, Tropicalscorpius |
| Storm-0940 | Cina | |
| Storm-0978 | Russia | RomCom, Underground Team |
| Storm-1101 | Gruppo in sviluppo | |
| Storm-1113 | Motivati dal punto di vista finanziario | |
| Storm-1152 | Motivati dal punto di vista finanziario | |
| Storm-1175 | Cina, finanziariamente motivata | |
| Storm-1194 | Gruppo in sviluppo | MONTI |
| Storm-1516 | Russia, Operazioni di influenza | |
| Storm-1567 | Motivati dal punto di vista finanziario | |
| Storm-1674 | Motivati dal punto di vista finanziario | |
| Storm-1679 | Operazioni di influenza | |
| Storm-1811 | Motivati dal punto di vista finanziario | |
| Storm-1982 | Cina | SneakyCheff, UNK_SweetSpecter |
| Storm-2035 | Iran, Operazioni di influenza | |
| Storm-2077 | Cina | TAG-100 |
| Tempesta di fragole | Motivati dal punto di vista finanziario | DEV-0537, LAPSUS$ |
| Sunglow Blizzard | DEV-0665 | |
| Tifone vorticoso | Cina | TELLURIUM, Tick, Bronze Butler, REDBALDKNIGHT |
| Tifone Taffeta | Cina | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| Diluvio di Taizi | Cina, Operazioni di influenza | Dragonbridge, Spamouflage |
| Tifone tumbleweed | Cina | THORIUM, Carso |
| Twill Typhoon | Cina | TANTALUM, BRONZE PRESIDENT, LuminousMoth, MUSTANG PANDA |
| Tempesta di vaniglia | Motivati dal punto di vista finanziario | DEV-0832, Vice Society |
| Tempesta di velluto | Motivati dal punto di vista finanziario | DEV-0504 |
| Tifone viola | Cina | ZIRCONIUM, Chameleon, APT31, WebFans |
| Alluvione volgare | Russia, Operazioni di influenza | Storm-1841, Rybar |
| Tifone volt | Cina | SILHOUETTE IN BRONZO, VANGUARD PANDA |
| Tempesta di grano | Motivati dal punto di vista finanziario | GOLD, Gatak |
| Tsunami del glicine | India, attore offensivo del settore privato | DEV-0605 |
| Zigzag Hail | Corea | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
Per altre informazioni, vedere l'annuncio relativo a questa tassonomia: https://aka.ms/threatactorsblog
Mettere l'intelligenza nelle mani dei professionisti della sicurezza
I profili Intel in Microsoft Defender Threat Intelligence forniscono informazioni cruciali sugli attori delle minacce. Queste informazioni dettagliate consentono ai team di sicurezza di ottenere il contesto necessario durante la preparazione e la risposta alle minacce.
Inoltre, l'API Microsoft Defender Threat Intelligence Profili Intel offre la visibilità più aggiornata dell'infrastruttura degli attori di minacce nel settore. Le informazioni aggiornate sono fondamentali per consentire ai team secOps (Threat Intelligence and Security Operations) di semplificare i flussi di lavoro avanzati di ricerca e analisi delle minacce. Altre informazioni su questa API sono disponibili nella documentazione: Usare le API di intelligence sulle minacce in Microsoft Graph (anteprima).
Risorse
Usare la query seguente su Microsoft Defender XDR e altri prodotti di sicurezza Microsoft che supportano il linguaggio di query Kusto (KQL) per ottenere informazioni su un attore di minacce usando il nome precedente, il nuovo nome o il nome del settore:
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
Sono disponibili anche i file seguenti contenenti il mapping completo dei nomi degli attori di minacce precedenti con i loro nuovi nomi: