Microsoft의 이름 위협 행위자 이름
Microsoft는 날씨 테마에 맞춰 정렬된 위협 행위자를 위해 명명 분류를 사용합니다. 우리는이 분류를 사용하여 고객과 다른 보안 연구원에게 더 나은 명확성을 제공 할 계획입니다. 조직에서 더 나은 우선 순위를 지정하고 보호할 수 있도록 위협 행위자를 보다 체계적이고 명료하고 쉽게 참조할 수 있는 방법을 제공합니다. 우리는 또한 이미 위협 인텔리전스 데이터의 압도적 인 양에 직면 한 보안 연구원을 돕는 것을 목표로합니다.
Microsoft는 위협 행위자를 5가지 주요 그룹으로 분류합니다.
국가-국가 행위자: 간첩, 재정적 이익 또는 보복 여부에 관계없이 국가/국가 조정 프로그램을 대신하여 행동하거나 지시하는 사이버 운영자. Microsoft는 대부분의 국가 행위자가 전통적인 스파이 또는 감시 목표를 위해 정부 기관, 정부 간 조직, 비정부 조직 및 싱크 탱크에 대한 운영 및 공격에 계속 초점을 맞추고 있다고 관찰했습니다.
재정적으로 동기를 부여받은 행위자: 재정적 이익을 위한 동기를 가진 범죄 organization/사람이 지휘하는 사이버 캠페인/그룹은 알려진 비국가 국가 또는 상업 단체에 대한 높은 신뢰와 관련이 없습니다. 이 범주에는 랜섬웨어 운영자, 비즈니스 이메일 손상, 피싱 및 순전히 재정적 또는 강탈 동기가 있는 기타 그룹이 포함됩니다.
PSOA(민간 부문 공격 행위자): 알려진/합법적인 법인인 상업 행위자가 주도하는 사이버 활동으로, 사이버 무기는 대상을 선택하고 사이버 무기로 운영하는 고객에게 사이버 무기 를 만들고 판매합니다. 이러한 도구는 반체제 인사, 인권 옹호자, 언론인, 시민 사회 옹호자 및 기타 민간 시민을 대상으로 하고 감시하여 많은 글로벌 인권 노력을 위협하는 것으로 관찰되었습니다.
영향 운영: 정보 캠페인은 온라인 또는 오프라인으로 조작된 방식으로 전달되어 대상 대상 그룹의 인식, 행동 또는 의사 결정을 그룹 또는 국가의 이익과 목표를 더 발전시킬 수 있습니다.
개발 그룹: 알 수 없는, 새로운 또는 개발 위협 활동에 지정된 임시 지정입니다. 이 지정을 통해 Microsoft는 작업 뒤에 있는 행위자의 출처 또는 ID에 대한 높은 신뢰도에 도달할 때까지 그룹을 개별 정보 집합으로 추적할 수 있습니다. 조건이 충족되면 개발 중인 그룹이 명명된 행위자로 변환되거나 기존 이름으로 병합됩니다.
이 분류에서 날씨 이벤트 또는 가족 이름은 위의 범주 중 하나를 나타냅니다. 국가별 행위자의 경우 특성에 연결된 국가/원산지 지역에 가족 이름을 할당했습니다. 예를 들어 태풍은 중국에 대한 출처 또는 특성을 나타냅니다. 다른 배우의 경우 가족 이름은 동기 부여를 나타냅니다. 예를 들어 Tempest는 재정적으로 동기를 부여받은 행위자를 나타냅니다.
동일한 날씨 패밀리 내의 위협 행위자는 TTP(고유한 전술, 기술 및 절차), 인프라, 목표 또는 기타 식별된 패턴으로 행위자 그룹을 구분하는 형용사가 제공됩니다. 개발 중인 그룹의 경우 Storm의 임시 지정과 새로 검색된, 알 수 없는, 새로운 위협 활동 또는 개발 클러스터가 있는 4자리 숫자를 사용합니다.
