微软和CrowdStrike合作标准化黑客团体命名

前言

在2025年6月2日，微软和CrowdStrike宣布了一项战略合作，旨在通过映射不同网络安全公司对黑客团体的命名来标准化威胁行为者的标识。这一举措回应了网络安全行业长期存在的问题：不同公司对同一威胁团体的命名不一致，导致情报共享和威胁响应效率低下。例如，一个知名的俄罗斯网络间谍团体可能被Mandiant称为APT29，CrowdStrike称为Cozy Bear，而微软则称为Nobelium。这种命名混乱不仅增加了安全团队的工作负担，还可能延缓对网络威胁的响应速度，尤其是在使用多个安全供应商工具的环境中。

合作背景与问题

网络安全行业的命名混乱由来已久。不同公司根据其内部情报来源和分析方法，为威胁行为者分配了各种名称。这些名称从技术性编号（如APT1）到富有创意的动物或天气主题（如Cozy Bear或Midnight Blizzard）不等。这种多样性虽然反映了各公司的独特视角，但也带来了显著的挑战。例如，Axios的报道指出，同一个伊朗黑客团体Charming Kitten被Mandiant称为APT42，而微软称为Phosphorous，这种差异使得跨公司情报共享变得复杂。

这种混乱不仅影响了安全操作中心（SOC）分析师和首席信息安全官（CISO）的日常工作，还可能在紧急威胁响应中造成延误。特别是在多供应商环境中，安全团队需要整合来自不同来源的情报，而命名不一致可能导致误解或信息遗漏。

合作的细节与实施

微软和CrowdStrike的合作旨在通过创建一个联合威胁行为者映射来解决这一问题。该映射将两家公司对同一威胁团体的不同名称链接起来，而不是强制实施单一命名标准。例如，微软的“Midnight Blizzard”被映射到CrowdStrike的“Cozy Bear”，两者均指同一个俄罗斯黑客团体。

微软已更新其威胁行为者参考指南，列出了由CrowdStrike和微软共同跟踪的常见黑客团体，并使用各自的命名系统进行了映射。微软安全部门的副总裁Vasu Jakkal表示：“这份参考指南是一个起点，帮助防御者更快、更高效地工作，尤其是在多供应商环境中。”CrowdStrike的情报高级副总裁Adam Meyers补充说：“我们知道这必须是一个社区主导的倡议才能成功。”

该合作还包括其他公司的参与，Google/Mandiant和Palo Alto Networks的Unit 42也将贡献信息，未来可能有更多网络安全公司加入。根据CrowdStrike的博客，这项合作已经通过分析师驱动的协作解决了80多个威胁行为者的命名冲突，代表了一些最活跃和最复杂的对手。

以下是合作的一些关键细节，总结在下表中：

细节	信息
合作宣布时间	2025年6月2日
主要方法	创建联合威胁行为者映射，链接不同名称，而不是统一标准
参与公司	微软、CrowdStrike，未来包括Google/Mandiant和Palo Alto Networks的Unit 42
成果	已解决80多个威胁行为者的命名冲突
参考指南URL	微软威胁行为者命名
未来计划	探索协调治理，形成由微软和CrowdStrike领导的小型贡献者小组

潜在好处与行业影响

这项合作的潜在好处是多方面的。首先，它提高了威胁情报共享的清晰度。通过提供一种将不同名称与同一威胁行为者关联起来的方法，安全团队可以更容易地整合来自多个供应商的信息，从而加快威胁检测和响应的速度。例如，微软安全博客指出，这份参考指南有助于提高对威胁行为者身份的信心，简化跨平台和报告的相关性，并加速防御者在面对活跃网络威胁时的行动。

其次，该合作促进了行业内的协作。CrowdStrike的博客强调，通过分析师驱动的协作，他们不仅对命名进行了澄清，还在可能的情况下扩展了归因，构建了一个更丰富、更准确的对手活动视图，这对整个社区都有益。这样的协作可能为未来的联合防御策略奠定基础，例如共享威胁指标或开发共同的防御措施。

最后，这项合作可能对客户和最终用户产生积极影响。特别是在使用多个安全产品的环境中，命名一致性可以减少误解，提高风险评估和优先级排序的效率，从而增强整体安全态势。

批评与争议

尽管这项合作受到广泛欢迎，但也存在一些批评和争议。最为显著的是，The Register的评论指出，映射本身可能仍很复杂。例如，俄罗斯军事情报单位74455的网络行动部门Sandworm有10个其他别名，包括IRIDIUM、VOODOO BEAR和APT44。这种复杂性可能仍然让一些用户感到困惑，尤其是那些不熟悉威胁情报细节的从业者。

