真是開眼，Microsoft如何命名電腦病毒_風聞

Microsoft轉向了與天氣主題一致的威脅參與者的新命名分類。 我們打算使用新的分類法為客户和其他安全研究人員帶來更好的清晰度。 我們提供一種更有條理、更清晰、更簡單的方式來引用威脅參與者，使組織能夠更好地確定優先級並保護自己，並幫助安全研究人員應對大量威脅情報數據。

Microsoft將威脅參與者分為五個關鍵組：

民族國家參與者： 網絡運營商代表或由國家/國家相關計劃指揮，無論出於間諜、經濟利益還是報復。 Microsoft指出，大多數民族國家行動者繼續將行動和攻擊集中在政府機構、國際組織、非政府組織和智囊團上，以開展傳統的間諜或監視目標。

出於財務動機的參與者： 由犯罪組織/個人指揮的網絡運動/團體，其動機為經濟利益，對已知的非國家或商業實體沒有高度信心。 此類別包括勒索軟件運營商、商業電子郵件泄露、網絡釣魚和其他純財務或敲詐動機的團體。

私營部門攻擊性行動者 (PSOA) ： 由已知/合法法律實體的商業參與者領導的網絡活動，這些行為創建和銷售網絡武器給客户，然後客户選擇目標並運營網絡武器。 觀察到這些工具針對和監視持不同政見者、人權捍衞者、記者、民間社會倡導者和其他私人公民，威脅着許多全球人權努力。

影響運營： 信息活動以操縱方式在線或離線傳達，以轉移目標受眾的看法、行為或決策，以推動一個羣體或國家的利益和目標。

開發中的組：臨時指定給未知、新興或發展中的威脅活動。 此指定允許Microsoft將組作為一組離散信息進行跟蹤，直到我們可以對操作背後的執行組件的來源或標識達到高度置信度。 滿足條件後，正在開發中的組將轉換為命名參與者或合併為現有名稱。

在我們的新分類中，天氣事件或 姓氏 表示上述類別之一。 對於民族國家參與者，我們已將姓氏分配給與歸屬相關的原產國/地區，如颱風指示起源或歸屬於中國。 對於其他參與者，姓氏表示動機。 例如，Tempest 指示出於財務動機的參與者。

同一天氣系列中的威脅參與者可以使用形容詞來區分具有不同策略、技術和過程 (TTP) 、基礎結構、目標或其他已識別模式的執行組件。 對於正在開發的組，我們使用 Storm 的臨時指定和四位數的數字，其中存在新發現、未知、新興或開發的威脅活動羣集。

下表顯示了新姓氏如何映射到我們跟蹤的威脅參與者。

節選，感興趣可以點擊以下鏈接：

https://learn.microsoft.com/zh-cn/defender-xdr/microsoft-threat-actor-naming