다음 표에서는 가족 이름이 추적하는 위협 행위자를 매핑하는 방법을 보여 줍니다.
| 위협 행위자 범주 | 유형 | 성 |
|---|---|---|
| 국가 국가 | 중국 이란 레바논 북한 러시아 대한민국 터키 베트남 |
태풍 모래 폭풍 비 진눈깨비 눈보라 우박 먼지 사이 클론 |
| 재정적 동기 부여 | 재정적 동기 부여 | 폭풍우 |
| 민간 부문 공격 행위자 | PSOA | 쓰나미 |
| 작업에 영향을 줍니다. | 작업에 영향을 줍니다. | 홍수 |
| 개발 그룹 | 개발 그룹 | 폭풍우 |
다음 표에서는 원본 또는 위협 행위자 범주, 이전 이름 및 사용 가능한 다른 보안 공급업체에서 사용하는 해당 이름을 사용하여 공개적으로 공개된 위협 행위자 이름을 나열합니다. 다른 공급업체의 이름에 대한 자세한 정보를 사용할 수 있게 되면 이 페이지가 업데이트됩니다.
| 위협 행위자 이름 | 원본/위협 행위자 범주 | 기타 이름 |
|---|---|---|
| 자수정 비 | 레바논 | 휘발성 삼나무 |
| 골동품 태풍 | 중국 | Storm-0558 |
| 아쿠아 블리자드 | 러시아 | ACTINIUM, Gamaredon, Armageddon, UNC530, shuckworm, SectorC08, Primitive Bear |
| 푸른 쓰나미 | 이스라엘, 민간 부문 공격 행위자 | |
| 황동 태풍 | 중국 | BARIUM, APT41 |
| 브로케이드 태풍 | 중국 | BORON, UPS, Gothic Panda, APT3, OLDCARP, TG-0110, Red Sylvan, CYBRAN |
| 부르고뉴 샌드스톰 | 이란 | 카델, 샤퍼 |
| 생도 블리자드 | 러시아 | DEV-0586 |
| 카나리아 태풍 | 중국 | CIRCUIT PANDA, APT24, Palmerworm, BlackTech |
| 캔버스 사이클론 | 베트남 | BISMUTH, OceanLotus, APT32 |
| 캐러멜 쓰나미 | 이스라엘, 민간 부문 공격 행위자 | DEV-0236 |
| 카민 쓰나미 | 민간 부문 공격 행위자 | |
| 숯 태풍 | 중국 | CHROMIUM, ControlX, Aquatic Panda, RedHotel, BRONZE UNIVERSITY |
| 체커드 태풍 | 중국 | CHLORINE, ATG50, APT19, TG-3551, DEEP PANDA, Red Gargoyle |
| 계피 폭풍우 | 중국, 재정적 동기 부여 | DEV-0401 |
| 원 태풍 | 중국 | DEV-0322, APT6, APT27 |
| Citrine Sleet | 북한 | DEV-0139, Storm-0139, Storm-1222, DEV-1222 |
| 코튼 샌드스톰 | 이란 | 해왕성, 부 누설자, 헤이와이어 새끼 고양이 |
| 초승달 태풍 | 중국 | 세슘 |
| 크림슨 샌드스톰 | 이란 | CURIUM, Tortoise Shell, HOUSEBLEND, TA456 |
| 큐보이드 샌드스톰 | 이란 | DEV-0228 |
| 데님 쓰나미 | 오스트리아, 민간 부문 공격 행위자 | DEV-0291 |
| 다이아몬드 진눈깨비 | 북한 | ZINC, Black Artemis, Labyrinth Chollima, Lazarus |
| 에메랄드 진눈깨비 | 북한 | THALLIUM, RGB-D5, Black Banshee, Kimsuky, Greendinosa, VELVET CHOLLIMA |
| Fallow Squall | 싱가포르 | PLATINUM, PARASITE, RUBYVINE, GINGERSNAP |
| 아마 태풍 | 중국 | Storm-0919, ETHEREAL PANDA |
| 포레스트 블리자드 | 러시아 | STRONTIUM, Sednit, ATG2, Sofacy, FANCY BEAR, Blue Athena, Z-Lom Team, Operation Pawn Storm, Tsar Team, CrisisFour, HELLFIRE, APT28 |