另一个争议点是合作没有采用单一命名标准。一些人认为，只有强制实施统一标准才能真正解决问题。然而，微软和CrowdStrike表示，统一标准在技术上具有挑战性，可能影响情报收集的准确性。CrowdStrike的博客解释说，不同公司的遥测数据和分析方法差异很大，强行统一可能适得其反。

此外，还有一些潜在的担忧，如数据共享和隐私问题，但从现有信息来看，映射主要基于公开信息，不涉及敏感数据的共享，因此这一担忧似乎有限。

这次合作最可惜的是没有美国 apt 组织

有关美国的 apt 的报告也很少。安全公司卡巴斯基和美国自己的泄密是美国 apt组织来源的主力。我来汇总一下美国 apt 组织名称。

目前已知与美国政府（主要是情报机构或军方）有关的APT组织的全面汇总，包括它们的代号、背景、主要活动领域、典型攻击手段等信息：

一、APT组织总览（与美国有关）

名称（代号）	其他别名	归属机构	主要目标	活动领域
APT29 （争议性归属）	Cozy Bear、The Dukes	曾一度被归于NSA，但多数认为是俄罗斯	政府、外交	北美、欧洲
Equation Group	Shadow Brokers 泄露后出名	NSA 的 TAO（Tailored Access Operations）	全球网络监听	全球
TAO（Tailored Access Operations）	NSA 网络攻击部门	NSA	国家级网络渗透	全球
FOXACID （平台）	与NSA和TAO有关	NSA	0day利用、远程植入	全球
UNC2452 （争议性）	SolarWinds 攻击者	一度被疑似归于NSA或APT29	网络供应链	美国、全球
CIA Vault 7 工具集	(Wikileaks泄露)	CIA	定向攻击与监听	全球
Turla（争议性）	Snake、Uroburos	曾被指美俄合资/被接管（未实锤）	外交、军事	多国

二、重点组织详细解读

1. Equation Group

归属：美国国家安全局（NSA）旗下的 TAO 小组
活跃时间：至少自 2001 年
被披露时间：2015 年被卡巴斯基首次全面分析，2016 年“Shadow Brokers”泄露其工具集
典型攻击工具：
- DoubleFantasy（后门）
- Fanny worm（蠕虫，针对离线设备）
- DanderSpritz（攻击框架）
- EternalBlue（永恒之蓝，后被WannaCry使用）
技术特点：超高隐蔽性、可攻击离线网络、使用硬盘固件后门

2. TAO（Tailored Access Operations）

归属：NSA 直接控制的高级渗透部门
任务：定制化国家级黑客攻击，用于情报收集和网络监听
技术能力：
- USB病毒植入
- 光缆入侵（下海监听）
- 操作FOXACID服务器，用于Web注入和浏览器0day攻击
目标：中国、伊朗、俄罗斯、欧洲盟国等

3. CIA 网络攻击项目（Vault 7）

泄露背景：由维基解密于2017年公开
内容包含：
- 移动设备攻击（iOS、Android）
- 操作系统后门（Windows、Linux）
- 恶意PDF、文档钓鱼等
- Weeping Angel（通过三星电视监听）
- Marble Framework（混淆来源痕迹）
- Grasshopper（植入工具框架）
- 工具名示例：
- 功能：

三、攻击工具或框架（归属美国）

名称	来源	功能
EternalBlue	Equation Group	SMB漏洞利用工具，WannaCry使用
DanderSpritz	Equation Group	C2控制平台，攻击管理工具
Stuxnet（部分归属）	NSA+以色列联合	破坏伊朗核设备（已确认）
TURBINE	NSA	全球Web注入系统，配合FOXACID
COTTONMOUTH	NSA TAO	USB硬件植入工具

四、主要攻击目标与战略目的

类型	目标对象	意图
网络监听	中国电信、欧洲运营商、外交人员	情报收集
基础设施攻击	伊朗核设施、外国SCADA系统	战略破坏（如Stuxnet）
间谍与控制	政要、军方、盟友	知情控制与间谍
软件供应链	如SolarWinds（传言有NSA参与）	掌握更新机制、侧面监控

五、与NSA/CIA有争议的APT项目

名称	原因
APT29	虽主归于俄罗斯，但部分攻击工具与NSA相似，引发混淆
UNC2452（SolarWinds）	某些行为极为接近NSA风格，怀疑其可能混入或接管
Turla	有报道称使用了美方攻击工具二次开发

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本平台和发布者不为此承担任何责任。