| 고스트 블리자드 | 러시아 | 브로민, TG-4192, 코알라 팀, 활기찬 곰, 블루 크라켄, 웅크리고 예티, 잠자리 |
| 깅엄 태풍 | 중국 | GADOLINIUM, TEMP. 잠망경, 리바이어던, JJDoor, APT40, 피버드림 |
| 화강암 태풍 | 중국 | 갈륨 |
| 회색 샌드스톰 | 이란 | DEV-0343 |
| 헤이즐 샌드스톰 | 이란 | EUROPIUM, COLBALT GYPSY, Crambus, OilRig, APT34 |
| 심장 태풍 | 중국 | HELIUM, APT17, Hidden Lynx, ATG3, Red Typhon, KAOS, TG-8153, SportsFans, DeputyDog, AURORA PANDA, Tailgater |
| 육각형 태풍 | 중국 | HYDROGEN, Calc Team, Red Anubis, APT12, DNS-Calc, HORDE, NUMBERED PANDA |
| 하운드스투스 태풍 | 중국 | HASSIUM, isoon, deepclif |
| 제이드 진눈깨비 | 북한 | Storm-0954 |
| 레이스 템페스트 | 재정적 동기 부여 | DEV-0950 |
| 레몬 샌드스톰 | 이란 | 루비듐 |
| 레오파드 태풍 | 중국 | LEAD, TG-2633, TG-3279, Mana, KAOS, Red Diablo, Winnti Group |
| 라일락 태풍 | 중국 | DEV-0234 |
| 리넨 태풍 | 중국 | IODINE, Red Phoenix, Hippo, Lucky Mouse, EMISSARY PANDA, BOWSER, APT27, Wekby2, UNC215, TG-3390 |
| 루나 템페스트 | 재정적 동기 부여 | |
| 마젠타 더스트 | 튀르키예 | PROMETHIUM, StrongPity, SmallPity |
| 매너트 템페스트 | 러시아 | |
| 망고 샌드스톰 | 이란 | 머큐리, 시드웜, 정적 새끼 고양이, TEMP. 자그로스, 머디워터 |
| 대리석 먼지 | 튀르키예 | 실리콘, 바다 거북, UNC1326 |
| 메리 골드 샌드 스톰 | 이란 | DEV-500 |
| 미드나잇 블리자드 | 러시아 | 노벨륨, UNC2452, APT29, 코지 베어 |
| 민트 샌드스톰 | 이란 | 인, 파라스투, 뉴스 캐스터, APT35, 매력적인 새끼 고양이 |
| 문스톤 진눈깨비 | 북한 | Storm-1789 |
| 멀베리 태풍 | 중국 | MANGANESE, Backdoor-DPD, COVENANT, CYSERVICE, Bottle, Red Horus, Red Naga, Auriga, KEYHOLE PANDA, APT5, ATG48, TG-2754, tabcteng |
| 겨자 템페스트 | 재정적 동기 부여 | DEV-0206 |
| 야간 쓰나미 | 이스라엘 | DEV-0336 |
| 나일론 태풍 | 중국 | 니켈, 장난 용, 레드 리버, ke3chang, VIXEN PANDA, APT15, 미라지 |
| 옥토 템페스트 | 재정적 동기 부여 | 0ktapus, 흩어진 거미 |
| Onyx Sleet | 북한 | PLUTONIUM, StoneFly, Tdrop2 캠페인, DarkSeoul, Black Chollima, SILENT CHOLLIMA, Andariel, APT45 |
| 오팔 진눈깨비 | 북한 | OSMIUM, Planedown, Konni, APT43 |
| 복숭아 샌드스톰 | 이란 | 홀미움, APT33, 엘핀, 세련된 새끼 고양이 |
| 진주 진눈깨비 | 북한 | 로렌슘 |
| 페리윙클 템페스트 | 러시아 | DEV-0193 |
| Phlox Tempest | 이스라엘, 재정적으로 동기 부여 | DEV-0796 |
| 핑크 샌드스톰 | 이란 | AMERICIUM, Agrius, Deadwood, BlackShadow, SharpBoys, FireAnt, Justice Blade |
| 핀 스트라이프 번개 | NIOBIUM, 사막 팔콘, 시미타르, 건조한 바이퍼 | |
| 피스타치오 템페스트 | 재정적 동기 부여 | DEV-0237 |
| 격자 무늬 비 | 레바논 | 폴로늄 |
| 호박 샌드스톰 | 이란 | DEV-0146 |
| 자주색 태풍 | 중국 | POTASSIUM, GOLEM, Evilgrab, AEON, LIVESAFE, ChChes, APT10, Haymaker, Webmonder, STONE PANDA, Foxtrot, Foxmail, MenuPass, Red Apollo |
| 라즈베리 태풍 | 중국 | RADIUM, LotusBlossom, APT30 |
| Ruby Sleet | 북한 | 세륨 |
| 루자 홍수 | 러시아, 영향력 운영 | |
| 연어 태풍 | 중국 | 나트륨, APT4, 매버릭 팬더 |
| 소금 태풍 | 중국 | GhostEmperor, FamousSparrow |
| 상그리아 템페스트 | 우크라이나, 재정적으로 동기 부여 | ELBRUS |
| 사파이어 진눈깨비 | 북한 | COPERNICIUM, 지니 스파이더, BlueNoroff, CageyChameleon, CryptoCore |
| 새틴 태풍 | 중국 | SCANDIUM, COMBINE, TG-0416, SILVERVIPER, DYNAMITE PANDA, Red Wraith, APT18, Elderwood Group, Wekby |
| 씨쉘 블리자드 | 러시아 | IRIDIUM, BE2, UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44 |
| 비밀 블리자드 | 러시아 | KRYPTON, 독 곰, 우로부로스, 뱀, 블루 파이썬, Turla, WRAITH, ATG26 |
| 세피드 플러드 | 이란, 영향력 있는 작전 | |
| 그림자 태풍 | 중국 | DarkShadow, Oro0lxy |
| 실크 태풍 | 중국 | HAFNIUM, timmy |
| 스모크 샌드스톰 | 이란 | UNC1549 |
| 스판덱스 템페스트 | 재정적 동기 부여 | TA505 |
| 발견 된 모래 폭풍 | NEODYMIUM, BlackOasis | |
| 스타 블리자드 | 러시아 | SEABORGIUM, COLDRIVER, Callisto Group, BlueCharlie, TA446 |
| Storm-0216 | 재정적 동기 부여 | 트위스트 거미, UNC2198 |
| Storm-0230 | 개발 중인 그룹 | Conti Team 1, DEV-0230 |
| Storm-0247 | 중국 | ToddyCat, Websiic |
| Storm-0288 | 개발 중인 그룹 | FIN8 |
| Storm-0302 | 개발 중인 그룹 | 나르고래 거미, TA544 |
| Storm-0501 | 재정적 동기 부여 | DEV-0501 |
| Storm-0538 | 개발 중인 그룹 | FIN6 |
| Storm-0539 | 재정적 동기 부여 | |
| Storm-0569 | 재정적 동기 부여 | DEV-0569 |
| Storm-0671 | 개발 중인 그룹 | UNC2596, 열대 전갈 자리 |
| Storm-0940 | 중국 | |
| Storm-0978 | 러시아 | RomCom, 지하 팀 |
| Storm-1101 | 개발 중인 그룹 | |
| Storm-1113 | 재정적 동기 부여 | |
| Storm-1152 | 재정적 동기 부여 | |
| Storm-1175 | 중국, 재정적 동기 부여 | |
| Storm-1194 | 개발 중인 그룹 | 몬티 |
| Storm-1516 | 러시아, 영향력 운영 | |
| Storm-1567 | 재정적 동기 부여 | |
| Storm-1674 | 재정적 동기 부여 | |
| Storm-1679 | 작업에 영향을 줍니다. | |
| Storm-1811 | 재정적 동기 부여 | |
| Storm-1982 | 중국 | 부적 절한Cheff, UNK_SweetSpecter |
| Storm-2035 | 이란, 영향력 있는 작전 | |
| Storm-2077 | 중국 | TAG-100 |
| 딸기 템페스트 | 재정적 동기 부여 | DEV-0537, LAPSUS$ |
| 설로우 블리자드 | DEV-0665 | |
| 소용돌이 태풍 | 중국 | TELLURIUM, 틱, 브론즈 버틀러, 레드발드나이트 |
| 태피타 태풍 | 중국 | TECHNETIUM, TG-0055, Red Kobold, JerseyMikes, APT26, BEARCLAW |
| 타이지 홍수 | 중국, 영향 운영 | Dragonbridge, Spamouflage |
| 텀블위드 태풍 | 중국 | 소륨, 카르스트 |
| 트윌 태풍 | 중국 | TANTALUM, BRONZE PRESIDENT, LuminousMoth, MUSTANG PANDA |
| 바닐라 템페스트 | 재정적 동기 부여 | DEV-0832, Vice Society |
| 벨벳 템페스트 | 재정적 동기 부여 | DEV-0504 |
| 바이올렛 태풍 | 중국 | ZIRCONIUM, 카멜레온, APT31, WebFans |
| 볼가 홍수 | 러시아, 영향력 운영 | Storm-1841, 라이바 |
| 볼트 태풍 | 중국 | 브론즈 실루엣, 뱅가드 팬더 |
| 밀 폭풍우 | 재정적 동기 부여 | 골드, 가탁 |
| 등나무 쓰나미 | 인도, 민간 부문 공격 행위자 | DEV-0605 |
| 지그자그 우박 | 한국 | DUBNIUM, Nemim, TEMPLAR, TieOnJoe, Fallout Team, Purple Pygmy, Dark Hotel, Egobot, Tapaoux, PALADIN, Darkhotel |
자세한 내용은 이 분류에 대한 공지 사항을 참조하세요. https://aka.ms/threatactorsblog
보안 전문가의 손에 인텔리전스 배치
Microsoft Defender 위협 인텔리전스 Intel 프로필은 위협 행위자를 위한 중요한 인사이트를 제공합니다. 이러한 인사이트를 통해 보안 팀은 위협에 대비하고 대응할 때 필요한 컨텍스트를 얻을 수 있습니다.
또한 Microsoft Defender 위협 인텔리전스 Intel Profiles API는 오늘날 업계에서 가장 최신 위협 행위자 인프라 가시성을 제공합니다. 업데이트된 정보는 SecOps(위협 인텔리전스 및 보안 운영) 팀이 고급 위협 헌팅 및 분석 워크플로를 간소화할 수 있도록 하는 데 매우 중요합니다. Microsoft Graph에서 위협 인텔리전스 API 사용(미리 보기) 설명서에서 이 API에 대해 자세히 알아보세요.
리소스
KQL(Kusto 쿼리 언어)을 지원하는 Microsoft Defender XDR 및 기타 Microsoft 보안 제품에 대한 다음 쿼리를 사용하여 이전 이름, 새 이름 또는 업계 이름을 사용하여 위협 행위자 관련 정보를 가져옵니다.
let TANames = externaldata(PreviousName: string, NewName: string, Origin: string, OtherNames: dynamic)[@"https://raw.githubusercontent.com/microsoft/mstic/master/PublicFeeds/ThreatActorNaming/MicrosoftMapping.json"] with(format="multijson", ingestionMapping='[{"Column":"PreviousName","Properties":{"Path":"$.Previous name"}},{"Column":"NewName","Properties":{"Path":"$.New name"}},{"Column":"Origin","Properties":{"Path":"$.Origin/Threat"}},{"Column":"OtherNames","Properties":{"Path":"$.Other names"}}]');
let GetThreatActorAlias = (Name: string) {
TANames
| where Name =~ NewName or Name =~ PreviousName or OtherNames has Name
};
GetThreatActorAlias("ZINC")
새 이름으로 이전 위협 행위자 이름의 포괄적인 매핑을 포함하는 다음 파일도 사용할 수 있습니다.